접근 통제 (Access Control)

* 접근 통제 : 사용자(주체)의 신원을 식별, 대상 정보(객체)에 대한 접근과 사용 수준을 인가(Authorization) 하는 절차

* 접근 통제 원리

* 접근제어 메커니즘의 구성 요소

- ACL : 객체 기준으로 허가받은 대상

- CL : 주체 기준으로 허가받은 접근 가능 권한

- SL : 객체에 부여된 보안 속성 집합

* 접근 통제 정책과 모델 구현의 원칙

* 접근 통제 정책(Policy) : 자원에 접근하는 제한 조건을 정의

1) MAC (Mandatory Access Control) : 주체와 객체에 부과된 보안 레이블(label)을 기반으로 접근통제 수행, 관리자만 정보 자원 분류 설정이 가능

- 보안 등급을 자료마다 개별 설정하는 성향

* MAC 동작 원리

- ex) 군대의 장군은 일반 병사 정보 Read 가능 / 군대의 일반 병사는 장군 정보 Read 불가능

* MAC 구성

사전에 정의된 규칙에 따름	규칙 기반 방식	MLP (Multi Level Policy)	자동화된 강제적 시행 정책을 따름
		CBP (Component Based Policy)	타깃 집합이 다른 타깃들과 분리된 이름의 범주(Category)별로 분류
관리자 행위 기반에 따름	관계 기반 방식	시스템 관리자가 직접 통제하는 방식

2) DAC (Discretionary Access Control) : 객체의 소유자(소유 그룹)가 신원(신분)에 근거하여 접근 여부를 결정하는 정책

* DAC 분류 : 권한 부여 방식에 따라 분류됨

분류	내용
신원 기반 방식	주체와 객체의 ID 기반 접근 통제 (ex-Unix 시스템의 User/Group/Other)
사용자 기반 방식	객체의 소유자가 접근 권한을 설정 및 변경
혼합 방식	신원 기반 & 사용자 기반 방식을 동시에 사용

3) RBAC (Role Based Access Contorl) : 조직 내 사용자별(직무/직책)에 따라 부여된 권한을 이용하는 방법

- 개별 권한 제어에 대한 한계점을 해결하기 위한 정책으로 R&R (Role and Responsibility - 누구의 일이고 누구의 책임인지)에 대한 정책

- ex) 인사팀에서 JD(Job Description - 직무별 기대 역할을 기술한 것)를 통해 직무를 관리

* RBAC 원칙

원칙	내용
최소 권한 원칙 (Least Privilege)	사용상 최소한의 권한을 부여
직무 분리 (Seperation of Duty)	서로간 역할 분리 이후, 각종 조치를 통해 상호 감시적 역할을 수행
데이터 추상화 (Data Abstraction)	역할에 따라 이해 가능한 명령어로 추상화

* 접근 통제 모델(Model) : 시스템 보안 요구를 간결하게 표현

1) 벨-라파듈라(Bell-Lapadula) : 다단계 레벨의 기밀성 제공을 위한 접근 통제 모델

- No Read Up, No Wirte Down이 핵심 (권한이 낮은 곳에서 높은 곳으로 역류할 수 없음)

2) 비바 (Biba) : 데이터 무결성 보장을 위한 상업용 접근 통제 모델

- No Read Down, No Write Up이 핵심 (권한이 높은 데이터 무결성 보존, 권한이 낮은 데이터로 잘못된 정보 습득 방지)

3) 클라크 윌슨 (Clark-Wilson - 제한 인터페이스 모델) : 비바 모델의 진화형으로 무결성 보장을 중점으로 상업용으로 제작, 주체의 권한이 아닌, 프로그램 사용을 강제하여 접근하는 모델

Router Security (0)	2021.05.06
Windows SID (Security Identifier) (0)	2021.02.28
TCP Wrapper (0)	2021.01.17
Windows 접근 구조 및 Local/Remote 인증 (0)	2021.01.17

SecurityCareer