Junos OS 개요

하나의 운영 체제

공통된 이름을 공유하지만 여러 다른 프로그램으로 나뉘어지는 다른 네트워크 운영 체제와는 달리, Junos OS는 모든 네트워크 디바이스와 제품군에서 공유되는 하나의 통합 운영 체제입니다. 이를 통해 주니퍼 네트웍스 엔지니어는 소프트웨어 기능을 한 번 개발하면 이러한 기능을 모든 제품군에서 동시에 공유할 수 있습니다. 기능은 단일 소스에 공통적이기 때문에 일반적으로 모든 제품군에서 동일한 방식으로 구현되므로 각 제품에 대해 서로 다른 도구와 방법을 배우는 데 필요한 교육이 줄어듭니다. 모든 주니퍼 네트웍스 제품은 동일한 코드 베이스를 사용하기 때문에 제품 간의 상호 운용성은 문제가 되지 않습니다.

하나의 모듈형 소프트웨어 아키텍처

Junos OS의 개별 모듈은 잘 정의된 인터페이스를 통해 통신하지만 각 모듈는 보호된 자체 메모리 공간에서 실행되므로 한 모듈가 다른 방해하지 않습니다. 이 분리를 통해 필요에 따라 각 모듈을 독립적으로 다시 시작할 수 있습니다. 이는 한 모듈의 오작동이 다른 모듈로 파급되어 전체 시스템 충돌 또는 재시작을 유발할 수 있는 모놀리식 모듈 운영 체제와는 대조적입니다. 따라서 이 모듈식 아키텍처는 다른 운영 체제에서는 찾을 수 없는 고성능, 고가용성, 보안 및 디바이스 확장성을 제공합니다.

Junos OS는 출하 시 주니퍼 네트웍스 디바이스에 사전 설치되어 있습니다. 따라서 장치의 전원을 처음 켜면 모든 소프트웨어가 자동으로 시작됩니다. 장치가 네트워크에 참여할 수 있도록 소프트웨어를 구성하기만 하면 됩니다.

새로운 기능이 추가되거나 소프트웨어 문제가 해결되면 디바이스 소프트웨어를 업그레이드할 수 있습니다. 일반적으로 주니퍼 네트웍스 지원 웹 페이지에서 소프트웨어 설치 패키지를 디바이스 또는 로컬 네트워크의 다른 시스템으로 다운로드하여 새 소프트웨어를 구합니다. 그런 다음 디바이스에 소프트웨어 업그레이드를 설치합니다.

주니퍼 네트웍스 라우팅 플랫폼은 주니퍼 네트웍스에서 제공하는 바이너리만 실행하며 현재 타사 바이너리를 지원하지 않습니다. 각 Junos OS 이미지에는 서명을 검증할 수 있는 경우에만 시스템에 등록되는 디지털 서명된 실행 파일 매니페스트가 포함되어 있습니다. Junos OS는 등록된 서명 없이는 바이너리를 실행하지 않습니다. 이 기능은 장치의 무결성을 손상시킬 수 있는 승인되지 않은 소프트웨어 및 활동으로부터 시스템을 보호합니다.

보안 부트 및 부트로더

시스템의 부팅 프로세스에는 CPU를 부팅 프로세서로 활성화하는 것부터 시작하여 PCH와 통신하여 시스템을 가동하는 등 여러 단계가 포함됩니다. CPU는 기본 SPI 플래시에 저장된 BIOS 루틴으로 이동합니다. 기본 플래시 실패의 경우 부트 FPGA는 복구를 위해 보조 플래시로 전환되지만 부트로더를 로드하지는 않습니다.

부트로더는 시스템의 부팅 프로세스에서 중요한 역할을 하며 운영 체제의 안전하고 질서 있는 실행을 보장합니다. 부팅 순서와 보안 부팅, USB, SSD 및 PXE 부팅과 같은 메커니즘은 시스템 시작 절차에 유연성과 복원력을 제공합니다. 또한 GRUB 구성을 통해 사용자는 필요에 따라 부팅 프로세스를 사용자 정의하고 문제를 해결할 수 있습니다

보안 부팅은 UEFI 표준을 기반으로 하는 중요한 시스템 보안 향상입니다( Unified Extensible Firmware Interface Forum 웹 사이트 참조). BIOS 자체를 변조 또는 수정으로부터 보호한 다음 부팅 프로세스 전반에 걸쳐 해당 보호를 유지하는 방식으로 작동합니다.

보안 부팅 프로세스는 펌웨어를 무단으로 변경할 수 없도록 하는 보안 플래시로 시작됩니다. Junos OS의 공인 릴리스에는 주니퍼 네트웍스가 직접 또는 공인 파트너 중 한 곳에서 제작한 디지털 서명이 포함되어 있습니다. 부팅 프로세스의 각 지점에서 각 구성 요소는 서명을 확인하여 바이너리가 수정되지 않았는지 확인하여 다음 링크가 정상인지 확인합니다. 서명이 올바르지 않으면 부팅 프로세스를 계속할 수 없습니다. 이러한 "신뢰 체인"은 운영 체제가 제어권을 잡을 때까지 계속됩니다. 이러한 방식으로 전반적인 시스템 보안이 강화되어 일부 펌웨어 기반 지속적 위협에 대한 저항력이 향상됩니다.

그림 1은 이러한 "신뢰 체인"의 단순화된 버전을 보여줍니다.

보안 부팅을 구현하기 위해 별도의 작업이 필요하지 않습니다. 기본적으로 지원되는 하드웨어에서 구현됩니다.

보안 부팅을 지원하는 Junos OS 릴리스 및 하드웨어에 대한 자세한 내용은 기능 탐색기를 참조하고 을 입력합니다 Secure Boot.

하드웨어 신뢰 루트

HRoT(하드웨어 루트 오브 트러스트)는 시스템에 통합된 하드웨어 기반 보안 기능으로, 펌웨어의 무결성을 확인하고 안전한 작동을 보장하는 신뢰할 수 있는 기반 역할을 합니다. 이 기능은 하드웨어부터 시작하여 변경할 수 없는 신뢰 루트를 제공하여 시스템 내의 잠재적인 보안 취약성으로부터 보호합니다. HRoT는 시스템 펌웨어 및 구성의 신뢰성을 보장하는 중요한 구성 요소 역할을 합니다.

소프트웨어 기반 신뢰 메커니즘과 달리 HRoT는 하드웨어에서 직접 구현되므로 변조에 대한 저항력이 뛰어납니다. HRoT의 주요 기능은 펌웨어의 무결성을 검증하여 펌웨어가 손상되거나 무단으로 수정되지 않았는지 확인하는 것입니다. 이 기능은 검증되고 신뢰할 수 있는 펌웨어만 로드할 수 있는 보안 부팅 프로세스를 구현하는 데 사용됩니다.

FIPS 140-2 보안 준수

고급 네트워크 보안을 위해 Junos-FIPS 140-2라는 특별 버전의 Junos OS를 사용할 수 있습니다. Junos-FIPS 140-2는 FIPS 환경에서 주니퍼 네트웍스 디바이스 네트워크를 구성할 수 있는 소프트웨어 도구를 고객에게 제공합니다. FIPS 지원에는 다음이 포함됩니다.

• Junos OS를 Junos-FIPS 140-2로 변환하는 업그레이드 패키지

• 수정된 설치 및 구성 절차

• 원격 액세스를 위한 보안 강화

• FIPS 사용자 역할(암호화 담당자, 사용자 및 유지 관리)

• FIPS 관련 시스템 로깅 및 오류 메시지

• 라우팅 엔진 간 통신을 위한 IPsec 라우팅 엔진 구성

• 향상된 비밀번호 생성 및 암호화

Junos-FIPS는 국내 이미지로만 패키지되며, 단일 Junos OS 이미지는 국내 및 FIPS 기능을 모두 지원합니다. FIPS 자격 증명과 로그인 권한이 있는 사용자는 일반 Junos 이미지와 FIPS 이미지 사이를 전환할 수 있습니다.