1 / 20

Preview

2-2. DB 보안. Preview. DB 보안. 개요 데이터를 다양한 보안위협으로 부터 보호하는 체계 및 기술 최근 기업데이터 , 개인정보의 중요성 및 Compliance 증가로 이슈화 DB 보안 요구사항 : 인증 / 접근통제 / 감사 DB 보안의 문제점 보안관리자는 DB 를 모르고 … DB 관리자는 보안을 모른다 . DB Vender 마다 보안수준이 제 각각임 연관인 , 내부자에 의한 범죄발생 비율이 높음 보안강화에 따른 Performance 저하 / 비용소요가 많음 DB 보안 관련공격.

walker-manning
Download Presentation

Preview

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 2-2. DB 보안 Preview

  2. DB보안 • 개요 • 데이터를 다양한 보안위협으로 부터 보호하는 체계 및 기술 • 최근 기업데이터, 개인정보의 중요성 및 Compliance증가로 이슈화 • DB보안 요구사항: 인증/접근통제/감사 • DB보안의 문제점 • 보안관리자는 DB를 모르고… DB관리자는 보안을 모른다. • DB Vender마다 보안수준이 제 각각임 • 연관인, 내부자에 의한 범죄발생 비율이 높음 • 보안강화에 따른 Performance저하/비용소요가 많음 • DB보안 관련공격

  3. DB보안 • DB보안의 기술 Domain • 전망/고려사항 • 웹 일색의 App.웹을 통한 침해가능성 상존(웹 보안과 DB보안의 동시진행 필요) • ITCompliance 주의(개인정보보호법 등) • 각종 보안기능 사용시에 따르는 성능저하를 고려하여 발주 • 감사기능은 DBMS Vender에 따라 기능차이가 있으므로 제공기능 외 별도의 기능구현 필요

  4. DB보안 솔루션의 종류 출처: DB Safer

  5. 접속 및 권한 제어 • 인증되지 않은 접속에 대한 세션 차단 및 실시간 경고 기능 • 오브젝트에 대한 권한 설정 및 차단 기능 • 사용자별 사용 가능 명령어를 제한 모니터링 및 이력관리 • SQL 문 감시 • 실행된 SQL문/실행시간/사용자/시간대 별 검색 및 추적 • 접속 세션 및 실행 명령어 별 이력 관리 보안정책 관리 용이한 정책설정 및 반영 결재관리 중요 SQL 명령에 대한 사전/사후 승인(결재) 기능 기타 • 데이터베이스 내부 통제 • 여러 유형의 DBMS 통합모니터링 • 특정 Data, Field에 대한 Masking 기능 DB접근제어 솔루션의 일반기능

  6. DB보안 솔루션 적용의 접근방안 • 성능 • 논란이 여지 많음, 대체로 소규모 사이트에서 성공 Reference 출현 • 대규모 사이트는 별도의 접근 필요 • 가격 • BPR 수행으로 대상시스템 최소화 • Master DB 및 Virtual Identifier를 이용한 구현 • 운영/이행 • 감시가 힘들다면 없느니만 못하다. (특히 Gateway형 접근통제) • BPR 수행으로 프로세스 및 대상시스템을 최적화하는 과정을 병행 • CTO, CSO를 적극적으로 이용

  7. 2-3. DLP Preview

  8. DLP(Data Loss Prevention) • 개념 • 사용자의 PC에서 기업 내 기밀 데이터가 외부로 반출되는 것을 항시 ‘감시하고 기록하며’, 정책에 따라 유출을 차단시키는 것을 주기능으로 구현한 솔루션 • 부각배경 • 기존 PC보안솔루션의 한계성 • 개인정보보호법 등 Compliance의 강화 • 개념구성도 및 기능 • 개념구성도

  9. DLP(Data Loss Prevention) • 기능

  10. DLP(Data Loss Prevention) • 핵심기능인 Data 분류기법의 종류 • 파일서버, 특정 폴더, 공유 드라이브, PC… By location By content By file-type By fingerprint • 키워드, 정규식(주민번호, 사회보장번호 등) • thresholds(ex: 주민번호 100개 이상) • 특정 어플리케이션별 데이터(doc, xls, SAP, BusinessObjects…) • Third Party 협력체계 중요 • Hash값을 이용한 digital signature • 업체별 구현방식 상이 • 도입 고려사항 • 기존보안 Policy와의 관계, End User환경과의 조화 • 솔루션의 한계성 및 기대수준의 설정 • 설치율 제고의 문제

  11. Access Control&AuthenticationAuthorizationAccounting

  12. 3-1. MAC/DAC/MLS Preview

  13. MAC/DAC/MLS • MAC (Mandatory Access Control) • 원리: 주체는인가 레이블, 객체는분류 등급(민감도 레이블)에 의해 접근허가 결정 • 주체는 그룹/도메인도 가능 • 인가>분류: Access • 인가<분류: Deny • 관리자에 의한 중앙관리(DAC에 비해 유연성은 떨어짐) • 군대 등 복잡성/비용에 민감하지 않은 곳에서 사용 • 예: BLP(Bell-LaPadulla)모델, Biba모델, MLS • Linux(Suse Linux, SELinux..) • Vista/Server2008 • FreeBSD • DAC (Discretionary Access Control) • 보안관리자/객체소유자가 ‘요청주체’의 신원에 따라 접근권한을 결정함 • 예: 인사DB 접근권한은 인재개발팀에서 결정하며 ‘인사관련부서’는 read권한을, ‘나머지 부서’는 접근을 불허한다. • Access Matrix(Capability List, ACL)모델, Take-Grant모델, Action-Entity모델 • 분류 등급 예: public, confidential, secret, top secret • 보안 취급 허가 라벨 예: 인사정보 열람을 위해 Secret 이상의 등급이 필요함

  14. MAC/DAC/MLS • MLS (Multi-Level Security) • 주체/객체는 프로세스, 파일, 사용자, 포트번호 등 컴퓨터에서 구분 가능한 모든 것이 해당됨 • 구현여부는 구현자가결정 • DAC/MAC 동시적용 시 생길 수 있는 논리적 모순현상 해결 가능 • http://www.centos.org/docs/5/html/Deployment_Guide-en-US/sec-mls-ov.html • No Read Up, No Write Down • No Read up: Confidentiality 유지 목적 • No Write Down: Integrity 유지 목적

  15. 3-2. RBAC Preview

  16. RBAC (Role Based Access Control) • 개념 • 사용자에게 부여된 역할에 근거하여 접근통제를 실시하는 방법 • 기존 접근제어 모델의 불완전함에서 출발 • MAC: 등급설정이 모호한 경우에 적용불가 • DAC: 권한표현, 관리성의 개선 필요 1. 배정 2. 배정 사용자(U) 역할(R) 권한(P) 세션(S) Object 3. Access • RBAC 의특성 • 관리효율성, 상속가능, Least Privilege 구현 가능 • 임무분리: 상호감시 가능 • Data 추상화: OS RWED외 추상화 가능(입금, 출금 등) • 객체분류: 수행업무에 따라 사용자분류, 권한제한 구현 가능

  17. RBAC (Role Based Access Control) • RBAC의 활용 • 상용SW 거의 대부분 • DBMS, OS, CORBA… • Web 기반 Application도 활발하게 사용 • RBAC 구현 예 USER ROLE Permission 사용자배정 U1 : R1 U1: IRON R1: Admin R R2: Owner W D

  18. 3-3. AAA Preview

  19. AAA(Authentication/Authorization/Accounting) • 개요 • 사용자 신원의 확인서비스권한부여과금/감사 • 보안의 기본, 서비스/통제 시 세가지 중 한가지 이상 반드시 필요 • 주요 기능 • Authentication: 인증요구자 당사자의 증명, id/password/생채인식/Smart Card 등 • Authorization: 사용자 요구작업의 허용여부 결정 • Accounting: 사용자 사용내역의 Audit • 주요인증 프로토콜 • Radius • UDP기반, C/S, 저변이넓음 • 보안/Fail Over기능 약함 • 과금 시 패킷 손실 가능 • TACACS+ • TCP기반, CISCO, C/S • 보안강화, CISCO NW기기 인증에 주로 사용 • Diameter • TCP/SCTP기반, P2P • 보안강화 (IPSEC/TLS), 뛰어난 확장성 • Mobile IP(Roaming), Fail Over, 메시지 처리기능 향상

  20. AAA(Authentication/Authorization/Accounting) • AAA의 활용 • AAA솔루션: ISP위주의 사용 • 일부 사용: 일반 SW보안, IAM/EAM 등 개념승계 • 향후전망 • IPv6대비, Radius확장 • Diameter로의 대개체 (과금/보안/802.1x/NASRAQ/EAP/PKI지원 등 신기능 풍부) • Diameter Cellular Phone RAS ACR Diameter 응용 다양한 AAA서비스 Diameter base 프로토콜의 구조적 확장 Fixed Phone VoIP Set-top Box 하부전송계층 각종 GW Peer1 Peer2

More Related