접근통제 관리

접근통제 관리

중앙집중 접근통제

사용자의 접근통제 구현, 감사, 변경, 검증을 중앙에서 관리

예 : AAA(Authentication Authorization Accounting) 서버, RADIUS(Remote Authentication Dial In User Service) 서버

장단점

장점

• 사용자의 접근 권한을 통제하는 데 있어 철저하고 일률적인 절차와 기준 적용

단점

• 모든 변경 사항을 하나의 객체가 처리해야 하므로 속도 저하

인증 절차

로그온 → 사용자 아이디와 패스워드 정보수집 → 사용자 아이디와 패스워드 전달, 인증 요청 → 인증 DB를 검색하여 인증 조건과 일치하면 인가하고 추가 인증 정보가 필요하면 NAS에 통보하여 인증 정보 요청 → 인가 여부 확인 → 접속 → 기록 요청

분산 접근통제

• 파일의 소유자나 생성자 또는 관리자에 의하여 직접 통제
• 사용자의 접근과 권한을 허가하기 위한 절차와 기준에 일관성을 유지하기 어려움
• 직원이 내부적으로 이동하거나 조직을 떠날 때 모든 접속 권한이 삭제되었는지 확인하기 어려움

혼합 접근통제

• 중앙집중 접근통제와 분산 접근통제의 혼합형
• 중앙 관리자는 중요한 데이터에 대한 접근을 통제하고 사용자는 자기 소유의 파일을 다른 사용자에게 접근을 허가할 것인지 아닌지를 결정

장단점

장점

• 관리자는 사용자에 대하여 데이터베이스, 프린터, 호스트 등의 정보시스템에 대한 접근통제
• 데이터 소유자는 자기 소유의 자원에 대한 접근통제

단점

• 어떤 접근을 중앙에서 관리하고, 어떤 접근을 사용자가 관리할 것인가를 결정하는 것이 어려움
• 지속적으로 접근통제 내용을 분류해야 하는 번거로움

접근통제 특징

임의적 접근통제(DAC, Discretionary Access Control)

• 신분 기반, 사용자 기반, 혼합방식의 접근통제 방식
• 사용자의 신분에 근거하여 객체에 대한 임의적 접근제한
• 개인 기반 정책(IBP, Individual Based Policy)과 그룹 기반 정책(GBP, Group Based Policy) 포함
• 접근통제 목록(ACL, Access Control Lists) 사용
• 유닉스, 리눅스, Windows 20xx 서버 등의 운영체제에서 구현
• 컴퓨터 보안 평가 지침서(TCSEC, Trusted Computer System Evaluation Criteria, 오렌지북(Orange Book)이라고도 함) C-Level의 요구사항
• 상업적 환경에서 많이 사용

강제적 접근통제(MAC, Mandatory Access Control)

• 보안등급, 규칙 기반, 관리 기반 접근통제 방식
• 접근 승인은 보안 레벨(Level)과 카테고리(Category)로 구성되는 보안 레이블(Security Label에 의해 제한
• 접근 정책은 시스템에 의하여 강제적으로 정의
• 주로 정부나 군대와 같은 보안시스템에 사용
• TCSEC B-Level의 요구사항

※ 규칙 기반 접근통제(Rule Based Access Control) : 강제적 접근통제(MAC)의 한 분류로써 소유자가 아닌 관리자가 접근 규칙을 설정함. 각 주체에게 허용된 접근 수준(Clearance)과 객체에 부여된 허용 등급(Classification)에 근거하여 특정한 규칙을 기초로 객체에 대한 접근 통제를 운영

역할 기반 접근제어(RBAC, Role Based Access Control)

• 비 임의적 접근통제(Non-Discretionary Access Control)라고도 함
• 관리자가 사용자에게 적절한 역할을 할당하고 그 역할에 대한 적절한 접근 권한을 부여하여 정보에 접근할 수 있도록 함
• 주체의 역할이나 임무에 따라 객체의 접근 권한을 제어하는 방식
• 역할에 따라 설정된 권한만 할당하므로 보안 관리를 아주 단순하고 편리하게 할 수 있음
• 최소 권한, 직무 분리, 알 필요성의 원칙이 지켜짐
• 금융기관, 정부나 공공기관에서 효과적으로 사용
• TCSEC C-Level의 요구사항
• 인사이동이 잦은 기업 환경에 적합한 접근통제 방식(예 : 과장, 부장, 이사)
• 역할 기반의 변형으로 임무(Task), 격자(Lattice) 기반 접근통제가 있음

※ 격자 기반 접근통제(Lattice Based Access Control) : 역할 기반 접근통제(RBAC) 모델의 한 분류로써 주체가 접근할 수 있는 상위 경계(Upper Bound)와 하위 경계(Lower Bound)를 설정하여 접근통제함. 어떠한 주체가 어떤 객체에 접근하거나 할 수 없는 경계를 지정하는 방식을 이용한 접근통제 기술