| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |
- dfs
- NIO
- Union-find
- 힙덤프
- html
- CSS
- priority_queue
- Java
- BFS
- JPA
- set
- 큐
- alter
- javascript
- 리소스모니터링
- deque
- sql
- string
- 스프링부트
- Properties
- union_find
- Calendar
- math
- scanner
- date
- spring boot
- List
- 스택
- map
- GC로그수집
- Today
- Total
매일 조금씩
접근통제 보안 모델 본문
1. 접근 통제 모델
1) 강제적 접근 통제 (MAC, Mandatory Access Control)
주체와 객체의 보안 등급을 비교하여 접근 권한을 부여하는 접근통제이다. (규칙기반 접근통제)
보안 관리자가 취급 인가를 허용한 개체만 접근할 수 있도록 강제적으로 통제한다. (중앙 집중형 보안관리)
다중 수준 보안 정책에 기반한다. (서로 다른 분류 수준에 있는 데이터가 보호되는 방법)
다음/네이버 카페에서 등급에 따라서 접근 가능한 게시판을 예로 들 수 있다. (방화벽)
BLP(BELL-LaPadula, 벨라파듈라) 모델, Biba 모델, 클락-윌슨 모델, 만리장성 모델이 있다.
1.1) 장점
모든 객체에 대한 관리가 용이하다.
중앙 집중식 관리이기 때문에 매우 엄격한 보안을 제공한다.
1.2) 단점
매우 제한적인 사용자 기능과 많은 관리적 부담을 요구하며 비용이 많이 소모된다.
모든 접근에 대해 확인해야 하므로 성능이 저하된다.
상업적인 환경에 부적합하다. (군부대)
2) 임의적 접근 통제 (DAC, Discretionary Access Control)
주체가 속해있는 그룹의 신원에 근거하여 객체에 대한 접근을 제한하는 방법이다. (신분기반 접근통제)
객체의 소유자가 접근 여부를 결정한다. (분산형 보안관리)
하나의 주체마다 객체에 대한 접근 권한을 부여해야 한다.
리눅스, 윈도우, 유닉스 등 대부분의 운영시스템은 DAC에 기반한다. (ACL)
접근제어 행렬, 자격목록, 접근제어 목록이 있다.
2.1) 장점
객체별로 세분화된 접근제어가 가능하다.
특정 주체가 다른 주체에 대해 임의적으로 접근제어가 가능하다.
매우 유연한 접근 제어 서비스를 제공할 수 있다.
2.2) 단점
시스템 전체 차원의 일관성 있는 접근제어가 부족하다.
높은 접근 권한을 가진 사용자가 다른 사용자가 임의적으로 접근을 허용할 수 있다.
멀웨어, 바이러스, 윔, 루트 킷, 트로이 목마 공격에 취약하다.
3) 역할기반 접근통제 (RBAC, Role Based, Access Control)
주체와 객체 사이에 역할을 두어 역할에 따라 접근통제한다. (역할은 사용자의 집합과 권한 집합의 매개체)
강제적 접근제어와 임의적 접근제어의 대안으로 사용된다.
DAC와 구분하기 위해서 Non-DAC 또는 비임의적 접근통제 모델로도 불린다.
인사담당자, 총무담당자 등과 같이 권한 그룹을 통해 접근을 제어한다. (직무를 기반으로 한 접근통제)
권한의 최소와, 직무의 분리, 데이터 추상화 보안정책을 제공한다.
3.1) 장점
관리자에게 편리한 관리 능력을 제공한다.
DAC보다는 유연성이 떨어지나 관리자에 의해 전체 시스템 관점에서 일관성 있는 접근제어가 용이하다.
최소권한, 직무분리 원칙을 충족시키기가 용이하다.
2. MAC 보안 모델
1) 벨라파듈라 모델 (BLP, Bell-LaPadula Confidentiality Model)
기밀성을 강조하고 최초의 수학적 모델로 강제적 정책에 의해 접근 통제하는 모델 (가용성, 무결성보다는 기밀성!)
단순 보안 속성(No Read Up): 주체는 같거나 낮은 계층만 읽을 수 있다
성형 보안 속성(No write Down): 주체는 같거나 높은 계층만 쓸 수 있다.
특수 속성 규칙(Strong star property rule): 주체는 동일레벨에서 읽기 쓰기가 가능하다.
| 구분 | 읽기 | 쓰기 | 읽기/쓰기 |
| 상급 보안 계층 | X (비인가 접근) | O | X (비인가 접근) |
| 할당된 보안 접근 레벨 | O | O | O |
| 하급 보안 계층 | O | X (비인가 공개) | X (비인가 공개) |
1.1) 장점
트로이 목마 공격이 불가능 하다.(보안 단계가 높은 정보를 훔치기 불가능)
높은 단계에서 낮은 단계로 가는 기밀성 유지에 강한 특성을 같는다.
1.2) 단점
낮은 단계에서 높은 단계로 글을 쓸 수 있으므로 무결성 유지가 어렵다.
높은 사용자와 낮은 사용자간의 자원 공유 시 기밀성 유지가 훼손될 수 있다.
2) 비바 무결성 모델 (Biba Integrity Model)
무결성을 위한 최초의 상업적 모델이다.(BLP를 보완, MAC)
무결성 목표중 비인가자에 의한 데이터 변형 방지만 취급한다. (변조방지를 목적으로 함)
- 상위레벨 쓰기 금지: 단순 무결성
- 하위레벨 읽기 금지: 무결성 제한
- 호출 속성: 높은 무결성을 가진 주체에게 서비스를 요청할 수없다. (낮은 무결성을 가진 객체에게 요청 가능)
| 구분 | 읽기 | 쓰기 | 읽기/쓰기 |
| 상급 보안 계층 | O | X (데이터 손상) | X (무결성 위협) |
| 할당된 보안 접근 레벨 | O | O | 서비스 명령 전송 |
| 하급 보안 계층 | X (데이터 손상) | O |
3) 클락-윌슨 무결성 모델 (CWM, Clark-Wilson Integrity Model)
무결성 중심의 상업적 모델이다.
사용자가 직접 객체에 접근할 수 없고 프로그램을 통해서만 객체에 접근할 수 있게 하는 보안 모델이다.
무결성의 3가지 목표를 모델을 통해서 각각 제시한다.
3.1) 무결성의 3가지 목표
① 비인가자가 수정하는것을 방지 (Biba)
② 내/외부 일관성 유지 (정확한 트랜젝션)
③ 합법적인 사람에 의한 불법적인 수정을 방지
4) 만리장성 모델 (CWM, Chinese Wall Model, Brewer-Nash Model)
사용자의 이전 동작에 따라 변화할 수 있는 접근 통제를 제공한다. (MAC, DAC)
이해 충돌을 야기하는 주체와 객체 사이에 정보가 흐르지 않게 한다. (정보 흐름모델을 기반으로 한다.)
이해 충돌을 방지하기 위해 만리장성이라 불리는 벽을 사용한다.
2. DAC 보안 모델
1)접근제어 행렬
주체를 행(Row) 객체를 열(Calumn)로 구성하고 주체가 객체에 수행할 수 있는 접근 권한을 기록하여 관리한다.
효과적으로 권한을 부여 정책을 정의할 수 있지만 많아질수록 행렬의 크기가 커진다.
비어있는 셀이 많아지므로 공간적으로 비효율적이다.
2) 자격 목록 (Capability List, Capability Tickets)
한 주체가 갖는 자격들의 리스트이다. 자격 리스트는 행 단위로 관리된다.
콘텐츠의 보안성이 보장받지 못하는 분산환경에서 사용하기에 적합하다.
대표적인 예로는 커버로스가 있다.
3) 접근제어 리스트 (ACLs, Access-Control Lists)
객체의 관점에서 객체에 어떤 주체가 어떤 접근 권한을 갖는지 명시하는 것이다.
접근제어행렬은 행렬로 접근제어 설정
자격 목록은 파일에 권한을 부여하고 사용자가 파일의 권한에 따라서 접근
접근제어 목록은 사용자에 권한을 부여하고 사용자가 권한에 따라 파일에 접근