728x90
접근통제의 모델
강제적 접근통제(MAC, Mandatory Access Control)
- 개요
- 객체의 소유자가 변경할 수 없는 주체들과 객체들 간의 접근통제 관계를 정의
- 보안 관리자가 취급인가를 허용한 개체만 접근할 수 있도록 강제적으로 통제
- 보안 레이블과 보안 허가증을 비교하는 것에 기반
- 다중수준 보안(MLS, Multilevel Security)정책에 기반
- 특징
- 주체가 객체로 접근하는데 적용되는 규칙은 보안전문에 의해 생성, 운영자에 의해 설정, 운영시스템에 의해 집행, 다른 보안기술들에 의해 지원된다. 즉, 중앙집중형 보안이다.
- 주체가 한 개체를 다른 객체에게 복사하는 경우, 원래의 객체에 내포된 MAC 제약사항이 복사된 객체에 전파
- MAC 정책은 어느 하나의 주체/객체 단위로 접근제한을 설정할 수 없다.
- 접근 규칙수가 적어 통제가 용이하다. (?)
접근 규칙수란, 컴퓨터나 장치에 접근할 수 있는 사용자를 결정하는 설정 그룹의 수다.
강제적 접근통제는 객체와 주체에 보안 레벨과 라벨이 지정되며, 모든 조합에 대한 규칙이 사전에 설정되어야하기 때문에 접근 규칙수가 많다고 할 수 있다. 다만, 문제에서 가장 부적절한 것을 고르라 했고 확실하게 틀린 선지가 있었기 때문에 정답이 아닌 것 같다.
MAC시스템이 소규모이고 환경이 단순한 경우에는 접근 규칙수가 적을 수 있다.
- 문제점
- 매우 제한적인 사용자 기능과 많은 관리적 부담을 요구
- MAC 시스템은 매우 특정한 목적(주로 군 시스템)을 위해 사용
- 모든 접근에 대한 레이블링과 보안 정책 확인으로 성능저하의 우려 존재
임의적 접근통제(DAC, Discretionary Access Control)
- 개요
- 접근통제 매트릭스를 구현하기 위해 개발된 정책으로써 미국 정방성 TCSEC의 접근통제 표준 중 하나로 정의
- 객체 소유자에 의하여 변경 가능한 하나의 주체와 객체 간의 관계를 정의
- 임의적으로 어떤 객체에 대하여 주체가 접근권한을 추가 및 철회 가능
- 특징
- 중앙집중화된 환경에서 제어되는 것이 아니며, 사용자에게 보다 동적으로 정보에 접근할 수 있게 해준다. 즉, 분산형 보안이다.
- 대부분의 운영세스템은 DAC에 기반
- 주체가 한 객체를 다른 객체에게 복사하는 경우, 처음의 객체에 내포된 접근통제 정보가 복사된 객체로 전달되지 않는다.
- 장점
- 객체별로 세분화된 접근제어가 가능하여, 매우 유연한 접근제어 서비스 제공 가능
- 단점
- 시스템 전체 차원의 일관성 있는 접근제어 부족,
- 높은 접근 권한을 가진 사용자가 다른 사용자에게 자료에 대한 접근을 임의로 허용 가능
- 접근통제 메커니즘이 데이터의 의미에 대해 아무런 지식이 없다.
- 멀웨어는 DAC 시스템에 있어서 치명적
- 트로이목마 공격에 취약
- 임의적 접근통제 기법
- 접근제어 행렬(Access Control Matrix)
- 자격 목록(Capability List)
- 접근제어 목록(ACL)
역할기반 접근통제(RBAC, Role Based Access Control)
- 개요
- 사용자의 역할에 기반을 두고 접근을 통제하는 모델
- 권한을 역할과 연관시키고 사용자들이 적절한 역할을 할당받도록 하여 권한의 관리가 용이
- 역할은 사용자들의 집합이면서 권한의 집합이다.
- 특징
- 중앙에서 관리되는 통제 모음을 사용, 접근 통제 수준은 사용자의 운영과 작업에 기반
- 강제적 접근통제 방식과 임의적 접근통제 방식의 단점을 보완
- 주체의 인사이동이 잦은 조직에 적합
- Non-DAC이라고 불리기도 한다.
- RBAC의 3가지 기본 보안 정책: 특권의 최소화, 직무의 분리, 데이터 추상화
- 장점
- 관리자에게 편리한 관리능력 제공
- DAC에 비해 유연성은 떨어지지만 전체 시스템 관점에서 일관성 있는 접근제어가 용이
보안 모델
벨라파듈라 모델(BLP) - MAC
- 개요
- 상태머신 모델이자 정보흐름 모델, 다중등급 보안 정책에 대한 최초의 수학적 모델
- 보안 규칙
- 기밀성 중심
- No read up: 주체는 같거나 낮은 보안 수준의 객체만 읽을 수 있다. 단순 보안 속성이라 불린다.
- No write down: 주체는 같거나 높은 수준의 객체에만 쓸 수 있다. *속성으로 불린다.
- 특수 *-속성 규칙: 주체가 객체에 대하여 읽기, 쓰기를 할 수 있기 위해서는 보안 허가와 보안 분류가 동일해야한다.
- 장단점
- 기밀성 유지에 매우 강한 특성을 지닌다.
- 정보의 무결성 유지에는 문제점이 있다.
- 보안 단계가 높은 사용자와 보안 단계가 낮은 사용자가 자원을 공유하고 있을 경우 기밀성 유지가 훼손될 수 있다.
비바 무결성 모델(Biba Integrity Model) - MAC
- 개요
- 상태머신 모델이자 최초의 수학적 무결성 모델
- 무결성의 3가지 목표 중 비인가자에 의한 데이터 변형 방지만 취급
- 보안 규칙
- 무결성 중심
- 단순 무결성: 객체의 무결성 수준이 주체의 무결성 수준보다 우세할 때만 주체는 객체를 읽을 수 있다.
- 무결성 제한: 주체의 무결성 수준이 객체의 무결성 수준보다 우세할 때만 주체는 객체를 변경할 수 있다.
- 호출 속성: 주체는 보다 높은 무결성을 갖는 주체에게 서비스를 요청할 수 없다. 주체는 낮은 무결성 수준에 대해서만 호출이 가능하다.
클락-윌슨 무결성 모델 - MAC
- 개요
- 무결성 중심의 상업적 모델, 무결성의 3가지 목표를 모두 취급
- 접근통제 원칙
- 정확한 트랜잭션
- 사용자가 직접 객체에 접근할 수 없고 프로그램을 통해서만 객체에 접근 가능
만리장성 모델 - MAC, DAC
기타 접근통제 모델
- 정보흐름 모델
- 강태 기계 모델