8. 서버 인증 보안 - 81. 서버인증, 접근통제

728x90

반응형

SMALL

81. 서버인증, 접근통제

1. 사용자 인증 기법

2. 접근 통제 종류

3. 접근 통제 모델

---

1. 사용자 인증 기법 ☆

사용자 인증 기법
지식 기반 인증 (Knowl edge based Authentication)	● 사용자가 기억하고 있는 지식을 기초로 접근 제어를 수행하는 사용자 인증 기법이다. ● 아이디, 패스워드, PIN (Personal ldentification Number) 번호 등
소유 기반 인증 (Authentication by What the entity has)	● 사용자가 소유하고 있는 인증 토근을 기반으로 하는 사용자 인증 기법이다. ● 지식 기반 인증 기법보다 보안성이 높다. ● 건물 출입 시 사용되는 스마트 카드, 인터넷 뱅킹 시 사용되는 OTP(One Time Password) 단말, 공인인증서 등
생체 기반 인증	● 사람의 정적인 신체적 특성 또는 동적인 행위적 특성을 이용하는 사용자 인증 기법이다. ● 지문 인식, 홍채 인식, 정맥 인식, 음성 인식 등이 해당된다. ● 일성, 영속성, 정량성, 보편성 등

---

접근 통제(Access Control)의 개념 

어떤 서버에 접근을 하는데 접근할 때 어떤 것을 어떻게 통제할 것인가에 대한 것이다.. 

 

시스템의 자원 이용에 대한 불법적인 접근을 방지하는 과정이다.

크래커(Cracker)의 침입으로부터 보호한다.

---

2. 접근 통제 종류 ☆

종류

Secure OS의보안 기능과 동일하다. 

접근 통제 종류

강제적 접근 통제

임의적 접근 통제

역할 기반 접근 통제

---

접근 통제 요소

식별

인증 서비스에 스스로를 확인시키기 위하여 정보를 공급하는 주체의 활동이다.

 

인증

주체의 신원을 검증하기 위한 사용자 증명의 두 번째 부분이다.

 

인가

인증을 통해 식별된 주체의 실제 접근 가능 여부와 주체가 수행 가능한 일을 결정하는 과정이다.

---

3. 대표적 접근 통제 모델 ☆

대표적 접근 통제 모델
벨라파듈라 모델 (BLP : Bell-LaPadula Confidentiality Model)	군대의 보안 레벨처럼 정보의 기밀성에 따라 상하 관계가 구분된 정보를 보호하기 위해 사용하며, 자신의 권한보다 낮은 보안레벨 권한을 가진 경우에는 높은 보안 레벨의 문서를 읽을 수 없고 자신의 권한보다 낮은 수준의 문서만을 읽을 수 있다.
SSO(Single Sign-On)	시스템이 몇 대가 되어도 하나의 시스템에서 인증에 성공하면 다른 시스템에 대한 접근 권한도 얻는 시스템이다.
Biba Integrity Model	무결성을 위한 최초의 상업적 모델이다(BLP를 보완, MAC). 무결성 목표 중 비인가자에 의한 데이터 변형 방지만 취급한다(변조 방지를 목적으로 함)
CWM(Clark-Wilson Integrity Model)	무결성 중심의 상업적 모델로 사용자가 직접 객체에 접근할 수 없고 프로그램을 통해서만 객체에 접근할 수 있게 하는 보안 모델이다. 무결성의 3가지 목표를 모델을 통해서 각각 제시한다.

---

정책

강제적 접근 통제(MAC : Mandatory Access Control) ☆

중앙에서 정보를 수집하고 분류하여 보안 레벨을 결정하고 정책적으로 접근 제어를 수행하는 방식으로 다단계 보안 모델이라고도 한다.

- 어떤 주체가 특정 개체에 접근하려 할 때 양쪽의 보안 레이블(Security Label)에 기초하여 높은 보안 수준을 요구하는 정보(객체)가 낮은 보안 수준의 주체에게 노출되지 않도록 하는 접근 제어 방법이다.

- 시스템 전체에 대한 접근 권한 

 

대표적 모델

대표적 MAC 모델

BLP(Bell-Lapadula)

Biba

Clark-Wilson

만리장성

 

서버같은 경우에 기본으로 만들어지는 계정으로 admin이 있다. 

요즘에는 admin을 만들지는 않고 새로운 ID를 요청한다. 왜냐하면 admin은 일반적으로 서버에서 최고레벨의 권한을 가진 ID이기 때문이다. 그래서 요즘에는 서버를 설치할 때 admin을 못쓰게 한다. 다른 ID로 쓰게 한다.

---

정책

임의적 접근 통제 (DAC : Discretionary Access Control)

정보의 소유자가 보안 레벨을 결정하고 이에 대한 정보의 접근 제어를 설정하는 방식이다.

- 주체 또는 소속 그룹의 아이디(ID)에 근거하여 객체에 대한 접근 제한을 설정한다.

- 그 소유자 즉, 하위에 있는 애들에 대한 권한을 받은 애들이 하위에 대한 접근 권한을 변경할 수 있거나 없거나 하는것이 임의적인 접근 통제 방식이다.

 

객체별로 세분화된 접근 제어가 가능하며 유연한 접근 제어 서비스를 제공할 수 있다.

다양한 환경에서 폭넓게 사용되고 있다.

 

소유자 

 

대표적 모델

대표적 DAC 모델

접근 제어 행렬

자격 목록

접근 제어 목록

 

예 ) 서버를 하나 구축 했을떄

MAC : 서버를 구축해서 최초로 설치한 사람이 권한을 설정하는 것이다.

DAC : 서버 안에 계정을 몇 개 만든다. 내 계정, A계정, B계정 등등 그러면 그 공간에 대한 권한이 또 있다. 이것을 DAC라고 한다. "내가 가지고 있는 내 공간이야"라고 하는 일정 부분을 정보의 소유자가 권한을 가지고 레벨을 결정한다. 

---

정책

역할 기반 접근 통제(RBAC : Role Based Access Control) ☆

사람이 아닌 직책에 대해 권한을 부여함으로써 효율적인 권한 관리가 가능하다.

접근 권한은 직무에 허용된 연산을 기준으로 허용함으로 조직의 기능 변화에 따른 관리적 업무의 효율성을 높일 수 있다.

 

---

MAC vs DAC vs RBAC ☆

정책	MAC	DAC	RBAC
권한 부여	시스템	데이터 소유자	중앙 관리자
접근 결정	보안 등급(Label)	신분(identity)	역할(Role)
정책 변경	고정적(변경 어려움)	변경 용이	변경 용이
장점	안정적 중앙 집중적	구현 용이 유연함	관리 용이

---

보안 아키텍처(Security Architecture)의 개념

보안 설계 감독을 위한 원칙과 보안 시스템의 모든 양상에 대한 세부 사항을 의미한다. 즉, 설계도

- 보안 요구사항을 충족시키는 시스템 구성 방법에 대한 세부 사항이다.

- 정보 자산의 기밀성, 무결성 및 가용성을 높이기 위한 보안 영역의 구성 요소와 관계에 대한 세부 사항이다.

---

보안 프레임워크(Security Framework)의 개념

정보의 기밀성, 무결성 및 가용성을 높이기 위한 정보 보안 시스템의 기본이 되는 뼈대이다.

보안 프레임워크는 기술적 보안, 관리적 보안, 물리적 보안 프레임워크로 나누어진다. 

---

문제 풀이

1. 다음이 설명하는 것을 쓰시오.

- 보안 설계 감독을 위한 원칙과 보안 시스템의 모든 양상에 대한 세부 사항을 의미한다.

- 보안 요구사항을 충족시키는 시스템 구성 방법에 대한 세부 사항이다.

보안 아키텍처 

 

2. 다음 중 보안 프레임워크의 분류가 아닌 것은?

① 기술적 보안 

② 관리적 보안

③ 물리적 보안 

④ 논리적 보안 

4번 

 

3. 다음은 정보의 접근통제 정책에 대한 설명이다. (ㄱ)에 들어갈 내용으로 옳은 것은?

① NAC

② MAC

③ SDAC

④ AAC

2번 

 

4. 접근 통제 방법 중 조직 내에서 직무, 직책 등 개인의 역할에 따라 결정하여 부여하는 접근정책은?

① RBAC

② DAC

③ MAC

④ QAC

1번 

---