접근 통제 모델(MAC, DAC)

접근 통제 정책

주체가 객체로 접근할때 보안상의 위협, 변조 등과 같은 위험으로 객체를 보호하기 위한 보안 대책

접근 통제 원칙

• 입력의 신뢰성 : 접근제어 시스템은 입력되는 사용자 정보를 신뢰
• 최소 권한의 원칙 : 최소한의 권한만을 허용하여 권한의 남용을 방지
• 직무분리 : 업무의 발생, 승인, 변경, 확인, 배포 등이 한 사람에 의해 처리되지 않도록 직무를 분리

접근통제 절차

• 식별 : 본인이 누구라는 것을 시스템에 밝히는 것
• 인증 : 주체의 신원을 검증하기 위한 사용 증명 활동
• 인가 : 인증된 주체에게 접근을 허용하고 특정 업무를 수행할 권리를 부여하는 과정

참조 모니터(Reference Monitor)

개요

• 주체가 객체를 참조할 때 직접참조를 수행하지 않고 보안 커널을 통해 참조
• 보안 커널은 주체의 권한을 확인하고 접근한 객체에 대한 정보를 로그에 기록
• 취약점은 보안 커널을 통해 차단
• 주체에 객체에 대한 접근 통제 결정을 중재하는 OS의 보안 커널로서 일련의 소프트웨어

참조 모니터의 3가지 요소

요소 내용

완전성	우회가 불가능해야 함
격리	Tamper proof
검증성	분석하고 테스트할 정도로 충분히 작아야 함

접근 통제 기술 개요

• 미국 국방성에서 기밀 분류 방법으로부터 유래하는 접근 통제 정책
  • MAC(Mandatory Access Control)
    • 자동으로 시행되는 어떤 규칙에 기반
    • 사용자와 타깃에 광범위한 그룹 형성이 요구됨
  • DAC(Discretionary Access Control)
    • 특별한 사용자별로 정보에 대한 접근을 제공
    • 추가적 접근 통제를 사용자에게 일임
• OSI 보안 구조
  • 신분기반(Identity-based) : DAC과 유사
    • 개인기반(Individual-Based Policy: IBP)
    • 그룹기반(Group-Based Policy: GBP)
  • 규칙기반(Rule-based) : MAC과 유사
    • 다중단계(Multi-Level Policy: MLP)
    • 부서기반(Compartment-Based Policy: CBP)
  • 직무기반(Role-Based)
    • 신분기반과 규칙기반 정책의 양쪽 특성
• 접근 통제 메커니즘
  • ACL(Access Control List)
  • CL(Capability List)
  • SL(Security Label)
  • 통합정보 메커니즘(3가지 정보를 종합적 고려)
  • PB(Protection Bit) : 각 파일에 접근 통제를 위한 Bit 부여
• 접근 통제 보안모델
  • HRU 접근행렬 모델 : 접근행렬 이용
  • BLP 보안모델 : 엄격한 기밀성 통제
  • Biba 보안모델 : 무결성 정책을 지원
  • Clark-Wilson 모델 : 실행할 수 있는 프로그램에 의하여 통제

MAC(Mandatory Access Control, 강제적 접근 통제)

• 접근 권한이 주체의 비밀 취급 인가 레이블 및 객체의 민감도 레이블에 따라 지정되는 방식
• 관리자에 의해서 권한이 할당되고 해제됨

특징

• 데이터에대한 접근을 시스템이 결정(Rule에 의해)
• 관리자만이 자원의 카테고리 변경 가능
• 비밀성을 포함하고 있는 객체에 대해 주체가 가지고 있는 권한에 근거하여 객체의 접근을 제한하는 정책

종류

종류 설명

Rule-based MAC	주체와 객체의 특성에 관계된 특정 규칙에 따른 접근 통제 방화벽
Administratively-directed MAC	객체에 접근할 수 있는 시스템 관리자에 의한 통제
CBP(Compartment-Based Policy)	- 일련의 객체 집합을 다른 객체들과 분리

• 동일 수준의 접근허가를 갖는 부서라도 다른 보안등급을 가질 수 있음
• 예) 팀장은 자기 팀원의 급여정보를 볼 수 있으나 다른 팀원 급여정보를 볼 수 없음 | | MLP(Multi-Level Policy) | - Top Secret, Secret, Confidentiality, Unclassified와 같이 간 객체별로 지정된 허용 등급을 할당하여 운영
• 미국 궁방성 컴퓨터 보안 평가지표에 사용, BLP 수학적 모델로 표현 가능
• 일종의 다단계 접근 통제 방법
• 주체와 객체에 대하여 접근 권한에 대한 보안등급이나 역할에 따른 보호번주 등의 보안 레이블을 부여하여 접근을 통제하는 방법 |

DAC(Discretionary Access Control, 자율적 접근 통제)

• 객체의 소유자가 권한 부여
• User-based, Identity : 사용자의 신분에 따라 임의로 접근을 제어하는 방식
• 융통성이 좋아 UNIX, DBMS 등의 상용 OS에서 구현이 가능
• 접근 통제 목록(ACL, Access Control List) 사용 : Read Write, Execute
• MAC의 단점을 극복하기 위해 나온 것이 아님

Non-DAC의 종류

종류 설명

Role-based Access Control(RBAC)

- 사용자의 역할에 의해 권한이 부여(예: PM, 개발자, 디자이너)

• 사용자가 적절한 역할에 할당되고 역할에 적합한 권한이 할당된 경우만 사용자가 특정한 모드로 정보에 대한 접근을 통제할 수 있는 방법 | | Lattice-based Non-DAC | - 역할에 할당된 민감도 레벨에 의해 결정
• 관련된 정보로만 접근 가능
• 주체와 객체의 관계에 의거하여 접근을 통제할 수 있는 Upper bound와 Low bound를 설정하여 제어하는 방식, 정보의 흐름을 통제 | | Task-based Non-DAC | - 조직 내 개인의 업무에 의한 접근 통제 |

RBAC(Role Base Access Control)

• 권한들의 묶음으로 Role을 만들어서 사용자에게 Role 단위로 권한을 할당하고 관리
• RBAC의 장점
  • 관리 수월 : 관리자에게 편리한 관리 능력을 제공, 비용이 줄어듦
  • 보안관리 단순화 : 권한 지정을 논리적, 독립적으로 할당하거나 회수 가능
  • 최소 권한 : 최소한의 권한만을 허용하여 권한의 남용을 방지
  • 직무분리 : 시스템상에서 오용을 일으킬 정도로 충분한 특권을 가진 사용자를 없게 한다느 것이 가장 큰 특징

접근 통제 매트릭스 종류

• ACL(Access Control List) : 객체 기반 접근 제어
  • 객체 관점에서 접근 권한을 테이블 형태로 기술하여 접근 제어
  • 사용자가 비교적 소수, 분포도가 안정적일 때 적합
• 내용 의존 접근 통제(Content Dependent Access Control)
  • 데이터베이스에서 가장 많이 사용, 접근제어가 내용에 의해 이루어짐
• 제한적 인터페이스(Restricted Interfaces, Constricted User Interface)
  • 특정 기능이나 자원에 대한 접근 권한이 없을 경우 아예 접근을 요청하지 못하도록 하는 것

접근 통제 모델(Access Control Model)

1. Bell-Lapadula 모델

• 개념
  • 기밀성 모델로서 높은 등급의 정보가 낮은 레벨로 유출되는 것을 통제하는 모델
  • 정보구분 : Top Secret, Secret, Unclassified
  • 최초의 수학적 모델로서 보안 등급과 범주를 이용한 강제적 정책에 의한 접근 통제 모델
  • 미 국방성(DOD)의 자원을 받아 설계된 모델로서 오렌지북인 TCSEC의 근간이 됨
  • 시스템의 비밀성을 보호하기 위한 보안 정책
• No Read-UP(NRU or ss-property) : 단순 보안 규칙
  • 주체는 자신보다 높은 등급의 객체를 읽을 수 없다.
  • 주체는 취급인가가 객체의 비밀 등급보다 같거나 높아야 그 객체를 읽을 수 있다.
• No Write-Down(NWD or *-property) = Confinement property: *(스타-보안규칙)
  • 주체는 자신보다 낮은 등급의 객체에 정보를 쓸 수 없다.
  • 주체의 취급인가가 객체의 비밀 등급보다 낮거나 같을 경우 그 객체를 주체가 기록할 수 있다.
• Strong *-property
  • 더욱 강화한 모델로, 주체는 자신과 등급이 다른 객체에 대해 읽거나 쓸 수 없다.

2. Bibal 모델

• 개념
  • Bell-Lapadula 모델의 단점인 무결성을 보장할 수 있는 모델
  • 주체에 의한 객체 접근의 하목으로 무결성을 다룸
• No Read Down
• No Write Up

3. Clark and Wilson

• 클락 윌슨
  • 무결성 중심의 상업용으로 설계한 것으로 Application의 보안 요구사항을 다룸
  • 정보의 특성에 따라 비밀 노출 방지보다 자료의 변조 방지가 더 중요한 경우가 있음을 기초
  • 주체와 객체 사이에 프로그램이 존재, 객체는 항상 프로그램을 통해서만 접근이 가능
  • 2가지 무결성을 정의 : 내부 일관성(시스템 이용), 외부 일관성(감사에 활용)
• 만리장성 모델
  • 서로 상충 관계에 있는 객체 간의 정보 접근을 통제하는 모델
  • 상업적으로 기밀성 정책에 따른다.