รู้จักกับ MUD มาตรฐานใหม่ที่จะทำให้การจัดการอุปกรณ์ IoT ในองค์กรง่ายดายและปลอดภัยยิ่งขึ้น

หลังจากที่ทาง IETF ได้ออกมาประกาศรับรองมาตรฐานให้กับ Manufacturing Usage Description หรือ MUD อย่างเป็นทางการไปแล้วเมื่อต้นปี 2019 ที่ผ่านมาเพื่อให้การตรวจสอบหน้าที่ของอุปกรณ์ IoT นั้นเป็นไปได้อย่างง่ายดาย ทาง Cisco ก็ไม่รีรอที่จะเปิดตัว MUD 1.0 ของตนเองเพื่อนำมาใช้ร่วมกับ Cisco ISE ทันที ในบทความนี้เราจึงจะมาสรุปเรื่องราวของ MUD และ Cisco MUD 1.0 ให้ทุกท่านได้รู้จักกันครับ

รู้จักกับ MUD กันก่อน

MUD นั้นย่อมาจาก Manufacturer Usage Description ซึ่งก็มีความสามารถตรงตามชื่อก็คือเอาไว้บอกว่าอุปกรณ์ IoT แต่ละชิ้นนั้นทำหน้าที่ใดๆ บ้าง เพื่อให้การทำ Automation ภายในระบบเครือข่ายเป็นไปได้อย่างสะดวกง่ายดายยิ่งกว่าเดิม เพราะผู้ผลิตโซลูชันนั้นไม่ต้องทำการ Profiling อุปกรณ์ด้วยตนเองอีกแล้ว เพียงแค่อ่านข้อมูลจาก MUD เท่านั้นก็จะทราบทันทีว่าอุปกรณ์นั้นๆ เป็นของผู้ผลิตรายใด และควรจะมีหน้าที่เอาไว้ทำอะไร

สำหรับ Workflow เบื้องต้นนั้นก็คืออุปกรณ์ IoT นั้นจะทำการส่ง MUD-URL ไปยังอุปกรณ์เครือข่ายในขั้นตอนการทำ LLDP/DHCP/802.1X จากนั้นอุปกรณ์เครือข่ายก็จะนำ MUD-URL ไปส่งต่อให้กับ MUD Controller ที่เป็น Software เพื่อให้นำไปตรวจสอบกับ MUD File Server อีกที ก่อนที่จะมีการคืนค่ากลับมายัง MUD Controller และอุปกรณ์เครือข่ายเพื่อให้ทราบว่าอุปกรณ์นั้นๆ มีข้อมูลอะไรบ้าง และอาจนำข้อมูลเหล่านั้นไปใช้ในการกำหนดสิทธิ์ในการเข้าถึงเครือข่ายตามที่อุปกรณ์เหล่านั้นควรจะใช้ เป็นต้น

ตัวมาตรฐานฉบับเต็มของ MUD นั้นสามารถอ่านได้ใน RFC 8520 ที่ https://datatracker.ietf.org/doc/rfc8520/ โดยปัจจุบันนี้ MUD ได้กลายเป็นส่วนหนึ่งของโครงการ NIST Mitigating IoT-Based DDoS ไปแล้ว และเป็นส่วนประกอบเสริมสำหรับ Framework ของ Open Connectivity Foundation ด้วย

ตามสไตล์ Cisco: ปรับปรุง MUD ให้ดีขึ้น เป็น Cisco MUD 1.0 ใช้งานกับ Cisco Switch และ Cisco ISE ได้แล้ว

สิ่งที่ Cisco ทำนั้นก็คือทำการปรับ Flow การทำงานร่วมกันระหว่างอุปกรณ์เครือข่าย, MUD Controller และ MUD File Server ให้เข้าใจง่ายขึ้นและมีขั้นตอนน้อยลง เหลือเพียงแค่ใช้ Cisco Switch และ Cisco ISE เท่านั้น

ใน Cisco MUD 1.0 นี้ เมื่อ Cisco Switch ได้รับ MUD-URL มาจากอุปกรณ์ IoT ผ่านทาง LLDP หรือ DHCP แล้ว Cisco ก็จะส่งข้อมูลดังกล่าวไปยัง Cisco ISE เพื่อให้ทำหน้าที่ของทั้ง MUD Controller และ MUD File Server ในตัว เพื่อเรียนรู้ Device Profile และกำหนด Network/Security Policy ที่เหมาะสมกลับไปยังอุปกรณ์ IoT นั้นๆ ได้ทันที

ด้วยแนวทางนี้ การติดตั้งใช้งานอุปกรณ์ IoT ใหม่ในระบบเครือข่ายนั้นก็จะกลายเป็นเรื่องง่ายดายยิ่งขึ้น เพราะทันทีที่มีอุปกรณ์ที่ตรงตามเงื่อนไขใดๆ เชื่อมต่อเข้ามาในเครือข่าย Cisco ISE ก็จะรู้จักและทำการควบคุมด้วยนโยบายตามที่กำหนดเอาไว้ล่วงหน้าโดยอัตโนมัติ ในขณะที่หากมีอุปกรณ์ที่ไม่เคยรู้จักหรือไม่เคยถูกกำหนดนโยบายใดๆ โดยเฉพาะมาก่อน ธุรกิจหรือองค์กรก็สามารถยับยั้งการเชื่อมต่อเครือข่ายส่วนอื่นๆ ให้กับอุปกรณ์ IoT เหล่านั้นโดยอัตโนมัติได้เช่นกัน

หลังจากนี้ Cisco ก็จะสร้างช่องทางใหม่ๆ ในการนำเสนอเทคโนโลยีนี้อย่างเช่น การเปิดตัว MUD Devnet ในอนาคตที่มีข้อมูลขั้นตอนต่างๆ ทั้งสำหรับลูกค้าของ Cisco และผู้ผลิตอุปกรณ์ IoT เพื่อให้เข้าใจโซลูชันโดยรวมและพัฒนาเทคโนโลยีเพื่อให้ทำงานร่วมกับ Cisco MUD 1.0 ได้ดีขึ้นนั่นเอง

ที่มา: https://blogs.cisco.com/security/mud-is-officially-approved-by-ietf-as-an-internet-standard-and-cisco-is-launching-mud1-0-to-protect-your-iot-devices