AXIS OS Hardening Guide

Axis Communications는 장치의 설계, 개발, 테스트에 사이버 보안 모범 사례를 적용하여 공격에서 악용될 수 있는 결함의 위험을 최소화하는 데 최선을 다하고 있습니다. 그러나 네트워크, 네트워크 장치 및 네트워크가 지원하는 서비스의 보안을 유지하려면 전체 벤더 공급 체인과 최종 사용자 조직이 적극적으로 참여해야 합니다. 보안 환경은 사용자, 프로세스 및 기술에 따라 달라집니다. 이 가이드의 목적은 네트워크, 장치 및 서비스 보안을 지원하는 것입니다.

Axis 장치에 대한 가장 명백한 위협은 물리적 파괴, 기물 파손 및 탬퍼링입니다. 이러한 위협으로부터 제품을 보호하려면 파손 방지 모델 또는 케이스를 선택하고 권장 방식으로 장착하고 케이블을 보호하는 것이 중요합니다.

IT/네트워크 관점에서 Axis 장치는 노트북, 데스크톱 컴퓨터 또는 모바일 장치 등과 마찬가지로 네트워크 엔드포인트입니다. 그러나 노트북과 달리 네트워크 장치에는 사용자가 잠재적으로 유해한 웹사이트를 방문하거나 악성 이메일 첨부 파일을 열거나 신뢰할 수 없는 애플리케이션을 설치할 수 없습니다. 하지만 네트워크 카메라는 연결된 시스템을 위험에 노출시킬 수 있는 인터페이스가 있는 장치입니다. 이 가이드는 이러한 위험에 대한 노출을 줄이는 데 중점을 둡니다.

이 가이드는 Axis 솔루션 배포와 관련 있는 모든 사람에게 기술적 조언을 제공합니다. 기본 구성과 함께 진화하는 위협 환경을 다루는 강화 가이드를 정의합니다. 특정 설정을 구성하는 방법을 알아보려면 제품의 사용자 설명서가 필요할 수 있습니다. Axis 장치는 펌웨어 버전 7.10 및 10.9에서 사용자 인터페이스를 업데이트했습니다.

웹 인터페이스 구성
이 가이드에서는 다음 지침에 따라 Axis 장치의 웹 인터페이스 내에서 장치 설정을 수정하는 방법을 설명합니다.

이 가이드에 설명된 강화 지침은 AXIS OS LTS 또는 활성 추적 펌웨어를 실행하는 모든 AXIS OS 기반 제품용으로 작성되었으며 이러한 제품에 적용할 수 있습니다. 4.xx 및 5.xx 펌웨어를 실행하는 레거시 제품도 범위에 포함됩니다.

Axis Security Notification Service를 구독하여 Axis 제품, 솔루션 및 서비스에서 새로 발견된 취약성에 대한 정보와 Axis 장치를 안전하게 작동하는 데 필요한 기타 보안 관련 기술 정보를 받는 것이 좋습니다.

사이버 보안 프레임워크의 맥락에서 권장 사항을 구성하는 수단으로 Axis는 CIS(Center for Internet Safety) Controls - 버전 8에 설명된 방법을 따르기로 선택했습니다. 이전에 SANS Top 20 Critical Security Controls로 알려진 CIS Controls는 조직에서 가장 일반적인 사이버 보안 위험 범주를 해결하는 데 중점을 둔 18개 범주의 CSC(Critical Security Controls)를 제공합니다.

이 가이드에서는 각 강화 항목에 대한 CSC 번호(CSC #)를 추가하여 중요 보안 제어에 대해 설명합니다. CSC 범주에 대한 자세한 내용은 https://www.cisecurity.org/controls/cis-controls-list를 참조하십시오.

Axis 장치는 사전 정의된 기본 보호 설정과 함께 제공됩니다. 몇 가지 보안 제어는 구성할 필요가 없습니다. 이러한 제어는 기본적인 장치 보호 기능을 제공하며 보다 확장된 강화를 위한 기초 역할을 합니다.

CSC #4: 엔터프라이즈 자산 및 소프트웨어의 안전한 구성

Axis 장치는 관리 패스워드가 설정될 때까지 작동하지 않습니다.

장치 액세스를 구성하는 방법에 대한 자세한 지침은 https://help.axis.com/axis-os#device-access를 참조하십시오.

관리 패스워드를 설정한 후에는 유효한 사용자 이름/패스워드 자격 증명을 사용한 인증을 통해서만 관리 기능 및/또는 비디오 스트림에 액세스할 수 있습니다. 예를 들어 익명 뷰어를 사용하거나 및/또는 항상 멀티캐스트 비디오/오디오 기능을 활성화하는 것은 권장되지 않습니다.

CSC #4: 엔터프라이즈 자산 및 소프트웨어의 안전한 구성

Axis 장치에서는 기본적으로 최소한의 네트워크 프로토콜 및 서비스만 활성화됩니다. 기본적으로 활성화되는 네트워크 프로토콜 및 서비스는 아래 표를 참조하십시오.

* RFC 6056에 따라 사전 정의된 포트 번호 범위 내에서 자동으로 할당됩니다. 자세한 내용은 여기에서 확인할 수 있습니다.

가능하면 사용하지 않는 네트워크 프로토콜 및 서비스를 비활성화하는 것이 좋습니다. 기본적으로 사용되거나 구성에 따라 활성화할 수 있는 전체 서비스 목록은 https://help.axis.com/axis-os#commonly-used-network-ports를 참조하십시오.

예를 들어, 오디오 입/출력 및 마이크 기능은 기본적으로 비활성화되어 있으며 네트워크 카메라와 같은 Axis 비디오 감시 기반 제품에서 사용하려면 먼저 활성화해야 합니다. 반면 오디오 입/출력 및 마이크 기능이 주요 기능인 Axis 인터콤 및 네트워크 스피커에서는 오디오 기능이 기본적으로 활성화됩니다.

CSC #4: 엔터프라이즈 자산 및 소프트웨어의 안전한 구성

모든 Axis 장치에는 디버그 포트 또는 직렬 콘솔이라고도 하는 물리적 UART(Universal Asynchronous Receiver Transmitter) 인터페이스가 통합되어 있습니다. 인터페이스 자체는 쉽게 액세스할 수 없습니다. 물리적 액세스 권한을 얻으려면 Axis 장치를 광범위하게 분해해야 합니다. UART/디버그 인터페이스는 Axis 내부 R&D 엔지니어링 프로젝트 중에 제품 개발 및 디버깅 목적으로만 사용됩니다.

AXIS OS 10.10 이하를 사용하는 Axis 장치의 경우 UART/디버그 인터페이스가 기본적으로 활성화되지만 인증된 액세스가 필요하고 인증되지 않은 동안 민감한 정보는 노출되지 않습니다. AXIS OS 10.11부터는 UART/디버그 인터페이스가 기본적으로 비활성화되어 있으며 장치 고유의 사용자 정의 펌웨어 인증서를 통해 잠금을 해제해야만 활성화할 수 있습니다. 이는 Axis에서만 제공되며 다른 방법으로는 생성할 수 없습니다.

Axis Edge Vault는 Axis 장치를 보호하는 하드웨어 기반 사이버 보안 플랫폼을 제공합니다. 이는 암호화 컴퓨팅 모듈(보안 요소 및 TPM) 및 SoC 보안(TEE 및 Secure Boot)의 강력한 기반을 엣지 장치 보안에 대한 전문 지식과 결합하여 사용됩니다. Axis Edge Vault는 Signed Firmware와 함께 보안 부팅을 통해 구축되는 강력한 신뢰 root에 앵커 포인트를 두고 있습니다. 이러한 기능을 사용하면 모든 보안 작업을 좌우하는 신뢰 체인에 대해 암호화된 검증된 소프트웨어의 중단 없는 체인이 생성됩니다.

Axis Edge Vault가 포함된 Axis 장치는 중요한 정보의 도청 및 악의적인 유출을 방지하여 고객이 사이버 보안 위험에 노출되는 것을 최소화합니다. 또한 Axis Edge Vault를 사용하면 Axis 장치가 고객의 네트워크 내에서 신뢰할 수 있는 장치가 될 수 있습니다.

CSC #2: 소프트웨어 자산의 인벤토리 및 제어

모든 Axis 펌웨어는 버전 9.20.1에서 서명되었습니다. 새 펌웨어로 장치를 업그레이드할 경우, 장치는 펌웨어의 무결성을 확인하고 펌웨어가 탬퍼링되었을 경우 이를 거부합니다. 따라서 공격자가 손상된 펌웨어를 설치하도록 사용자를 유인하는 것을 방지할 수 있습니다.

자세한 내용은 Axis Edge Vault 백서를 참조하십시오.

CSC #2: 소프트웨어 자산의 인벤토리 및 제어

대부분의 Axis 장치들이 부팅 시퀀스를 보호해왔습니다. 이렇게 하면 탬퍼링되지 않은 장치만 배포할 수 있으므로 장치의 무결성이 보장됩니다.

자세한 내용은 Axis Edge Vault 백서를 참조하십시오.

CSC #6: 접근 제어 관리

보안 키 저장

보안 키 저장소는 하드웨어 기반의 탬퍼링 방지된 암호화 정보 스토리지를 제공합니다. 보안 키 저장소는 Axis 장치 ID와 고객이 로드한 암호화 정보를 보호하고 보안 위반 시 무단 액세스 및 악의적인 추출을 방지합니다. 보안 요구 사항에 따라 Axis 장치에는 TPM 2.0(Trusted Platform Module) 또는 보안 요소 및/또는 TEE(Trusted Execution Environment)와 같은 모듈이 하나 또는 여러 개 있을 수 있습니다.

자세한 내용은 Axis Edge Vault 백서를 참조하십시오.

CSC #3: 데이터 보호

악의적인 공격자는 플래시 메모리를 분리하고 플래시 리더 장치를 통해 액세스하여 파일 시스템에서 정보를 추출하려고 시도할 수 있습니다. Axis 장치는 Axis 장치에 대한 물리적 액세스가 이루어지거나 Axis 장치가 도난당한 경우 이러한 악의적인 정보 유출 및 구성 탬퍼링으로부터 파일 시스템을 보호할 수 있습니다. Axis 장치의 전원이 꺼지면 파일 시스템의 정보가 AES-XTS-Plain64 256비트로 암호화됩니다. 보안 부팅 프로세스 중에 읽기-쓰기 파일 시스템이 해독되어 Axis 장치에서 장착하고 사용할 수 있습니다.

자세한 내용은 Axis Edge Vault 백서를 참조하십시오.

CSC #3: 데이터 보호

HTTPS는 AXIS OS 7.20부터 기본적으로 자체 서명 인증서를 사용하여 실행됩니다. 이렇게 하면 안전한 방식으로 장치 패스워드를 설정할 수 있습니다. AXIS OS 10.10 이상에서는 자체 서명 인증서가 IEEE 802.1AR 보안 장치 ID 인증서로 대체되었습니다.

기본적으로 AXIS OS에는 공장 출하 시 기본값 상태에서 전반적인 최소 사이버 보안을 강화할 수 있는 가장 일반적인 보안 관련 HTTP(S) 헤더가 있습니다. AXIS OS 9.80 이상에서는 사용자 정의 HTTP 헤더 VAPIX API를 사용하여 추가 HTTP(S) 헤더를 구성할 수 있습니다.

HTTP 헤더 VAPIX API에 대한 자세한 내용은 Vapix Library를 참조하십시오.
기본 HTTP(S) 헤더에 대한 자세한 내용은 AXIS OS 포털의 기본 HTTP(S) 헤더를 참조하십시오.

CSC #3: 데이터 보호

장치에 액세스하는 클라이언트는 패스워드를 사용하여 인증되며 이 패스워드는 네트워크를 통해 전송될 때 암호화됩니다. 따라서 기본 또는 기본 및 다이제스트 대신 다이제스트 인증만 사용하는 것이 좋습니다. 이렇게 하면 네트워크 스니퍼가 패스워드를 알아낼 위험이 줄어듭니다.

CSC #3: 데이터 보호

재생 공격 보호는 UsernameToken, 유효한 타임스탬프, nonce 및 패스워드 다이제스트를 포함하는 추가 보안 헤더를 추가하여 ONVIF 기반 사용자 인증을 충분히 보호할 목적으로 Axis 장치에서 기본적으로 활성화되는 표준 보안 기능입니다. 패스워드 다이제스트는 시스템에 이미 저장된 패스워드, nonce 및 타임스탬프에서 계산됩니다. 패스워드 다이제스트는 사용자의 유효성을 검사하고 재생 공격을 방지하는 데 사용되며 이로 인해 다이제스트가 캐시됩니다. 이 설정을 활성화된 상태로 유지하는 것이 좋습니다.

CSC #3: 데이터 보호

Axis 장치를 폐기할 때는 공장 출하 시 기본값으로 되돌려야 합니다. 공장 출하 시 기본값으로 되돌리면 덮어쓰기/정제를 통해 모든 데이터가 지워집니다.

Axis 장치는 휘발성 메모리와 비휘발성 메모리를 모두 사용하며 전원을 제거하면 휘발성 메모리가 지워지지만 비휘발성 메모리에 저장된 정보는 그대로 유지되며 시작 시 다시 사용할 수 있습니다. 데이터 포인터를 제거하여 파일 시스템에서 현재 데이터를 보이지 않게 하는 일반적인 개념은 적용되지 않으므로 공장 출하 시 기본값이 필요합니다.

아래 표에는 비휘발성 메모리에 저장된 데이터에 대한 자세한 정보가 포함되어 있습니다.

* 사용자 정의 펌웨어 인증서는 Signed Firmware 프로세스에서 사용되어 사용자가 예를 들어, Axis 공식 펌웨어를 업로드할 수 있도록 하는 데 사용됩니다.
** 엣지 스토리지(SD 카드, 네트워크 공유)에 저장된 녹화물 및 이미지는 사용자가 별도로 삭제해야 합니다. 자세한 내용은 섹션을 참조하십시오.
*** 초기 root 패스워드 설정에서 네트워크, O3C-, 이벤트-, 이미지-, PTZ- 및 시스템 구성에 이르기까지 모든 사용자 지정 구성.
**** 사전 설치된 애플리케이션은 유지되지만 구성은 지워집니다.
***** 생산 데이터(보정, 802.1AR 생산 인증서) 및 수명 통계에는 중요하지 않은 정보와 사용자와 관련되지 않은 정보가 포함됩니다.

기본 강화는 Axis 장치에 권장되는 최소 보호 수준입니다. 아래에 나열된 강화 항목은 "엣지에서 구성 가능"합니다. 즉, 타사 네트워크 인프라, 비디오나 증거 관리 시스템(VMS, EMS) 또는 기타 타사 장비나 애플리케이션에 대한 추가 종속성 없이 Axis 장치에서 직접 구성할 수 있습니다.

CSC #4: 엔터프라이즈 자산 및 소프트웨어의 안전한 구성

시작하기 전에 장치가 알려진 공장 출하 시 기본값 상태인지 확인하십시오. 공장 출하 시 기본값은 장치를 폐기하고 사용자 데이터를 지울 때 중요합니다. 자세한 내용은 폐기 섹션을 참조하십시오.

CSC #2: 소프트웨어 자산의 인벤토리 및 제어

소프트웨어 및 펌웨어 패치는 사이버 보안의 중요한 부분입니다. 공격자는 흔히 일반적으로 알려진 취약성을 악용하려고 시도하며 패치가 적용되지 않은 서비스에 대한 네트워크 액세스 권한을 얻으면 공격에 성공할 수 있습니다. 알려진 취약성에 대한 보안 패치가 포함될 수 있으므로 항상 최신 펌웨어를 사용하십시오. 특정 펌웨어에 대한 릴리스 정보에는 중요 보안 수정 사항이 명시적으로 언급될 수 있지만 모든 일반 수정 사항에 적용되는 것은 아닙니다.

Axis는 두 가지 유형의 펌웨어 추적을 유지합니다. 활성 추적 및 장기 지원(LTS) 추적입니다. 두 유형 모두 최신 중요 취약성 패치를 포함하지만 LTS 추적에는 호환성 문제의 위험을 최소화하기 위해 새로운 기능이 포함되지 않습니다. 자세한 내용은 AXIS OS 수명 주기를 참조하십시오.

Axis는 중요한 새 기능, 버그 수정 및 보안 패치를 요약한 향후 릴리스에 대한 예측을 제공합니다. AXIS OS 지원 장치용 펌웨어는 https://www.axis.com/support/firmware에서 다운로드할 수 있습니다.

아래 차트는 Axis 장치의 펌웨어를 최신 상태로 유지하는 것의 중요성을 보여줍니다.

CSC #4: 엔터프라이즈 자산 및 소프트웨어의 안전한 구성
CSC #5: 계정 관리

장치 root 계정은 기본 장치 관리 계정입니다. 장치를 작동하려면 먼저 장치 패스워드를 설정해야 합니다. 강력한 패스워드를 사용하고 root 계정의 사용을 관리 작업으로만 제한해야 합니다. 일상적인 생산 환경에서 root 계정을 사용하지 않는 것이 좋습니다.

Axis 장치 작동 시 동일한 패스워드를 사용하면 관리하기는 쉽지만 침해 또는 데이터 유출 시 보안이 저하됩니다. 각 Axis 장치마다 고유한 패스워드를 사용하면 보안성은 높아지지만 장치 관리가 더 복잡해집니다. 패스워드를 순환하여 사용할 것을 권장합니다.

NIST 패스워드 권장 사항과 같이 충분한 복잡성과 길이를 사용하여 패스워드를 구현하는 것이 좋습니다. Axis 장치는 최대 64자의 패스워드를 지원합니다. 8자 미만의 패스워드는 약한 것으로 간주됩니다.

CSC #4: 엔터프라이즈 자산 및 소프트웨어의 안전한 구성
CSC #5: 계정 관리

기본 root 계정이 전체 권한을 가지고 있으며 관리 작업용으로 예약되어야 합니다. 일상적인 작업에 대해 제한된 권한을 가진 클라이언트 사용자 계정을 생성하는 것이 좋습니다. 이렇게 하면 장치 관리자 패스워드가 손상될 위험이 줄어듭니다.

비디오 감시 시스템의 ID 및 액세스 관리에 대한 자세한 내용은 백서를 참조하십시오.

CSC #5: 계정 관리

Axis 장치에는 사용자가 표준 웹 브라우저를 사용하여 장치에 액세스할 수 있는 웹 서버가 있습니다. 웹 인터페이스는 구성, 유지보수 및 문제 해결을 위한 것입니다. 일상적인 작업, 즉 비디오를 보기 위한 클라이언트로 사용하기 위한 것이 아닙니다.

일상적인 작업 중에 Axis 장치와 상호 작용하도록 허용되는 클라이언트는 영상 관리 시스템(VMS) 또는 장치 관리 도구(예: AXIS Device Manager)뿐입니다. 시스템 사용자는 Axis 장치에 직접 액세스할 수 없습니다. 웹 인터페이스 액세스 비활성화에는 Axis 장치의 웹 인터페이스를 비활성화할 수 있는 방법이 요약되어 있습니다.

CSC #4: 엔터프라이즈 자산 및 소프트웨어의 안전한 구성

AXIS OS 9.50 이상부터 Axis 장치의 웹 인터페이스를 비활성화할 수 있습니다. Axis 장치를 시스템에 배포(또는 AXIS Device Manager에 추가)한 후에는 조직 내 사람들이 웹 브라우저를 사용하여 장치에 액세스하지 못하도록 하는 것이 좋습니다. 이렇게 하면 장치 계정 패스워드가 조직 내에서 확산되는 경우 보호 기능이 추가됩니다.

CSC #12: 네트워크 인프라 관리

장치 IP 구성은 IPv4/IPv6, 정적 또는 동적(DHCP) 네트워크 주소, 서브넷 마스크 및 기본 라우터와 같은 네트워크 구성에 따라 달라집니다. 새로운 유형의 구성 요소를 추가할 때는 네트워크 토폴로지를 검토하는 것이 좋습니다.

Axis 장치에서 고정 IP 주소 구성을 사용하여 네트워크 연결 가능성을 보장하고 공격 대상이 될 수 있는 네트워크의 DHCP 서버 등에 대한 종속성을 해제하는 것이 좋습니다.

CSC #8: 감사 로그 관리

보안 관점에서 볼 때 정확한 날짜와 시간이 중요합니다. 예를 들어, 시스템 로그에 올바른 정보가 포함된 타임스탬프가 지정되고 런타임 중에 디지털 인증서를 검증하고 사용할 수 있도록 해야 합니다. 시간이 적절하게 동기화되지 않으면 HTTPS, IEEE 802.1x 등과 같은 디지털 인증서를 사용하는 서비스가 제대로 작동하지 않을 수 있습니다.

Axis 장치 시계는 NTP(Network Time Protocol, 암호화되지 않음) 서버 또는 가급적이면 NTS(Network Time Security, 암호화됨) 서버와 동기화하는 것이 좋습니다. AXIS OS 11.1에는 NTP(Network Time Protocol)의 암호화 및 보안 변형인 NTS(Network Time Security)가 추가되었습니다. 시간 동기화의 정확도를 높이기 위해 여러 시간 서버를 구성하는 것이 좋지만 구성된 시간 서버 중 하나를 사용할 수 없는 페일오버 시나리오도 고려하는 것이 좋습니다.

공용 NTP 또는 NTS 서버를 사용하는 것은 로컬 시간 서버 인스턴스 자체를 용이하게 할 수 없는 개인 및 소규모 조직의 대안이 될 수 있습니다. Axis 장치의 NTP/NTS에 대한 자세한 내용은 Network Time Protocol을 참조하십시오.

CSC #3: 데이터 보호

SD 카드
Axis 장치가 SD(Secure Digital) 카드를 지원하고 비디오가 이 스토리지 장치에 녹화되는 경우 암호화를 적용하는 것이 좋습니다. 이렇게 하면 권한이 없는 사용자가 제거된 SD 카드에서 저장된 비디오를 재생할 수 없습니다.

Axis 장치의 SD 카드 암호화에 대한 자세한 내용은 SD 카드 지원을 참조하십시오.

네트워크 공유(NAS)
NAS(Network Attached Storage)를 녹화 장치로 사용하는 경우 액세스가 제한된 잠금 영역에서 보호하고 하드 디스크 암호화를 활성화해야 합니다. Axis 장치는 비디오 녹화물을 저장할 때 NAS에 연결하기 위한 네트워크 프로토콜로 SMB를 활용합니다. 이전 버전의 SMB(1.0 및 2.0)는 보안 또는 암호화를 제공하지 않지만 이후 버전(2.1 이상)에서는 이러한 기능을 제공하므로 생산 중에는 최신 버전을 사용하는 것이 좋습니다.

Axis 장치를 네트워크 공유에 연결할 때 적절한 SMB 구성에 대한 자세한 내용은 네트워크 공유를 참조하십시오.

CSC #3: 데이터 보호

AXIS OS 10.10 이상부터 Axis 장치는 엣지 녹화물의 암호화된 내보내기를 지원합니다. 이 기능을 사용하면 권한이 없는 사용자가 내보낸 비디오 자료를 재생할 수 없으므로 사용하는 것이 좋습니다.

CSC #4: 엔터프라이즈 자산 및 소프트웨어의 안전한 구성

애플리케이션을 Axis 장치에 업로드하여 기능을 확장하고 특정 기능과 상호 작용하기 위한 자체 사용자 인터페이스를 제공할 수도 있습니다. 애플리케이션은 장치의 AXIS OS 운영 체제에서 제공하는 보안 기능을 사용할 수 있습니다.

Axis 장치에는 ASDM(Axis Security Development Model)에 따라 개발된 여러 ACAP(Axis 개발 애플리케이션)가 사전 로드되어 있습니다. 타사 애플리케이션의 경우 공급업체에 문의하여 타사 애플리케이션이 얼마나 안전하게 운영, 테스트되고 있는지, 그리고 일반적인 모범 사례 보안 개발 모델에 따라 개발되었는지에 대한 입증 사항을 알아보는 것이 좋습니다. 타사 애플리케이션에서 발견된 취약성은 타사 공급업체에 직접 보고해야 합니다.

신뢰할 수 있는 애플리케이션만 실행하고 사용하지 않는 애플리케이션은 Axis 장치에서 제거하는 것이 좋습니다.

CSC #4: 엔터프라이즈 자산 및 소프트웨어의 안전한 구성

사용하지 않는 서비스/기능이 당장 보안에 위협이 되지는 않지만 불필요한 위험을 줄이기 위해 사용하지 않는 서비스/기능을 비활성화하는 것이 좋습니다. 사용하지 않을 경우 비활성화할 수 있는 서비스/기능은 다음과 같습니다.

AXIS OS 11.2 이상에서는 AXIS S3008과 같이 네트워크 포트가 여러 개인 장치에서 네트워크 포트의 PoE 및 네트워크 트래픽을 모두 비활성화할 수 있습니다. 사용하지 않는 네트워크 포트를 방치하고 활성 상태로 두면 심각한 보안 위험이 발생합니다.

O3C는 클라우드 기반 비디오 관리 서비스에 Axis 장치를 배포하는 데 사용되는 서비스입니다. Axis 장치의 제어 버튼을 누르면 호스팅 서비스 디스패처에 장치가 등록됩니다. 디스패처는 Axis 장치에 대한 액세스 권한이 있고 올바른 OAK(사용자 인증 키)를 제공하는 사용자가 Axis 장치를 요청할 수 있도록 허용합니다.

물리적 제어 버튼을 누를 때 Axis 장치가 디스패처에 연결되지 않도록 하려면 사용자 설명서를 참조하십시오.

Bonjour, UPnP, ZeroConf 및 WebService Discovery와 같은 검색 프로토콜은 네트워크에서 Axis 장치와 해당 서비스를 쉽게 찾을 수 있도록 지원하는 서비스입니다. 배포 후 Axis 장치 IP 주소가 알려지고 Axis 장치가 VMS에 추가되면 검색 프로토콜을 비활성화하여 네트워크에서 Axis 장치의 존재가 알려지지 않도록 하는 것이 좋습니다.

* 이 기능은 AXIS OS 10.2 이상에서 제거되었습니다.

제품을 생산하기 전에 오래되고 안전하지 않은 TLS 버전을 비활성화하는 것이 좋습니다. 일반적으로 오래된 버전은 기본적으로 비활성화되어 있지만 Axis 장치에서 아직 TLS 1.2 및 TLS 1.3을 구현하지 않은 타사 애플리케이션과의 역호환성을 허용할 수 있습니다.

스크립트 편집기 환경 액세스는 비활성화하는 것이 좋습니다. 스크립트 편집기는 문제 해결 및 디버깅 목적으로만 사용됩니다.

스크립트 편집기는 AXIS OS 11.1 이상에서 제거되었습니다.

기본적으로 Axis 장치는 네트워크에서 클라이언트와의 HTTP(S) 연결 중에 현재 실행 중인 Apache 및 OpenSSL 버전을 알립니다. 이 정보는 고객이 매일 또는 매주 네트워크 보안 스캐너를 사용하여 특정 펌웨어 버전의 취약성을 보다 자세히 보고할 때 유용합니다.

항상 Axis 장치를 최신 상태로 유지하는 것이 좋습니다. 그러나 Axis 장치가 Axis에서 권장하는 대로 작동하고 항상 최신 상태로 유지되는 경우 HTTP(S) 연결 시 Axis 장치에 의한 정보 노출을 줄이기 위해 이러한 헤더를 비활성화할 수 있습니다. 이 옵션은 AXIS OS 10.6 이상에서 사용할 수 있습니다.

오디오 입/출력 및 마이크 기능은 기본적으로 비활성화되어 있으며 네트워크 카메라와 같은 Axis 비디오 감시 기반 제품에서 사용하려면 먼저 활성화해야 합니다. Axis 인터콤 및 네트워크 스피커와 같이 오디오 입/출력 및 마이크 기능이 주요 기능인 제품에서는 오디오 기능이 기본적으로 활성화됩니다. 사용하지 않는 경우 오디오 기능을 비활성화하는 것이 좋습니다.

Axis 장치는 비디오 영상의 로컬 엣지 스토리지 녹화를 허용하기 위해 일반적으로 최소 하나 이상의 SD 카드를 지원합니다. SD 카드를 사용하지 않는 경우 SD 카드 슬롯을 완전히 비활성화하는 것이 좋습니다. 이 옵션은 AXIS OS 9.80 이상에서 사용할 수 있습니다.

자세한 내용은 SD 카드 비활성화를 참조하십시오.

FTP 액세스는 비활성화하는 것이 좋습니다. FTP는 문제 해결 및 디버깅 목적으로만 사용되는 비보안 통신 프로토콜입니다. FTP 액세스는 AXIS OS 11.1 이상에서 제거되었습니다. 문제 해결 용도로는 보안 SSH 액세스를 사용하는 것이 좋습니다. https://help.axis.com/axis-os#ssh-access를 참조하십시오.

FTP를 사용한 디버깅 가능성에 대한 자세한 지침은 FTP 액세스를 참조하십시오.

SSH는 펌웨어 5.50 이상이 설치된 Axis 장치에서 지원됩니다. SSH 액세스는 비활성화하는 것이 좋습니다. SSH는 문제 해결 및 디버깅 목적으로만 사용되는 보안 통신 프로토콜입니다.

SSH를 사용한 디버깅 가능성에 대한 자세한 지침은 SSH 액세스를 참조하십시오.

텔넷은 펌웨어 버전이 5.50 미만인 Axis 장치에서 지원됩니다. 텔넷 액세스는 비활성화하는 것이 좋습니다. 텔넷은 문제 해결 및 디버깅 목적으로만 사용되는 안전하지 않은 통신 프로토콜입니다.

ARP/Ping은 AXIS IP Utility 등을 사용하여 Axis 장치 IP 주소를 설정하는 방법이었습니다. 이 기능은 AXIS OS 7.10에서 제거되었으며 더 낮은 AXIS OS 버전을 실행하는 Axis 장치에서는 기능을 비활성화하는 것이 좋습니다.

CSC #1: 엔터프라이즈 자산의 인벤토리 및 제어
CSC #4: 엔터프라이즈 자산 및 소프트웨어의 안전한 구성
CSC #13: 네트워크 모니터링 및 방어

승인된 클라이언트에 대해서만 IP 필터링을 활성화하면 Axis 장치가 다른 클라이언트의 네트워크 트래픽에 응답하지 않습니다. 승인된 호스트만 Axis 장치에 액세스할 수 있도록 네트워크 호스트의 IP 주소를 허용하거나 차단하는 것이 좋습니다. 승인된 모든 클라이언트(VMS 서버 및 관리 클라이언트)를 허용 목록에 추가해야 합니다.

CSC #4: 엔터프라이즈 자산 및 소프트웨어의 안전한 구성
CSC #13: 네트워크 모니터링 및 방어

Axis 장치는 예를 들어, 로그인 자격 증명의 패스워드 추측과 같이 네트워크에서 발생하는 무차별 대입 공격을 식별하고 차단하는 방지 메커니즘을 갖추고 있습니다. AXIS OS 7.30 이상에서는 무차별 대입 지연 보호 기능을 사용할 수 있습니다.

자세한 구성 예시 및 권장 사항은 무차별 대입 지연 보호를 참조하십시오.

CSC #3: 데이터 보호

Axis 장치에는 AXIS OS 7.20부터 기본적으로 HTTP 및 HTTPS가 활성화되어 있습니다. HTTP 액세스는 전혀 암호화되지 않아 안전하지 않지만 HTTPS는 클라이언트와 Axis 장치 간의 트래픽을 암호화합니다. Axis 장치의 모든 관리 작업에 HTTPS를 사용하는 것이 좋습니다. HTTPS 및 해당 암호 설정을 위해 Axis 장치를 올바르게 구성하려면 아래 지침을 따르십시오.

HTTPS 전용으로 Axis 장치를 구성하는 것이 좋습니다(HTTP 액세스 불가). HTTPS만 활성화하면 HSTS(HTTP Strict Transport Security)가 자동으로 활성화되어 장치 보안이 더욱 강화됩니다.

자체 서명 인증서는 설계상 신뢰할 수 없지만 초기 구성 중 또는 사용 가능한 공개 키 인프라(PKI)가 없는 경우 Axis 장치에 안전하게 액세스하는 데 적합합니다. 사용 가능한 경우 자체 서명 인증서를 제거하고 선택한 PKI 기관의 적절한 서명이 있는 클라이언트 인증서로 교체해야 합니다.

Axis 장치는 Axis 장치에서 네트워크로의 HTTPS 연결을 안전하게 암호화하는 데 사용되는 다양한 패스워드를 지원합니다. Axis 장치를 공장 출하 시 기본값으로 설정하면 Axis 장치가 실행 중인 펌웨어의 구성에 따라 패스워드 목록이 자동으로 업데이트될 수 있습니다. 아래의 안전하고 강력한 패스워드를 참조하십시오. 생산 중에는 이러한 패스워드를 구성 및 사용해야 합니다(2022년 2월 기준).

TLS 1.2 이하

ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384

TLS 1.3
기본적으로 TLS 1.3 사양에 따른 강력한 암호만 선택됩니다. 이러한 암호는 사용자가 구성할 수 없습니다. 현재(2022년 2월 기준) 이러한 암호는 다음과 같습니다.

TLS_AES_128_GCM_SHA256:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_256_GCM_SHA384

CSC #1: 엔터프라이즈 자산의 인벤토리 및 제어
CSC #8: 감사 로그 관리

액세스 로그를 활성화하면 Axis 장치에 대한 사용자 액세스를 보다 자세하게 기록할 수 있으므로 감사 및 접근 제어가 간소화됩니다. 원격 syslog 서버 설정과 함께 이 기능을 사용하여 Axis 장치가 로그를 중앙 로깅 환경으로 보낼 수 있도록 함으로써 로그 메시지의 저장 및 보존 시간을 간소화하는 것이 좋습니다.

Axis 장치의 장치 로깅에 대한 자세한 내용은 장치 액세스 로깅을 참조하십시오.

CSC #1: 엔터프라이즈 자산의 인벤토리 및 제어
CSC #12: 네트워크 인프라 관리

Axis는 Axis 장치의 물리적 탬퍼링 보호를 강화하기 위해 물리적 침입 및/또는 탬퍼링 스위치를 액세서리로 제공합니다. 이러한 탬퍼링 방지용 액세서리를 설치하면 알람이 트리거되어 Axis 장치에서 선택한 클라이언트에 알림이나 경보를 보냅니다.

Axis 장치에 사용할 수 있는 탬퍼링 방지 액세서리에 대한 자세한 내용은 다음을 참조하십시오.

• AXIS TA8501 Physical Tampering Switch

• AXIS Dome Intrusion Switch C

• AXIS Door Switch A

이 섹션에 설명된 강화 지침은 이전 섹션에서 설명한 기본 강화를 기반으로 하는 확장입니다. 기본 강화는 Axis 장치에서 직접 구성하고 활성화할 수 있지만 Axis 장치의 확장 강화를 위해서는 전체 공급업체 공급망뿐만 아니라 최종 사용자 조직 및 기본 IT 및/또는 네트워크 인프라의 적극적인 참여가 필요합니다.

CSC #12: 네트워크 인프라 관리

알 수 없는 클라이언트가 장치에 대한 네트워크 액세스 권한을 얻을 수 있으므로 Axis 장치를 공용 웹 서버 또는 공용 네트워크 액세스로 노출하는 것은 권장되지 않습니다. VMS를 운영하지 않거나 원격 위치에서 비디오에 액세스할 필요가 없는 개인 및 소규모 조직에서는 AXIS Companion을 사용하는 것이 좋습니다.

AXIS Companion은 Windows/iOS/Android 클라이언트 소프트웨어를 사용하며 Axis 장치를 인터넷에 노출하지 않고 무료로 안전하게 비디오에 액세스할 수 있는 쉬운 방법을 제공합니다. AXIS Companion에 대한 자세한 내용은 www.axis.com/companion에서 확인할 수 있습니다. VMS를 사용하는 모든 조직은 원격 비디오 액세스에 관한 모범 사례에 대해 VMS 공급업체에 문의해야 합니다.

CSC #12: 네트워크 인프라 관리

Axis 장치 및 영상 관리 시스템(VMS), 네트워크 비디오 레코더(NVR) 및 기타 유형의 감시 장비와 같은 관련 인프라/애플리케이션을 생산 및 비즈니스 네트워크와 분리하여 격리된 로컬 네트워크에 배치하는 것이 좋습니다. 물리적 격리 및 가상 격리는 노출과 위험을 줄이기 위해 권장되는 일반적인 대책입니다.

기본적인 강화의 경우, 로컬 네트워크와 해당 인프라(라우터, 스위치)는 VLAN 세분화, 제한된 라우팅 기능, 사이트 간 또는 WAN 액세스를 위한 가상 사설 네트워크(VPN), 네트워크 레이어 2/3 방화벽 및 접근 제어 목록(ACL)과 같은 다중 계층의 네트워크 보안 메커니즘에 의해 액세스가 보호되어야 합니다.

기본 강화를 확장하려면 심층 패킷 검사 및 침입 감지와 같은 고급 네트워크 검사 기술을 적용하여 네트워크 내에서 일관되고 포괄적인 위협 보호를 적용하는 것이 좋습니다. 확장된 네트워크 강화에는 전용 소프트웨어 및/또는 하드웨어 어플라이언스가 필요합니다.

CSC #1: 엔터프라이즈 자산의 인벤토리 및 제어
CSC #12: 네트워크 인프라 관리

Axis 장치 자체뿐만 아니라 Axis 장치가 속한 인프라에 대한 정기적인 취약성 평가를 수행하는 것이 좋습니다. 이러한 취약성 평가는 일반적으로 네트워크 보안 스캐너에 의해 수행됩니다.

취약성 평가의 목적은 잠재적인 보안 취약성과 구성 오류를 체계적으로 검토하는 것입니다. 스캔을 시작하기 전에 테스트 중인 Axis 장치가 사용 가능한 최신 LTS 또는 활성 추적 펌웨어로 업데이트되었는지 확인하십시오.

스캐닝 보고서를 검토하고 여기에 명시된 Axis 장치에 대한 알려진 가양성을 필터링하는 것이 좋습니다.

보고서와 남겨진 나머지 의견은 헬프데스크 티켓으로 Axis 지원에 제출해야 합니다.

CSC #3: 데이터 보호
CSC #12: 네트워크 인프라 관리

Axis 장치에는 선택한 공인 또는 사설 인증 기관(CA)에서 신뢰하고 서명한 웹 서버 및 클라이언트 인증서를 배포하는 것이 좋습니다. 신뢰 체인을 검증할 수 있는 CA 서명 인증서는 HTTPS를 통해 연결할 때 브라우저 인증서 경고를 제거하고 NAC(Network Access Control) 솔루션을 배포할 때 Axis 장치의 신뢰성을 보장하는 데 도움이 됩니다. 이를 통해 공격 컴퓨터가 Axis 장치를 가장할 위험이 줄어듭니다. AXIS Device Manager에는 서명된 인증서를 Axis 장치에 발급하는 데 사용할 수 있는 내장 CA 서비스가 있습니다.

CSC #6: 접근 제어 관리
CSC #13: 네트워크 모니터링 및 방어

Axis 장치는 EAP-TLS 방법을 사용하는 IEEE 802.1x 포트 기반 네트워크 접근 제어를 지원합니다. 최적의 보호를 위해 Axis 장치의 인증은 신뢰할 수 있는 인증 기관(CA)에서 서명한 클라이언트 인증서를 활용해야 합니다.

CSC #1: 엔터프라이즈 자산의 인벤토리 및 제어
CSC #13: 네트워크 모니터링 및 방어

Axis Edge Vault가 포함된 Axis 장치는 새로운 네트워크 표준 IEEE 802.1AR을 지원하므로 생산 중에 장치에 설치된 전역적으로 고유한 인증서인 Axis 장치 ID를 통해 Axis 장치를 네트워크에 자동으로 안전하게 온보딩할 수 있습니다. 자세한 내용은 Axis 제품의 사이버 보안 기능 백서를 참조하십시오.

Axis 장치의 장치 ID를 확인하는 데 사용되는 Axis 장치 ID 인증서 체인은 공개 키 인프라 저장소에서 다운로드할 수 있습니다.

CSC #8: 감사 로그 관리

Axis 장치는 다음 SNMP 프로토콜을 지원합니다.

• SNMP v1: 레거시 용도로만 지원되며 달리 사용해서는 안 됩니다.

• SNMP v2c: 보호된 네트워크 세그먼트에서 사용될 수 있습니다.

• SNMP v3: 모니터링 목적으로 권장됩니다.

Axis 장치는 MIB-II 및 AXIS Video MIB 모니터링을 지원합니다. AXIS Video MIB는 AXIS Video MIB에서 다운로드할 수 있습니다.
AXIS OS에서 SNMP를 구성하는 방법에 대한 자세한 지침은 SNMP(단순 네트워크 관리 프로토콜)를 참조하십시오.

CSC #8: 감사 로그 관리

암호화된 모든 로그 메시지를 중앙 syslog 서버로 보내도록 Axis 장치를 구성할 수 있습니다. 이렇게 하면 감사가 간소화되고 로그 메시지가 의도적/악의적으로 또는 의도하지 않게 Axis 장치에서 삭제되는 것을 방지할 수 있습니다. 또한 회사 정책에 따라 장치 로그의 보존 기간을 연장할 수 있습니다.

다른 AXIS OS 버전에서 원격 syslog 서버를 활성화하는 방법에 대한 자세한 내용은 Syslog를 참조하십시오.

CSC #3: 데이터 보호

AXIS OS 7.40부터 Axis 장치는 SRTP 또는 RTSPS라고 하는 RTP를 통한 보안 비디오 스트리밍을 지원합니다. 영상 관리 시스템(VMS)에서 지원하는 경우 SRTP/RTSPS를 활성화하는 것이 좋습니다. 그러면 승인된 클라이언트만 Axis 장치의 비디오 스트림을 안전한 엔드투엔드 암호화 전송 방법을 통해 수신합니다. 사용 가능한 경우 암호화되지 않은 RTP 비디오 스트리밍보다 SRTP를 우선적으로 사용해야 합니다.

SRTP/RTSPS는 비디오 스트림 데이터만 암호화합니다. Axis 장치에서 수행되는 관리 구성 작업의 경우 이러한 유형의 통신을 암호화하기 위한 용도로만 HTTPS를 활성화하는 것이 좋습니다.

CSC #3: 데이터 보호

AXIS OS 10.11부터 Axis Edge Vault를 지원하는 Axis 장치는 비디오 스트림에 서명을 추가하여 비디오가 손상되지 않았는지 확인하고 비디오를 생성한 Axis 장치로 역추적하여 원본을 확인할 수 있습니다. 영상 관리 시스템(VMS)이나 증거 관리 시스템(EMS)은 서명된 비디오를 통해 Axis 장치에서 제공하는 비디오의 진위 여부를 확인할 수 있습니다.

자세한 내용은 Axis Edge Vault 백서를 참조하십시오. 서명된 비디오 인증을 검증하는 데 사용되는 Axis root 인증서는 장치 액세스에서 확인할 수 있습니다.

빠른 시작 가이드는 AXIS OS 5.51 이상에서 Axis 장치를 강화하기 위해 구성해야 하는 설정에 대한 짧고 효과적인 개요를 제공합니다. 빠른 시작 가이드에서 다루는 강화 항목에서는 기본 강화 섹션을 다룹니다. 확장 강화 섹션은 사례별로 광범위하고 고객별 구성이 필요하므로 제외됩니다.

빠르고 비용 효율적인 방법으로 여러 Axis 장치를 강화하려면 AXIS Device Manager를 사용하는 것이 좋습니다. 장치 구성에 다른 애플리케이션을 사용해야 하거나 소수의 장치만 직접 강화해야 하는 경우 VAPIX API를 사용하여 Axis 장치를 강화하는 것이 좋습니다.

인터넷에 노출된 장치
CSC #12: 네트워크 인프라

관리 알 수 없는 클라이언트가 장치에 대한 네트워크 액세스 권한을 얻을 수 있으므로 Axis 장치를 공용 웹 서버 또는 공용 네트워크 액세스로 노출하는 것은 권장되지 않습니다. 자세한 방법은 다음 지침을 참조하십시오.

일반 패스워드
CSC #4: 엔터프라이즈 자산 및 소프트웨어의 안전한 구성
CSC #5: 계정 관리

모든 장치에서 일반 패스워드를 사용하는 대신 장치마다 고유한 패스워드를 사용하는 것이 좋습니다. 자세한 지침은 장치의 root 패스워드 설정 및 전용 비디오 클라이언트 계정을 참조하십시오.

익명 액세스
CSC #4: 엔터프라이즈 자산 및 소프트웨어의 안전한 구성
CSC #5: 계정 관리

비디오 및 구성 설정에 액세스하기 위해 로그인 자격 증명이 필요하지 않은 장치에 익명으로 액세스하는 것은 권장되지 않습니다. 자세한 지침은 자격 증명 액세스 지침을 참조하십시오.

보안 통신 비활성화
CSC #3: 데이터 보호

암호화 없이 패스워드가 전송되는 HTTP 및 기본 인증과 같은 비보안 통신 및 액세스 방법을 사용하여 장치를 작동하는 것은 피해야 합니다. 자세한 지침은 HTTPS만 활성화하는 방법의 기본 강화 지침을 참조하십시오. 또한 다이제스트 인증이 권장 설정에 따라 구성되어 있는지 확인하십시오.

오래된 펌웨어
CSC #2: 소프트웨어 자산의 인벤토리 및 제어

활성 추적 또는 장기 지원(LTS) 추적에 사용 가능한 최신 AXIS OS 버전을 사용하여 장치를 작동하는 것이 좋습니다. 최신 버전은 최신 보안 패치 및 버그 수정은 물론 활성 추적과 관련된 새로운 기능을 제공합니다. 자세한 내용은 최신 펌웨어로 업그레이드를 참조하십시오.

기본 강화의 해당 항목에 따라 Axis 장치를 강화하는 방법은 아래 VAPIX API 구성 샘플을 참조하십시오. 목록에는 Axis 장치의 펌웨어 버전과 관계없이 모든 기본 강화 구성 설정이 포함되어 있습니다. 보안을 강화하기 위해 일부 기능이 제거되었기 때문에 장치에서 실행 중인 AXIS OS 버전에 일부 구성 설정이 없을 수 있습니다. VAPIX 호출을 실행하는 동안 오류가 발생하면 해당 기능이 Axis 장치 펌웨어에 더 이상 존재하지 않는 것입니다.

* * 1초 이내에 20번의 로그인 시도 실패 시 클라이언트 IP 주소가 10초 동안 차단됩니다. 30초 페이지 간격 내에서 다음 요청이 실패할 때마다 DoS 차단 기간이 10초 더 연장됩니다.
** port=X는 실제 포트 번호로 바꿔야 합니다. 예: 포트 1을 비활성화하려면 port=1, 포트 2를 비활성화하려면 port=2
*** eth1.1은 실제 포트 번호로 바꿔야 합니다. 예: 포트 1을 비활성화하려면 eth1.1, 포트 2를 비활성화하려면 eth1.2

이 구성 파일은 기본 강화의 해당 항목에 따라 AXIS Device Manager 및 AXIS Device Manager Extend를 사용하여 Axis 장치를 강화하는 데 사용될 수 있습니다. 구성 파일은 VAPIX API를 통한 기본 강화에 나열된 것과 동일한 항목으로 구성됩니다. 보안을 강화하기 위해 일부 기능이 제거되었기 때문에 장치에서 실행 중인 AXIS OS 버전에 일부 구성 설정이 없을 수 있습니다. AXIS Device Manager 및 AXIS Device Manager Extend는 더 이상 관련이 없는 설정을 강화 구성에서 자동으로 제거합니다.

(C) 2022 Axis Communications AB. AXIS COMMUNICATIONS, AXIS, and VAPIX는 관련 법규에 따른 Axis AB의 등록 상표 또는 상표 출원입니다. 모든 회사명과 제품은 해당 회사의 상표이거나 등록 상표입니다. Axis는 사전 통지 없이 수정할 권한이 있습니다.