접근 통제 Access Control
1. 정의
사용자의 신원을 식별 또는 인증하여 대상 정보의 접근 및 사용 수준을 인가하는 절차 또는 메커니즘
2. 접근 통제의 개념도 및 요소
- 위 정의에서 사용자는 주체, 대상 정보는 객체가 됨
3. 접근 통제 방식의 종류
| 방식 | 종류 |
|---|---|
| 패스워드 기반 | 인식 패스워드, passphrase, PAP, CHAP, EAP |
| 모델 기반 | MAC, MLS (MAC의 일종), DAC, RBAC |
| 중앙 집중식 | AAA, DIAMETER, RADIUS, TACACS+ |
| 물리 기반 | 출입카드, 담장, CCTV, 경비원 |
4. DAC (Discretionary Access Control) - 임의적 접근 통제
- 정의: 주체 또는 주체의 그룹의 신원에 근거하여 객체에 대한 접근을 통제하는 방법
- 특징: ID 기반의 접근 통제 (ID 도용 우려)
- 방법:
- CL (capability list): 주체 별로 접근 가능한 객체와 그 접근 방식을 명시한 목록
- ACL (access control list): 객체 별로 접근 허가된 주체와 그 주체에 허가된 접근 방식을 명시한 목록
- unix 파일 시스템 접근 권한
5. MAC (Mandatory Access Control) - 강제적 접근 통제
- 정의: 객체에게 부과된 보안 레벨과 주체의 접근 허가를 기반으로 접근 통제하는 방법
- 특징: 엄격한 접근 통제 관리, 객체의 소유자(owner)도 접근 권한 설정 불가
- 방법:
- 보안등급 설정: 조직에 속한 자원의 중요도에 따라 설정 (unclassified(0), confident(1), secret(2), top secret(3))
- 다단계 정책 (multi-level policy)
- 주로 정부/군사용으로 사용, Bell-Lapadula 모델, Biba 모델
6. RBAC (Role-Based Access Control) - 역할기반 접근 통제
- 정의: 사용자 대신 역할에 따라 자원에 대한 접근을 통제하는 방법
- 특징: 중앙관리자가 조직 내 주체와 객체의 상호관계를 통제, 계층적 역할 분배, 권한 관리 용이
- 방법 (원리):
- 최소 권한 원칙: 역할 계층을 이용하여 작업에 꼭 필요한 최소한의 허가 사항만 역할에 배정
- 직무 분리: 정보 무결성을 침해할 수 있는 작업은 상호 감시가 가능하도록 역할을 분리 수행
- 데이터 추상화: 역할에 따라 이해 가능한 명령어로 추상화
- e.g. read/write/execute -> create(입금)/debit(출금)/transfer(이체)
- 주로 기업에서 사용
7. DAC, MAC, RBAC 비교
| 구분 | DAC | MAC | RBAC |
|---|---|---|---|
| 특징 | 객체 중심 통제 | 강제적 통제 | 그룹/역할 단위 통제 |
| 통제기반 | 신분 기반 (identity-based) | 규칙 기반 (rule-based) | 역할 기반 (role-based) |
| 통제주체 | 객체 소유자 | 시스템 | 관리자 |
| 핵심요소 | CL, ACL | 보안등급, 접근 인가 | 역할 (role), 그룹 |
| 장점 | 구현 용이, 유연성 | 보안성 우수 | 구성 변경 용이 |
| 활용 | 대부분의 OS | 군, 정부 | 조직, 기업, ERP 등 |
— END OF POST.