รู้จักกับ MUD มาตรฐานใหม่ที่จะทำให้การจัดการอุปกรณ์ IoT ในองค์กรง่ายดายและปลอดภัยยิ่งขึ้น

หลังจากที่ทาง IETF ได้ออกมาประกาศรับรองมาตรฐานให้กับ Manufacturing Usage Description หรือ MUD อย่างเป็นทางการไปแล้วเมื่อต้นปี 2019 ที่ผ่านมาเพื่อให้การตรวจสอบหน้าที่ของอุปกรณ์ IoT นั้นเป็นไปได้อย่างง่ายดาย ทาง Cisco ก็ไม่รีรอที่จะเปิดตัว MUD 1.0 ของตนเองเพื่อนำมาใช้ร่วมกับ Cisco ISE ทันที ในบทความนี้เราจึงจะมาสรุปเรื่องราวของ MUD และ Cisco MUD 1.0 ให้ทุกท่านได้รู้จักกันครับ

รู้จักกับ MUD กันก่อน

MUD นั้นย่อมาจาก Manufacturer Usage Description ซึ่งก็มีความสามารถตรงตามชื่อก็คือเอาไว้บอกว่าอุปกรณ์ IoT แต่ละชิ้นนั้นทำหน้าที่ใดๆ บ้าง เพื่อให้การทำ Automation ภายในระบบเครือข่ายเป็นไปได้อย่างสะดวกง่ายดายยิ่งกว่าเดิม เพราะผู้ผลิตโซลูชันนั้นไม่ต้องทำการ Profiling อุปกรณ์ด้วยตนเองอีกแล้ว เพียงแค่อ่านข้อมูลจาก MUD เท่านั้นก็จะทราบทันทีว่าอุปกรณ์นั้นๆ เป็นของผู้ผลิตรายใด และควรจะมีหน้าที่เอาไว้ทำอะไร

Credit: Cisco

สำหรับ Workflow เบื้องต้นนั้นก็คืออุปกรณ์ IoT นั้นจะทำการส่ง MUD-URL ไปยังอุปกรณ์เครือข่ายในขั้นตอนการทำ LLDP/DHCP/802.1X จากนั้นอุปกรณ์เครือข่ายก็จะนำ MUD-URL ไปส่งต่อให้กับ MUD Controller ที่เป็น Software เพื่อให้นำไปตรวจสอบกับ MUD File Server อีกที ก่อนที่จะมีการคืนค่ากลับมายัง MUD Controller และอุปกรณ์เครือข่ายเพื่อให้ทราบว่าอุปกรณ์นั้นๆ มีข้อมูลอะไรบ้าง และอาจนำข้อมูลเหล่านั้นไปใช้ในการกำหนดสิทธิ์ในการเข้าถึงเครือข่ายตามที่อุปกรณ์เหล่านั้นควรจะใช้ เป็นต้น

ตัวมาตรฐานฉบับเต็มของ MUD นั้นสามารถอ่านได้ใน RFC 8520 ที่ https://datatracker.ietf.org/doc/rfc8520/ โดยปัจจุบันนี้ MUD ได้กลายเป็นส่วนหนึ่งของโครงการ NIST Mitigating IoT-Based DDoS ไปแล้ว และเป็นส่วนประกอบเสริมสำหรับ Framework ของ Open Connectivity Foundation ด้วย

ตามสไตล์ Cisco: ปรับปรุง MUD ให้ดีขึ้น เป็น Cisco MUD 1.0 ใช้งานกับ Cisco Switch และ Cisco ISE ได้แล้ว

สิ่งที่ Cisco ทำนั้นก็คือทำการปรับ Flow การทำงานร่วมกันระหว่างอุปกรณ์เครือข่าย, MUD Controller และ MUD File Server ให้เข้าใจง่ายขึ้นและมีขั้นตอนน้อยลง เหลือเพียงแค่ใช้ Cisco Switch และ Cisco ISE เท่านั้น

Credit: Cisco

ใน Cisco MUD 1.0 นี้ เมื่อ Cisco Switch ได้รับ MUD-URL มาจากอุปกรณ์ IoT ผ่านทาง LLDP หรือ DHCP แล้ว Cisco ก็จะส่งข้อมูลดังกล่าวไปยัง Cisco ISE เพื่อให้ทำหน้าที่ของทั้ง MUD Controller และ MUD File Server ในตัว เพื่อเรียนรู้ Device Profile และกำหนด Network/Security Policy ที่เหมาะสมกลับไปยังอุปกรณ์ IoT นั้นๆ ได้ทันที

ด้วยแนวทางนี้ การติดตั้งใช้งานอุปกรณ์ IoT ใหม่ในระบบเครือข่ายนั้นก็จะกลายเป็นเรื่องง่ายดายยิ่งขึ้น เพราะทันทีที่มีอุปกรณ์ที่ตรงตามเงื่อนไขใดๆ เชื่อมต่อเข้ามาในเครือข่าย Cisco ISE ก็จะรู้จักและทำการควบคุมด้วยนโยบายตามที่กำหนดเอาไว้ล่วงหน้าโดยอัตโนมัติ ในขณะที่หากมีอุปกรณ์ที่ไม่เคยรู้จักหรือไม่เคยถูกกำหนดนโยบายใดๆ โดยเฉพาะมาก่อน ธุรกิจหรือองค์กรก็สามารถยับยั้งการเชื่อมต่อเครือข่ายส่วนอื่นๆ ให้กับอุปกรณ์ IoT เหล่านั้นโดยอัตโนมัติได้เช่นกัน

หลังจากนี้ Cisco ก็จะสร้างช่องทางใหม่ๆ ในการนำเสนอเทคโนโลยีนี้อย่างเช่น การเปิดตัว MUD Devnet ในอนาคตที่มีข้อมูลขั้นตอนต่างๆ ทั้งสำหรับลูกค้าของ Cisco และผู้ผลิตอุปกรณ์ IoT เพื่อให้เข้าใจโซลูชันโดยรวมและพัฒนาเทคโนโลยีเพื่อให้ทำงานร่วมกับ Cisco MUD 1.0 ได้ดีขึ้นนั่นเอง

ที่มา: https://blogs.cisco.com/security/mud-is-officially-approved-by-ietf-as-an-internet-standard-and-cisco-is-launching-mud1-0-to-protect-your-iot-devices


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Google เผยมือมืดผู้พัฒนาเครื่องมือใช้ช่องโหว่ Windows

มีบริษัทมากมายบนโลกได้นำเสนอการพัฒนาชุดเจาะระบบเพื่อขายให้แก่รัฐบาลต่างๆ ซึ่ง Google’s Threat Analysis Group (TAG) ได้ระบุตัวถึงอีกหนึ่งบริษัทในสเปนที่พัฒนาชุดเครื่องมือใช้งานช่องโหว่ใน Chrome, Firefox และ Microsoft Defender ซึ่งได้รับการแพตช์ครบตั้งแต่ต้นปี 2022

อีกแล้ว! LastPass ประกาศเหตุข้อมูลรั่วไหล พร้อมกับ GoTo

LastPass ได้ประกาศเหตุข้อมูลรั่วไหลเป็นครั้งที่สองแล้วของปี หลังจากครั้งแรกเมื่อเดือนสิงหาคมที่ผ่านมา อย่างไรก็ดียังเป็นเหตุการณ์ที่มีจุดร่วมกับ GoTo ผู้ให้บริการ Remote Access และโซลูชัน Collaboration ในส่วนของ Cloud Storage ที่ทั้งสองแชร์ร่วมกัน