접근통제 정책

자 컴퓨터 시스템에서의 접근통제 정책들에 대해 한번 알아봅시다.

사용자가 시스템에 접근하는 것 자체가 모든 활동의 시작이라고 할 수 있다.

우리가 컴퓨터를 쓸 때도 로그온 화면에서 로그인을 해야 컴퓨터를 사용할 수 있듯이. 이것을 식별과 인증과정이라고 한다. 가장 1차적인 접근 보호이다.

 

접근통제는 3가지 기능적 요소로 나뉜다.

1. 시스템 자원에 접근하는 사용자의 모든 접근제한 등을 정의하는 통제 정책

2. 일정한 규칙을 정해두고 조건에 부합하지 않으면 악의적인 접근이라 정의내리는 정책

3. 시스템의 보안요구에 따라 정확하고 간결하게 접근통제하는 모델

 

접근 통제에는 DAC, MAC, RBAC 뭐 이렇게 접근통제 개념이 있다. 

 

A. 임의적 접근통제 (DAC, Discretionary Access Control) 란?

어떤 사용자든지 임의적으로 다른 객체에 접근할 수 있도록 허용하는 기법을 임의적 접근통제라고 한다.

기본 개념은 이렇고. 그냥 쉽게.. 관리자가 권한을 주는 것이 아니라

 

해당 자원의 소유권을 가진 사람이 다른 사용자가 자원에 접근하려 했을 때 지 맘대로 권한 할당을 해줄 수 있다는것.

그니까, 임의적이라는 말이 소유자 자신이 관리자랑 관계없이 계정을 기준으로 권한을 줄 수 있기때문에.

 

가장 일반적인 DAC은 접근통제목록 (ACL, Access Control List)에 목록화 시켜서 사용자계정(아이디) 기반으로

통제하는 것이다. ACL을 수정함으로써 접근통제가 이루어지는 것.

 

자율로 맡기니 당연히 보안성은 높지 않다. 그리고 ID를 속여서 접근하면 통제할 방법이 없다.

한줄 요약하자면, DAC은 자원에 대한 소유권에 기반하여 접근통제하는 것. 다만 보안성은 높지않다.

 

 

B. 강제적 접근통제 (MAC, Mandatory Access Control) 란?

사용자가 자원에 접근할 때 사용자의 비밀 취급인가 레이블과 각 객체에 부여된 민감도 레이블에 따라 접근통제하는 것.

아 뭔가 말이 굉장히 어렵다.. 그냥 쉽게말해 

 

사용자나 자원 모두 보안 레벨을 부여받고 상대 비교를 하여 접근통제 하는것.

 

관리자느님께서 자원에 접근할 권한을 할당해주시면 그거에 따르면 되는 것임.

사용자마다 보안 레벨을 정하고, 자원, 객체에도 보안레벨을 부여한다.

 

그럼 접근하려는 사용자와 자원의 보안레벨을 비교해 사용자가 렙이 낮으면 나가리.

접근 규칙이 적어서 통제가 쉽고, 관리자가 통제하니까 중앙 집중적인 관리가 가능하다.

 

일단 당연히 DAC 보다 보안성이 좋아 기밀성이 강조되는 조직에서 사용한다.

다만 시스템 성능에 영향을 끼치고, 구현이 어려워 비용도 많이드는게 단점이다.

 

 

C. 역할기반 접근통제 (RBAC, Role Based Access Control) 이란?

사용자에게 할당된 역할에 기반하여 접근 통제하는 기법이다. 딱봐도 큰 조직에 적당한 모델이 아닌가.

접근하려는 사용자와 자원이 어떻게 상호작용하는지 결정하여 중앙에서 집중적으로 관리한다.

RBAC를 위해 정의된 주요 규칙은 다음과 같다:

1. 역할 할당(Role assignment)

2. 역할 권한 부여(Role authorization)

3. 권한 부여(Permission authorization)

회사로 치면 자신의 업무 외의 부분에는 접근이 불가능하도록 하는 것.

보안팀에서 인사팀의 자원에 접근못하게 하는거라고 생각하면 될듯.