본문 바로가기

system security4

6-4. Attribute-based access control (ABAC) 속성기반 접근제어라고도 하고, 정책기반 접근제어라고도 한다. 자원과 유저의 속성에 기반하여 접근 제어를 정의하는 방식이다.RBAC과의 차이점은, environment condition까지 고려하게 되었다는 점이다. 즉, subject, object, environment를 모두 고려하여 접근 제어 규칙을 만드는 방식이다. 그래서 이를 'fine-grained access control'이라고 부른다. DAC, MAC, RBAC의 범위를 포괄하고 있기 때문에, ABAC을 활용하여 이들을 구현할 수 있다.AttributeCharacteristics that define specific aspects of the subject, object, environment conditions, and/or reques.. 2024. 10. 24.

6-3. Role-Based Access Control (RBAC) DAC이나 MAC은 user ID와 접근권한의 관계를 정의한 것에 비해, RBAC은 role과 접근권한의 관계를 정의한다.DAC이나 MAC은 user-resource간의 직접 연결로 표현할 수 있었지만, RBAC은 user와 resource 사이에 role layer가 존재한다. 즉, user-role과 role-resource를 표현한, 2-layer 접근제어 방식이다.이 때, user-role 연결은 비교적 자주 변경되지만, role-resource의 연결성은 자주 변경되지 않는다는 특징을 가진다.RBAC에서 주로 (# user) > (# roles)이다.Access Control Matrixuser-object대신 role-object의 관계를 표시한다.Principle of Least Privil.. 2024. 10. 24.

6-2. Discretionary Access Control (DAC) DAC은, 유저 ID 및 그룹 ID에 기반한 접근 제어 방식이다.Access Control Matrixsubject X object로 이루어진 access matrix로 표현이 가능하다.그치만 유저-자원의 실제 권한 할당 모습을 생각해보면, access matrix는 굉장히 sparse하다. 모든 유저가 모든 파일에 대한 접근을 가지고 있는 시스템은 아예 matrix 자체가 필요 없을테고, 아닌 경우 결국 privileged 유저만이 접근할 수 있는 파일에 대해서는, 모든 일반 유저의 matrix 칸이 비어있을 것이기 때문이다.그래서 공간 효율성을 위해, access control list를 사용한다.Access Control ListAccess matrix를 column별로, 즉 object별로 어떤 .. 2024. 10. 23.

6-1. Access Control - basics Software system에서 access control이란, 누가 어떤 자원에 접근이 가능한지 정의하는 것을 말한다.넓은 의미: "security"라는 것 자체가 access control method이다.좁은 의미: 누구/무엇이 어떤 시스템 자원에 대한 접근 권한이 있는지, 접근 권한이 있다면 어디까지 접근이 허용되는지 등을 규정한 보안 규칙Access Control의 3요소Authentication: authorization 이후에 해당 유저가 어떤 권한을 가지는지에 따라 행동 범위를 제어하는 것.AuthorizationAudit: recording everythingAccess Control 종류DAC (Discretionary access control): access permission을 가.. 2024. 10. 23.

이전 1 다음

티스토리툴바