[보안] 서버 인증 및 접근 통제

koline·2023년 9월 15일
0

인증 (Authentication)


서버 인증은 다중 사용자 시스템과 망 운영 시스템에서 사용자들에게 접근 권한을 부여하기 위해 접속자의 로그인 정보를 확인하는 보안 절차이다.

전송된 메시지 무결성 및 송신자를 검증하는 과정이 인증에 해당한다.

인증의 기능

스니핑(Sniffing) 방지

SSL 인증서를 설치하면 정보가 유출되더라도 모든 정보가 암호화 되어 안전하다.

피싱(Phishing) 방지

피싱은 개인정보와 낚시의 합성어로 개인정보를 낚는다는 의미로 인증기능이 없을 경우 SSL 인증서를 발급받을 수 없으므로 SSL 인증서를 통해 클라이언트에게 신뢰를 줄수 있다

데이터 변조 방지

제 3자의 악의적인 개입으로 인하여 데이터 값의 변조 가능성이 존재하는데, SSL 보안서버 구축으로 위험을 원천봉쇄할 수 있다

기업 신뢰도 향상

정식으로 기업 인증을 받고 보안 인증마크를 설치함으로써 기업 자체에 대한 신뢰성을 형성한다


인증 기술의 유형

지식기반 인증

ID, Password등 사용자가 기억하고 있는 지식

소지기반 인증

공인인증서, OTP 등 사용자가 소지하고 있는 물품

생체기반 인증

지문, 얼굴 등 사용자의 고유한 생체 정보

특징(=행위)기반 인증

서명, 발걸음 등 사용자의 특징


인증 관련 기술

커버로스 (Kerberos)

1980년대 중반 MIT의 Athena 프로젝트의 일환으로 개발되었으며 클라이언트/서버 모델에서 동작하고 대칭 키 암호기법에 바탕을 둔 티켓 기반의 프로토콜

SSO (Single Sign On)

커버로스에서 사용되는 기술로 한 번의 인증 과정으로 여러 컴퓨터상의 자원을 이용할 수 있도록 해주는 인증 기술




접근 통제 (Access Control)


사람 또는 프로세스가 서버 내 파일에 읽기, 쓰기, 실행 등의 접근 여부를 허가하거나 거부하는 기능으로 비인가자로부터 객체의 기밀성, 무결성, 가용성을 보장한다

접근 통제 용어

주체(Subject)

객체나 객체 내의 데이터에 대한 접근을 요청하는 능동적인 개체(행위자)

객체(Object)

접근 대상이 수동적인 개체 혹은 행위가 일어나는 아이템(제공자)

접근(Access)

읽고, 만들고, 삭제하거나 수정하는 등의 행위를 하는 주체의 활동


접근 통제 유형

임의적 접근 통제 (Discretionary Access Control, DAS)

주체나 그룹의 신분에 근거하여 객체에 대한 접근을 제한하는 방법

강제적 접근 통제 (Mandatory Access Control, MAC)

객체에 포함된 정보의 허용등급과 접근 정보에 대하여 주체가 갖는 접근 허가 권한에 근거하여 객체에 대한 접근을 제한하는 방법

역할 기반 접근 통제 (Role Based Access Control, RBAC)

중앙 관리자가 사용자와 시스템의 상호관계를 통제하며 조직 내 맡은 역할에 기초하여 자원에 대한 접근을 제한하는 방법


3A

인증 (Authentication)

접근을 시도하는 주체의 신원을 검증하기 위한 활동

권한 부여 (Authorization)

인증된 주체에게 어떤 수준의 권한과 서비스로의 접근을 허용하는 활동

계정 관리 (Accounting)

주체의 접근을 추적하고 행동을 기록하는 활동


접근 통제 보호 모델

벨-라파듈라 모델 (Bell-LaPadula Policy)

미 국방부 지원 보안 모델로 보안 요소 중 기밀성을 강조하며 강제적 정책에 의해 접근 통제하는 모델이다

No Read Up: 보안수준이 낮은 주체는 보안 수준이 높은 객체를 읽어서는 안 됨 (동급 이상)
No Write Down: 보안수준이 높은 주체는 보안 수준이 낮은 객체에 기록하면 안 됨 (동급 이하)

비바 모델 (Biba Model)

벨-라파듈라 모델의 단점을 보완한 무결성을 보장하는 최초의 모델

No Read Down: 높은 등급의 주체는 낮은 등급의 객체를 읽을 수 없음
No Write Up: 낮은 등급의 주체는 상위 등급의 객체를 수정할 수 없음




참고


[보안] 소프트웨어 개발 보안

profile
개발공부를해보자

0개의 댓글

관련 채용 정보