심층 방어, 접근 통제 기법(DAC, MAC, RBAC)
2019. 1. 3. 20:46
반응형
- 심층 방어(Defense in Depth)란, 시스템 등의 자산을 보호하기 위해 여러 방어 계층으로 계층적 보안을 제공하는 것을 의미한다. 심층 방어를 위해서는 한 가지 측면의 방법으로만 접근 통제가 이루어져서는 안되고, 관리적, 기술적, 물리적인 측면에서 접근 통제를 구현해야 한다. 관리적 접근 통제란 기관의 보안 정책이나 규정 등으로 정의된 정책을 말한다. 보안 인식과 이를 교육하는 것, 정책, 데이터 분류, 업무 감독 등이 관리적 접근 통제의 예이다. 논리적 또는 기술적 접근 통제란 하드웨 및 소프트웨어 등의 기술을 사용하여 접근을 관리하는 것이다. 암호화, 다양한 인증 방법, 접근 통제 리스트, 방화벽, 침입 방지 시스템 등이 그 예이다. 그리고 물리적 접근 통제는 물리적인 장치로 접근을 관리하는 것으로서 잠금 장치, 감시 카메라, 경보 장치 등이 있다. 이러한 관리적, 기술적(논리적), 물리적 접근 통제 방법들을 모두 조합하여 강력한 방어를 제공해야 보안성이 보다 향상된다.
- 대표적인 접근 통제 기법에는 임의적 접근 통제, 강제적 접근 통제, 역할 기반 접근 통제 등이 있다.
- 임의적 접근 통제(DAC, Discretionary Access Controls)를 사용하는 시스템에서는, 모든 객체는 소유자가 있으며 이 소유자는 그 객체에 대해 모든 권한을 가진다. 그리고 객체의 소유자가 주체 접근을 통제하고 정의하며 접근 통제 목록을 변경할 수 있다. 객체 소유자의 재량에 따라 접근 통제 결정을 하기 때문에 중앙 통제 관리 시스템의 성격을 갖지 않으며 변경이 용이하므로 유연한 기법이다. 임의적 접근 통제는 신원 기반 접근 통제로 불리우기도 하는데, 접근이 주체의 신원을 통해 제어되기 때문이다. 임의적 접근 통제는 접근 통제 목록(ACL, Access Control List)을 통해 구현된다.
- 강제적 접근 통제(MAC, Mandatory Access Controls)를 사용하는 시스템에서는, 보안 영역을 나타내는 분류 레이블에 의존하여 접근 통제를 한다. 즉, 모든 주체와 객체는 보안 명칭을 가져야 한다. 주체는 비밀 취급 수준에 따라서 명칭이 부여되고, 객체는 각 분류 수준이나 민감도에 따라서 명칭이이 부여된다. 주체는 자신과 동일하거나 낮은 수준으로 분류된 객체에 접근할 수 있는 것이다. 강제적 접근 통제는 임의적 접근 통제보다 안전하다고 알려져 있으나, 대신 덜 유연하고 확정성이 떨어진다.
- 역할 기반 접근 통제(RBAC, Role Based Access Controls)를 사용하는 시스템에서는, 주체의 역할이나 주체에게 할당된 작업을 기반으로 하여 접근 통제를 한다. 권한이 직접 사용자에게 할당되지 않고, 그룹을 생성하여 그룹에 권한을 할당한다. 또한 임의적 접근 통제와 다르게, 객체의 소유자 마음대로 접근 통제를 할 수 없다. 접근이 주체의 신원보다는 역할이나 할당된 작업에 따라 결정되기 때문에 사용자가 자주 바뀌는 동적인 시스템에서 유용하다.
반응형
'컴퓨터 · IT > 보안 일반' 카테고리의 다른 글
인덱싱, 해싱, 자료구조 측면에서의 해싱, 순서 인덱스, 해싱 인덱스 (0) | 2019.02.01 |
---|---|
암호학적 해시함수, 충돌 회피성, SHA, MD5 (1) | 2019.01.31 |
AAA(인증,인가,회계/과금/계정관리) 기술, RADIUS, DIAMETER 비교 (1) | 2019.01.08 |
접근 통제의 요소 :: 식별, 인증, 인가, 책임 추적성! 용어 정리와 그 예시들 (0) | 2019.01.02 |
접근 통제란? '권한, 허가, 특권'의 차이, 접근 통제의 유형 (0) | 2018.12.31 |