정보보안기사 - 접근통제 정책(MAC, DAC, RBAC)

 

 

구분	MAC	DAC	RBAC
보안 주체	시스템	소유자	역할
통제 주체	보안 레이블	권한 위임	참조 모니터
사용자 통제	단순	복잡	유연
적용 대상	군대	기업	대기업
오렌지북	B등급	C등급	C등급
장점	중앙집중	구현이 용이	다양한 접근권한
단점	구현 어려움, 비용, 성능 문제	신분 위장	없음

 

임의적 접근통제(DAC, Discretionary Access Control)

• 개인 기반 정책과 그룹기반 정책을 포함한다. 
• 객체에 접근하고자 하는 주체의 접근 권한에 따라 접근 통제를 적용한다. 
• 특정 접근 허가를 가진 주체는 임의의 다른 주체에게 자신의 접근 권한을 넘겨줄 수 있다. 
• TCSEC에서는 신분-기반 접근 통제 정책으로 DAC를 분류한다. Orange Book C등급

DAC 예시

• DAC의 대표적인 구현 예로 ACL(Access Control List)가 있다. 
• 방화벽 정책이나 TCP Wrapper 등 리눅스의 네트워크 서비스의 접근제어가 대부분 DAC를 따른다. 
• "이 자원은 누구누구가 접근 가능하다." 또는 "누구누구는 이 자원에 접근 가능하다."라는 식의 정의

 

강제적 접근통제(MAC, Mandatory Access Control)

• 보안 등급, 규칙 기반, 관리 기반의 접근 통제 방식이다. 
• 모든 주체 및 객체에 대하여 일정하며 어느 하나의 주체나 객체 단위로 접근 제한을 설정할 수 없다. 
• 주체의 레이블과 주체가 접근하고자 하는 객체의 보안 레이블을 비교하여 보안 정책에 합당한 접근 통제 규칙에 의한 통제 방법이다. 
• TCSEC에서는 규칙-기반 접근 통제 정책으로 MAC를 분류한다. Orange Book B등급

MAC 예시

• 보안 등급에 따른 일차원적인 접근권한 차등화가 대표적인 MAC의 구현 예이다. 
• 예를 들면 다음/네이버 카페에서 등급에 따라 접근 가능한 게시판이 정해지는 예이다. 
• 그누보드나 제로보드의 레벨 제도 또한 MAC에 해당한다. 

 

역할기반 접근통제(RBAC, Role Based Access Control)

• DAC와 MAC의 단점을 보완한 방식이다. 
• 권한을 사용자가 아닌 그룹에 부여하고, 그룹이 수행하여야 할 역할을 정의한다. 
• 초기 관리의 오버헤드를 줄이고, 직무를 기반으로 하는 접근 통제 모델이다. 
• 각 주체에 허용된 접근 수준과 객체에 부여된 허용등급에 근거 하여 접근 통제를 운영한다. 
• 접근 수준과 등급에 대한 정의는 관리자에 의해 설정 및 변경이 가능하다. 
• 비 임의적 접근통제 모델(Non-Discretionary) 또는 임무 기반(Task-Based) 접근통제 모델로 불리기도 한다.
• 퇴사자가 많은 경우 역할기반 접근 통제가 유리하다. 
• 금융 기관, 정부 기관, 공공 기관에서 효과적으로 사용

RBAC 예시

• 최근 업무 시스템들은 대부분 RBAC이다. 인사담당자, 총무담당자 등과 같이 권한 그룹을 통해 접근을 제어한다. 
• 리눅스의 그룹 퍼미션 또한 RBAC라고 할 수 있다. 

 

 

빈출 문제

다음 중 역할기반 접근제어의 기본 보안정책과 가장 거리가 먼 것은?

 

1. 권한의 최소화

2. 직무의 분리

3. 데이터 추상화

4. 다단계 보안 등급

 

답: 4. 다단계 보안 등급(강제적 접근통제 MAC와 관련)

 

 

 

출처: 

https://itwiki.kr/w/%EC%A0%91%EA%B7%BC%ED%86%B5%EC%A0%9C_%EC%A0%95%EC%B1%85

IT위키

 

https://coconuts.tistory.com/303

[보안] 접근 통제 정책 - MAC | DAC | RBAC, 정보보안기사 - Access Control Policy