Axis повышает безопасность продуктов на основе OS11

Компания Axis Communications, лидер в области сетевого видео, объявляет о поддержке стандарта безопасности IEEE 802.1AE MACsec в последнем выпуске своей операционной системы AXIS OS 11.8. Обновление актуально  более чем для 200 сетевых устройств, включая IP-камеры, домофоны и аудио-динамики. Это обновление позволяет автоматически шифровать данные на сетевом уровне повышения безопасности при работе в сетях "нулевого доверия". Axis становится первым производителем физических средств безопасности, поддерживающим технологию MACsec (Media Access Control Security), подчеркивая постоянное стремление компании обеспечивать безопасность как устройств, так и данных.

С AXIS OS 11.8 MACsec включен по умолчанию (через режим EAP-TLS/Dynamic CAK). Данные шифруются на уровне Ethernet Layer 2 (сетевой уровень канала передачи данных), обеспечивая целостность передаваемых между устройствами Axis данных при использовании Ethernet-коммутаторов с поддержкой MACsec. Поскольку MACsec работает на уровне 2, он может шифровать и защищать данные, которые ранее не могли быть зашифрованы, такие как NTP, DHCP для общей работы устройства и RTP/RTSP для потокового видео. Даже если пользователь уже использует HTTPS или другую форму шифрования на другом уровне, добавление MACsec на уровне 2 эффективно удваивает шифрование данных. Теперь злоумышленнику необходимо  перехватить и расшифровать оба уровня данных, чтобы увидеть или украсть критическую информацию. Это значительно усложняет его задачу, существенно повышая защиту от атак, включая DoS, MitM, вторжение, вставку данных и подслушивание.

"За счет включенных по умолчанию функций, не требующих настройки,  безопасность уровень защиты клиентских данных существенно повышается", - говорит Андре Бастерт (Andre Bastert), глобальный продукт-менеджер AXIS OS. "Это снижает сложность установки, и, следовательно, буквально экономит время и деньги. Эти функции являются прекрасными примерами защиты в сетях 'нулевого доверия', которые не требуют клиентского времени. С развитием слияния операционных и информационных технологий, эти стандартные механизмы безопасности становятся тем, что ожидают от умных IoT-продуктов профессионалы ИТ. Мы удовлетворяем их потребности в рамках нашей долгосрочной стратегии по обеспечению безопасной, ненавязчивой интеграции сетевых продуктов Axis в сети 'нулевого доверия'."

Внедрение стандарта безопасности IEEE 802.1AE MACsec основываетя на собственной реализации Axis стандарта безопасности идентификации устройств IEEE 802.1AR Secure Device Identity (DevID) в сочетании с контролем доступа к сети IEEE 802.1X EAP-TLS. Поддержка трех стандартов IEEE на устройствах Axis позволяет автоматизировать включение устройства, аутентификацию и конечное шифрование, обеспечивая профессионалам ИТ стандартные механизмы для эффективной и безопасной интеграции устройств Axis в корпоративную сеть.

MACsec позволяет обмен и проверку ключей шифрования между устройством с поддержкой MACsec и коммутатором. Далее данные каждого Ethernet-фрейма шифруются и расшифровываются в реальном времени с использованием AES-GCM 128-бит, обеспечивая быструю и безопасную передачу. AXIS OS 11.8 поддерживает два стандартных режима безопасности IEEE 802.1AE: динамический CAK (EAP-TLS), который является автоматическим и включен по умолчанию, а также статический CAK (предварительно распределенный ключ) для ручной настройки.

Интеграция Axis Secure

Надежно сохраненный идентификатор устройства Axis [1], соответствующий стандарту безопасного идентификатора устройства IEEE 802.1AR, используется для аутентификации в сетях с поддержкой MACsec [4,5] через контроль доступа к портам сети на основе протокола IEEE 802.1X EAP-TLS [2]. Через сеанс EAP-TLS автоматически осуществляется обмен ключей MACsec для установки защищенного канала [3], защищая всей сетевой трафик от устройства Axis до коммутатора с поддержкой MACsec.

Безопасное включение устройства Axis может быть выполнено через контроль доступа к сети по портам IEEE 802.1X EAP-TLS, в сочетании с поддержкой устройства Axis стандарта IEEE 802.1AR. IEEE 802.1AR является частью платформы кибербезопасности Axis Edge Vault и обеспечивает автоматическую аутентификацию в сети IEEE 802.1X. Axis OS загружает уникальные идентификаторы начальных устройств (IDevIDs), соответствующие стандарту IEEE 802.1AR, в защищенный модуль криптографических вычислений, который встроен в продукты IoT Axis на этапе изготовления, защищая IDevIDs от проникновения.

Бесшовное включение можно осуществить с помощью любого решения контроля доступа к сети, которое поддерживает стандарты IEEE; например, с HPE Aruba Networking ClearPass Policy Manager, для которого доступно руководство по интеграции.