Trusted Solaris가 액세스 제어 정책을 실행하는 방법
Trusted Solaris는 다음을 제공하여 어느 사용자가 어떤 정보를 액세스할 수 있는지 제어합니다.
-
임의 액세스 제어
-
강제 액세스 제어
임의 액세스 제어
임의 액세스 제어(DAC)는 파일 및 디렉토리에 대한 사용자의 액세스를 제어하는 소프트웨어 방식입니다. 파일이나 디렉토리의 설정 보호는 소유자 임의로 남겨둡니다. DAC의 두 가지 형태는 일반 UNIX 사용 권한 비트와 액세스 제어 목록(ACL)입니다.
소유자는 사용 권한 비트를 사용하여 소유자, 그룹 및 기타 사용자 별로 읽기, 쓰기 및 실행 보호를 설정할 수 있습니다. 기존 UNIX 시스템의 경우 수퍼유저(루트)가 DAC 보호를 덮어쓸 수 있습니다. Trusted Solaris의 경우 DAC를 덮어쓰는 기능은 관리자와 인가된 사용자에게만 허용됩니다. 엑세스 제어 목록(ACL)은 보다 정밀한 엑세스 제어의 세분성을 제공하므로 소유자는 특정 개인과 그룹에 별도로 사용 권한을 지정할 수 있습니다.
기본 UNIX 사용 권한 개념이나 ACL에 익숙하지 않은 경우 Solaris 공통 데스크탑 환경 사용자 설명서의 "파일 관리자로 파일 관리"에 있는 "파일 및 폴더 정보"를 참조하십시오.
강제 액세스 제어
강제 액세스 제어(MAC)는 클리어런스 및 민감도 레이블을 사용하여 보안 정책을 수행하는 시스템 강제적인 액세스 제어 방식입니다. 대략적으로 MAC는 보안 레벨(클리어런스 및 민감도 레이블)을 실행하여 사용자가 작업하려고 선택한 세션에서 프로그램과 사용자를 연결하여 동일하거나 낮은 레벨에서만 정보, 프로그램 및 장치 등을 액세스하도록 허가합니다. 또한 MAC는 사용자가 낮은 레벨에서 파일에 쓰지 못하도록 합니다. MAC는 사용자 사이트의 보안 정책에 따라 시행되며 특별한 인증이나 특권이 없으면 무시될 수 없습니다.
클리어런스
사용자 보안 관리자는 사용자 사이트의 보안 정책의 일부로 사이트의 모든 사람에게 사용자 클리어런스(User Clearance)를 지정합니다. 사용자 클리어런스는 사용자에게 위임된 것으로 보안의 정도를 다음 두 가지 구성요소로 표현합니다.
-
분류 등급 - (계층적) 보안 레벨을 나타냅니다. 분류 등급은 사람에게 적용되는 경우에는 신뢰도의 정도를 나타내고 데이터에 적용되는 경우에는 필요한 보안의 정도를 나타냅니다. 행정적으로 분류 등급은 TOP SECRET, SECRET, CONFIDENTIAL, UNCLASSIFIED 등입니다. 산업적으로는 표준화되지 않았습니다. 가상 분류 등급 계층은 PUBLIC, INTERNAL, NEED TO KNOW, REGISTERED 등이 될 수 있습니다.
-
구획 - 작업 그룹, 부서, 프로젝트, 주제 등과 같은 그룹화를 나타냅니다. 구획에 대한 액세스는 Need-to-Know를 기초로 하여 허가됩니다.
아래의 그림에는 일부 대표적인 클리어런스가 표시되어 있습니다.
그림 1-2 대표적인 클리어런스
민감도 레이블
Trusted Solaris는 민감도 레이블(SL)(클리어런스와 비슷한 형태로 분류 등급 및 구획 포함)이라는 문자열을 사용하여 사용자가 액세스할 수 있는 정보를 결정합니다. 민감도 레이블은 사용자 시스템 구성 방식에 따라 트러스트 스트라이프(화면 맨 아래의 특수 영역)의 윈도우 제목 표시줄에서 대괄호([]) 안에 표시되거나 전혀 표시되지 않을 수 있습니다. 그림 1-3은 민감도 레이블을 표시하기 위해 만들어진 구성을 보여줍니다. 민감도 레이블과 트러스트 스트라이프가 나타납니다.
그림 1-3 민감도 레이블이 표시된 일반적인 환경
시스템의 모든 주체 및 객체에는 민감도 레이블이 있습니다. 주체는 시스템 상태를 변경하고 객체 사이에 정보가 흐르게 하는 능동적인 엔티티로서 대개 프로그램을 실행하는 프로세스입니다. 객체는 데이터 파일, 디렉토리, 프린터, 또는 기타 장치 등의 데이터가 들어있거나 수신되는 수동적인 엔티티입니다. 사용자가 프로세스 중에 kill을 사용하는 경우 프로세스가 객체가 될 수도 있습니다.
트랜잭션에서 부분 민감도 레이블 재생
Trusted Solaris는 시도된 모든 보안 관련 트랜잭션을 조정합니다. 주체의 민감도 레이블과 객체의 민감도 레이블을 비교하여 어떤 레이블이 지배적이냐에 따라 트랜잭션 허가 여부를 결정합니다(아래 설명 참조). 엔티티의 민감도 레이블은 다음과 같은 두 가지 상황일 때 여러 민감도 레이블에 지배적이라고 합니다.
-
첫 번째 엔티티의 민감도 레이블 분류 등급 구성요소는 객체의 분류 등급과 동일하거나 상위입니다.
-
두 번째 엔티티 레이블의 모든 구획은 첫 번째 엔티티 레이블에 포함됩니다.
동일한 분류 등급과 동일한 세트의 구획이 있는 경우 두 개의 레이블은 같다라고 합니다. 두 개의 레이블이 같은 경우 서로 지배 액세스를 허가합니다. 하나의 레이블에 상위 분류 등급이 있거나 두 번째 레이블의 모든 구획이 포함되는 경우, 또는 이 두 경우가 모두 해당되는 경우 첫 번째 레이블이 두 번째 레이블을 엄격하게 지배한다라고 합니다. 두 레이블이 서로 우위에 있지 않은 경우 두 레이블이 분리 또는 비교 불가입니다.
읽기 트랜잭션에서 주체의 민감도 레이블은 객체의 민감도 레이블에 대해 지배적이어야 합니다. 이 규칙은 주체의 트러스트 레벨이 객체를 액세스할 때 필요한 요구 사항에 적합하고, 주체의 민감도 레이블이 객체를 액세스하게 하는 그룹화된 모든 분류 등급을 포함하는 것을 보장합니다.
다시 말해 쓰기 트랜잭션에서 주체가 객체를 작성하거나 수정하는 경우 결과 객체의 민감도 레이블은 주체의 민감도 레이블에 대해 지배적이어야 합니다. 이 규칙은 주체가 객체의 민감도 레이블보다 낮아지는 것을 방지합니다.
때때로 사용자는 WURD(위로 쓰기 / 아래로 읽기)라는 약자로 강제 액세스 제어에서 허가된 방향을 상기합니다. 실제로 읽기 및 쓰기 트랜잭션에서 주체와 객체는 대개 동일한 민감도 레이블을 가지며 엄격한 지배성은 고려할 필요가 없습니다.
표 1-1 레이블 관계의 예|
레이블 1 |
관계 |
레이블 2 |
|---|---|---|
|
Top Secret A B |
(엄격한) 지배 |
Secret A |
|
Top Secret A B |
(엄격한) 지배 |
Secret A B |
|
Top Secret A B |
(엄격한) 지배 |
Top Secret A |
|
Top Secret A B |
지배(동등) |
Top Secret A B |
|
Top Secret A B |
분리 |
Top Secret C |
|
Top Secret A B |
분리 |
Secret C |
|
Top Secret A B |
분리 |
Secret A B C |
사용자가 다른 민감도 레이블을 가진 파일 사이에서 끌어 놓기 또는 복사하여 붙여넣기 작업을 하는 경우 Trusted Solaris는 사용자가 민감도 레이블에 대한 변경 권한이 있으면 확인 대화 상자를 표시하고 권한이 없으면 트랜잭션을 금지합니다. 사용자에게 특수 인증이 있는 경우 사용자는 업그레이드를 수용하거나 정보를 다운그레이드하여 대상이 기존 민감도 레이블을 유지하게 하거나 트랜잭션을 모두 취소할 수 있습니다.
데이터 보호에 대한 사용자의 책임
사용자는 임의 액세스 제어의 일환으로 파일과 디렉토리를 보호하기 위해 사용 권한을 설정해야 합니다. 파일과 디렉토리에 대한 사용 권한은 xref linkend="uguide5fileMgr-6">에서 설명한 대로 -l 옵션 또는 파일 관리자에서 ls(1) 명령을 사용하여 점검할 수 있습니다.
강제 액세스 제어는 시스템에서 자동으로 실행됩니다. 사용자가 민감도 레이블에 의해 보호되는 정보를 업그레이드하거나 다운그레이드할 권한이 있는 경우에는 변경 사항에 대한 정당한 요구를 보장하기 위한 특수한 책임이 추가됩니다.
데이터 보호의 또 다른 면은 관리자가 실제로 명령을 보냈음을 증명하지 않는 한 관리자가 전자 우편으로 전송한 명령을 따를 수 없다는 점입니다. 예를 들어, 사용자가 전자 우편의 지침에 따라 사용자의 암호를 특정 값으로 변경할 경우 사용자는 송신자가 자신의 계정으로 로그인하도록 할 수 있습니다.
- © 2010, Oracle Corporation and/or its affiliates