접근통제 정책: Difference between revisions
From CS Wiki
No edit summary |
|||
Line 1: | Line 1: | ||
[[분류:보안]][[분류:정보보안기사]] | [[분류:보안]] | ||
[[분류:정보보안기사]] | |||
;Access Control Policy | ;Access Control Policy | ||
; | |||
{| class="wikitable" | |||
|+ | |||
!구분 | |||
!MAC | |||
!DAC | |||
!RBAC | |||
|- | |||
|보안 주체 | |||
|시스템 | |||
|소유자 | |||
|역할 | |||
|- | |||
|통제 주체 | |||
|보안 레이블 | |||
|권한 위임 | |||
|참조 모니터 | |||
|- | |||
|사용자 통제 | |||
|단순 | |||
|복잡 | |||
|유연 | |||
|- | |||
|적용 대상 | |||
|군대 | |||
|기업 | |||
|대기업 | |||
|} | |||
; | |||
==[[임의적 접근통제]]== | ==[[임의적 접근통제]]== | ||
;DAC, Discretionary Access Control | ;DAC, Discretionary Access Control | ||
* 개인 기반 정책과 그룹기반 정책을 포함한다. | |||
* 객체에 접근하고자 하는 주체(또는 주체가 속한 그룹)의 접근 권한에 따라 접근 통제를 적용한다. | *개인 기반 정책과 그룹기반 정책을 포함한다. | ||
* 특정 접근 허가를 가진 주체는 임의의 다른 주체에게 자신의 접근 권한을 넘겨줄 수 있다. | *객체에 접근하고자 하는 주체(또는 주체가 속한 그룹)의 접근 권한에 따라 접근 통제를 적용한다. | ||
* TCSEC에서는 신분-기반 접근 통제 정책으로 DAC를 분류한다. Orange Book C등급 | *특정 접근 허가를 가진 주체는 임의의 다른 주체에게 자신의 접근 권한을 넘겨줄 수 있다. | ||
=== DAC 예시 === | *TCSEC에서는 신분-기반 접근 통제 정책으로 DAC를 분류한다. Orange Book C등급 | ||
* DAC의 대표적인 구현 예로 ACL(Access Control List)가 있다. | |||
* 방화벽 정책이나 TCP Wrapper 등 리눅스의 네트워크 서비스의 접근제어가 대부분 DAC를 따른다. | ===DAC 예시=== | ||
* "이 자원은 누구누구가 접근 가능하다." 또는 "누구누구는 이 자원에 접근 가능하다." 라는 식의 정의 | |||
*DAC의 대표적인 구현 예로 ACL(Access Control List)가 있다. | |||
*방화벽 정책이나 TCP Wrapper 등 리눅스의 네트워크 서비스의 접근제어가 대부분 DAC를 따른다. | |||
*"이 자원은 누구누구가 접근 가능하다." 또는 "누구누구는 이 자원에 접근 가능하다." 라는 식의 정의 | |||
==[[강제적 접근통제]]== | ==[[강제적 접근통제]]== | ||
;MAC, Mandatory Access Control | ;MAC, Mandatory Access Control | ||
* 보안 등급, 규칙 기반, 관리 기반의 접근 통제 방식이다. | |||
* 모든 주체 및 객체에 대하에 일정하며 어느 하나의 주체나 객체 단위로 접근 제한을 설정할 수 없다. | *보안 등급, 규칙 기반, 관리 기반의 접근 통제 방식이다. | ||
* 주체의 레이블과 주체가 접근하고자 하는 객체의 보안 레이블을 비교하여 보안 정책에 합당한 접근 통제 규칙에 의한 통제 방법이다. | *모든 주체 및 객체에 대하에 일정하며 어느 하나의 주체나 객체 단위로 접근 제한을 설정할 수 없다. | ||
* TCSEC에서는 규칙-기반 접근 통제 정책으로 MAC를 분류한다. Orange Book B등급 | *주체의 레이블과 주체가 접근하고자 하는 객체의 보안 레이블을 비교하여 보안 정책에 합당한 접근 통제 규칙에 의한 통제 방법이다. | ||
=== MAC 예시 === | *TCSEC에서는 규칙-기반 접근 통제 정책으로 MAC를 분류한다. Orange Book B등급 | ||
* 보안 등급에 따른 일차원적인 접근권한 차등화가 대표적인 MAC의 구현 예이다. | |||
* 예를 들면 다음/네이버 카페에서 등급에 따라서 접근 가능한 게시판이 정해지는 예이다. | ===MAC 예시=== | ||
* 그누보드나 제로보드의 레벨 제도 또한 MAC에 해당한다. | |||
*보안 등급에 따른 일차원적인 접근권한 차등화가 대표적인 MAC의 구현 예이다. | |||
*예를 들면 다음/네이버 카페에서 등급에 따라서 접근 가능한 게시판이 정해지는 예이다. | |||
*그누보드나 제로보드의 레벨 제도 또한 MAC에 해당한다. | |||
==[[역할기반 접근 통제]]== | ==[[역할기반 접근 통제]]== | ||
;RBAC, Role Based Access Control | ;RBAC, Role Based Access Control | ||
* DAC와 MAC의 단점을 보완한 방식이다. | |||
* 권한을 사용지가 아닌 그룹에 부여하고, 그룹이 수행하여야 할 역할을 정의한다. | *DAC와 MAC의 단점을 보완한 방식이다. | ||
* 초기 관리의 오버헤드를 줄이고, 직무를 기반으로 하는 접근 통제 모델이다. | *권한을 사용지가 아닌 그룹에 부여하고, 그룹이 수행하여야 할 역할을 정의한다. | ||
* 각 주체에 허용된 접근 수준(Clearance)과 객체에 부여된 허용등급(Classification)에 근거 하여 접근 통제를 운영한다. | *초기 관리의 오버헤드를 줄이고, 직무를 기반으로 하는 접근 통제 모델이다. | ||
* 접근 수준과 등급에 대한 정의는 관리자에 의해 설정 및 변경이 가능하다. | *각 주체에 허용된 접근 수준(Clearance)과 객체에 부여된 허용등급(Classification)에 근거 하여 접근 통제를 운영한다. | ||
* 비 임의적 접근통제 모델(Non-Discretionary) 또는 임무 기반(Task-Based) 접근통제 모델로 불리기도 한다. | *접근 수준과 등급에 대한 정의는 관리자에 의해 설정 및 변경이 가능하다. | ||
=== RBAC 예시 === | *비 임의적 접근통제 모델(Non-Discretionary) 또는 임무 기반(Task-Based) 접근통제 모델로 불리기도 한다. | ||
* 최근의 업무 시스템들은 대부분 RBAC이다. 인사담당자, 총무담당자 등과 같이 권한 그룹을 통해 접근을 제어한다. | |||
* 리눅스의 그룹 퍼미션 또한 RBAC라고 할 수 있다. | ===RBAC 예시=== | ||
*최근의 업무 시스템들은 대부분 RBAC이다. 인사담당자, 총무담당자 등과 같이 권한 그룹을 통해 접근을 제어한다. | |||
*리눅스의 그룹 퍼미션 또한 RBAC라고 할 수 있다. |
Revision as of 11:03, 5 June 2020
- Access Control Policy
구분 | MAC | DAC | RBAC |
---|---|---|---|
보안 주체 | 시스템 | 소유자 | 역할 |
통제 주체 | 보안 레이블 | 권한 위임 | 참조 모니터 |
사용자 통제 | 단순 | 복잡 | 유연 |
적용 대상 | 군대 | 기업 | 대기업 |
임의적 접근통제
- DAC, Discretionary Access Control
- 개인 기반 정책과 그룹기반 정책을 포함한다.
- 객체에 접근하고자 하는 주체(또는 주체가 속한 그룹)의 접근 권한에 따라 접근 통제를 적용한다.
- 특정 접근 허가를 가진 주체는 임의의 다른 주체에게 자신의 접근 권한을 넘겨줄 수 있다.
- TCSEC에서는 신분-기반 접근 통제 정책으로 DAC를 분류한다. Orange Book C등급
DAC 예시
- DAC의 대표적인 구현 예로 ACL(Access Control List)가 있다.
- 방화벽 정책이나 TCP Wrapper 등 리눅스의 네트워크 서비스의 접근제어가 대부분 DAC를 따른다.
- "이 자원은 누구누구가 접근 가능하다." 또는 "누구누구는 이 자원에 접근 가능하다." 라는 식의 정의
강제적 접근통제
- MAC, Mandatory Access Control
- 보안 등급, 규칙 기반, 관리 기반의 접근 통제 방식이다.
- 모든 주체 및 객체에 대하에 일정하며 어느 하나의 주체나 객체 단위로 접근 제한을 설정할 수 없다.
- 주체의 레이블과 주체가 접근하고자 하는 객체의 보안 레이블을 비교하여 보안 정책에 합당한 접근 통제 규칙에 의한 통제 방법이다.
- TCSEC에서는 규칙-기반 접근 통제 정책으로 MAC를 분류한다. Orange Book B등급
MAC 예시
- 보안 등급에 따른 일차원적인 접근권한 차등화가 대표적인 MAC의 구현 예이다.
- 예를 들면 다음/네이버 카페에서 등급에 따라서 접근 가능한 게시판이 정해지는 예이다.
- 그누보드나 제로보드의 레벨 제도 또한 MAC에 해당한다.
역할기반 접근 통제
- RBAC, Role Based Access Control
- DAC와 MAC의 단점을 보완한 방식이다.
- 권한을 사용지가 아닌 그룹에 부여하고, 그룹이 수행하여야 할 역할을 정의한다.
- 초기 관리의 오버헤드를 줄이고, 직무를 기반으로 하는 접근 통제 모델이다.
- 각 주체에 허용된 접근 수준(Clearance)과 객체에 부여된 허용등급(Classification)에 근거 하여 접근 통제를 운영한다.
- 접근 수준과 등급에 대한 정의는 관리자에 의해 설정 및 변경이 가능하다.
- 비 임의적 접근통제 모델(Non-Discretionary) 또는 임무 기반(Task-Based) 접근통제 모델로 불리기도 한다.
RBAC 예시
- 최근의 업무 시스템들은 대부분 RBAC이다. 인사담당자, 총무담당자 등과 같이 권한 그룹을 통해 접근을 제어한다.
- 리눅스의 그룹 퍼미션 또한 RBAC라고 할 수 있다.