Axis는 사이버 보안을 위해 CISA의 Secure by Design 서약에 서명했습니다.

미국 정부 기관인 CISA의 자발적인 '보안 설계(Secure by Design)' 서약은 제조업체들이 보안의 7가지 핵심 측면을 고려하여 고객 보안을 핵심 사업 요건으로 삼도록 요구합니다.  

• 다중 요소 인증 사용
• 기본 비밀번호 수 줄이기
• 취약점 유형 줄이기
• 고객이 보안 패치를 쉽게 설치할 수 있도록 지원
• 취약점 공개 정책 발표
• 취약점 보고의 투명성 입증
• 제조업체 제품에 영향을 미치는 사이버 보안 침입에 대한 증거를 고객이 수집할 수 있는 능력이 측정 가능한 수준으로 향상되었음을 입증

“CISA의 ‘보안 설계(Secure by Design)’ 서약은 사이버 보안을 Axis가 제공하는 서비스의 핵심 요소로 삼고자 하는 목표와 잘 부합합니다.”라고 Axis의 최고 기술 책임자(CTO)인 Johan Paulsson은 말했습니다. “이 서약을 통해 Axis는 고객이 사이버 보안 모범 사례를 준수하도록 지원하고 물리적 보안 업계의 책임성을 강화하기 위한 지속적인 노력을 재확인합니다.”

아래는 Axis가 AXIS OS 기반 네트워크 제품, 비디오 및 장치 관리 소프트웨어, Axis Cloud Connect와 같은 서비스 제품에 이르기까지 자사 제품 포트폴리오에서 "설계 단계부터 보안을 강화"한다는 약속을 어떻게 이행하는지에 대한 개요입니다.

Axis 제품 포트폴리오에 보안 구현  

소프트웨어 취약점 위험을 줄이는 것은 Axis 소프트웨어 개발의 핵심 요소입니다. Axis 개발자들은 제품 수명 주기 전반에 걸쳐 보안 위험을 완화하기 위해 Axis 보안 개발 모델(ASDM)을 준수합니다. 프로세스와 도구를 포함하는 이 보안 프레임워크는 Axis의 버그 바운티 프로그램과 같은 외부 리소스를 통해 제품 보안을 강화하고, 사용자가 Axis 제품 보안 팀에 버그나 취약점을 쉽게 보고할 수 있도록 지원합니다. Axis는 CVE 번호 관리 기관(CNA)으로서 취약점을 패치하고 공개하며, 회사의 공개된 취약점 관리 정책은 취약점 공개에 대한 대응 방안을 명시하고 있습니다. Axis Trust Center는 Axis 회사 자체 및 AXIS OS 기반 네트워크 제품에 대한 사이버 보안 및 규정 준수 정보를 제공하며, 향후 다른 Axis 제품 및 서비스까지 확대할 예정입니다.   

AXIS OS 기반 네트워크 제품

Axis의 다양한 IP 기반 네트워크 장치(카메라, 인터콤, 스피커, 출입 통제 제품 등)는 모두 AXIS OS 운영 체제로 구동됩니다 . AXIS OS는 기본 암호를 설정하지 않도록 설계되었으며, 중앙 집중식 ID 및 액세스 관리(IAM)를 사용하여 고객이 장치에 액세스할 때 다중 요소 인증을 지원합니다.

AXIS OS는 안전한 장치 검증 및 온보딩을 위해 공장 출하 시 기본적으로 제로 트러스트 네트워킹을 지원합니다. 이를 통해 Axis 네트워크 제품은 IEEE 802.1AR 규격을 준수하는 보안 장치 ID를 사용하여 IEEE 802.1X를 통해 자동으로 인증할 수 있습니다. 또한 AXIS OS는 IEEE 802.1AE MACsec을 통한 강력한 암호화를 지원하여 , 기본 보안 기능을 제공하지 않는 NTP 및 DHCP와 같은 네트워크 프로토콜을 근본적으로 보호하고, HTTPS 및 기타 TLS 기반 프로토콜과 같은 보안 프로토콜을 이중으로 암호화합니다.  

또한 AXIS OS 기반 장치는 FIPS 140-3 레벨 3 및 Common Criteria EAL6+ 인증을 받은 하드웨어 기반 보안 키 저장 기능을 제공합니다 .  

AXIS Camera Station 

Axis의 비디오 관리 소프트웨어인 AXIS Camera Station Pro와 AXIS Camera Station Edge는 Axis Secure Remote Access v2를 사용하여 256비트 AES 암호화를 통해 스마트폰, 태블릿, 브라우저 또는 PC 클라이언트와 Axis 네트워크 카메라 간의 안전한 외부 통신을 보장합니다 . 클라이언트-서버와 Axis 장치 간의 통신은 256비트 AES 암호화와 TLS 1.2 이상을 사용하여 보호됩니다. 이 소프트웨어 제품은 다양한 사용자 액세스 수준과 세부적인 기능 제어를 지원합니다. AXIS Camera Station Pro는 로컬 또는 Windows Active Directory 도메인 사용자를 사용하여 장치에 암호를 설정할 수 있으며, AXIS Camera Station Edge는 2단계 인증을 지원합니다. AXIS Camera Station Pro는 알람, 이벤트 및 감사 로그를 제공하여 실시간 알림 및 시스템 활동 추적을 지원하고 책임성을 강화합니다.  

Axis 장치 관리 소프트웨어 

Axis는 카메라, 오디오 제품, 접근 제어 장치와 같은 엣지 디바이스 관리를 위한 여러 가지 사용하기 쉬운 전용 소프트웨어를 제공합니다. AXIS Device Manager, AXIS Device Manager Edge, AXIS Device Manager Extend 등의 디바이스 관리 애플리케이션을 통해 고객은 수천 대의 Axis 네트워크 디바이스에 걸쳐 비용 효율적으로 소프트웨어 업데이트 및 보안 강화 작업을 수행할 수 있습니다. 이 외에도 TLS 인증서 프로비저닝 수명 주기 자동화, 사용자 설정 오류를 최소화하는 간편한 디바이스 구성 백업 및 복원 기능, Axis 디바이스의 암호 변경, HTTPS, IEEE 802.1X 및 기타 서비스 관리 등의 기능을 지원합니다. 

Axis Cloud Connect  

Axis Cloud Connect는 최종 고객과 통합 파트너가 Axis 장치를 관리할 수 있도록 지원하는 개방형 하이브리드 클라우드 플랫폼입니다. Axis 네트워크 제품에 대한 보안 패치를 포함한 새로운 소프트웨어 업데이트를 자동으로 적용하는 등의 기능을 지원합니다. 장치와 클라우드 간 연결은 HTTPS 및 TLS 1.2/1.3을 사용하는 WebRTC와 같은 보안 통신 채널을 통해서만 이루어집니다. Axis에서 호스팅하는 서비스에 액세스하는 데 사용되는 MyAxis 계정에 대해 단일 로그인(SSO) 및 다중 요소 인증을 지원합니다. 또한 AXIS Cloud Connect는 자동화 도구 및 감사 로그 모니터링을 통해 민감한 사이버 보안 활동에 대한 증거 수집 및 자동 탐지를 지원합니다.  

Axis는 CISA 서약의 일환으로 자사 제품의 사이버 보안 상태에 대한 정보와 진행 상황을 정기적으로 공유하기 위해 노력하고 있습니다. 이를 통해 고객은 회사의 보안 수준을 검증하고 책임을 물을 수 있으며, Axis 제품 사용에 대한 고객의 신뢰를 더욱 강화할 수 있습니다.