강제 액세스 제어
강제 액세스 제어(MAC)는 클리어런스 및 민감도 레이블을 사용하여 보안 정책을 수행하는 시스템 강제적인 액세스 제어 방식입니다. 대략적으로 MAC는 보안 레벨(클리어런스 및 민감도 레이블)을 실행하여 사용자가 작업하려고 선택한 세션에서 프로그램과 사용자를 연결하여 동일하거나 낮은 레벨에서만 정보, 프로그램 및 장치 등을 액세스하도록 허가합니다. 또한 MAC는 사용자가 낮은 레벨에서 파일에 쓰지 못하도록 합니다. MAC는 사용자 사이트의 보안 정책에 따라 시행되며 특별한 인증이나 특권이 없으면 무시될 수 없습니다.
클리어런스
사용자 보안 관리자는 사용자 사이트의 보안 정책의 일부로 사이트의 모든 사람에게 사용자 클리어런스(User Clearance)를 지정합니다. 사용자 클리어런스는 사용자에게 위임된 것으로 보안의 정도를 다음 두 가지 구성요소로 표현합니다.
-
분류 등급 - (계층적) 보안 레벨을 나타냅니다. 분류 등급은 사람에게 적용되는 경우에는 신뢰도의 정도를 나타내고 데이터에 적용되는 경우에는 필요한 보안의 정도를 나타냅니다. 행정적으로 분류 등급은 TOP SECRET, SECRET, CONFIDENTIAL, UNCLASSIFIED 등입니다. 산업적으로는 표준화되지 않았습니다. 가상 분류 등급 계층은 PUBLIC, INTERNAL, NEED TO KNOW, REGISTERED 등이 될 수 있습니다.
-
구획 - 작업 그룹, 부서, 프로젝트, 주제 등과 같은 그룹화를 나타냅니다. 구획에 대한 액세스는 Need-to-Know를 기초로 하여 허가됩니다.
아래의 그림에는 일부 대표적인 클리어런스가 표시되어 있습니다.
그림 1-2 대표적인 클리어런스
민감도 레이블
Trusted Solaris는 민감도 레이블(SL)(클리어런스와 비슷한 형태로 분류 등급 및 구획 포함)이라는 문자열을 사용하여 사용자가 액세스할 수 있는 정보를 결정합니다. 민감도 레이블은 사용자 시스템 구성 방식에 따라 트러스트 스트라이프(화면 맨 아래의 특수 영역)의 윈도우 제목 표시줄에서 대괄호([]) 안에 표시되거나 전혀 표시되지 않을 수 있습니다. 그림 1-3은 민감도 레이블을 표시하기 위해 만들어진 구성을 보여줍니다. 민감도 레이블과 트러스트 스트라이프가 나타납니다.
그림 1-3 민감도 레이블이 표시된 일반적인 환경
시스템의 모든 주체 및 객체에는 민감도 레이블이 있습니다. 주체는 시스템 상태를 변경하고 객체 사이에 정보가 흐르게 하는 능동적인 엔티티로서 대개 프로그램을 실행하는 프로세스입니다. 객체는 데이터 파일, 디렉토리, 프린터, 또는 기타 장치 등의 데이터가 들어있거나 수신되는 수동적인 엔티티입니다. 사용자가 프로세스 중에 kill을 사용하는 경우 프로세스가 객체가 될 수도 있습니다.
트랜잭션에서 부분 민감도 레이블 재생
Trusted Solaris는 시도된 모든 보안 관련 트랜잭션을 조정합니다. 주체의 민감도 레이블과 객체의 민감도 레이블을 비교하여 어떤 레이블이 지배적이냐에 따라 트랜잭션 허가 여부를 결정합니다(아래 설명 참조). 엔티티의 민감도 레이블은 다음과 같은 두 가지 상황일 때 여러 민감도 레이블에 지배적이라고 합니다.
-
첫 번째 엔티티의 민감도 레이블 분류 등급 구성요소는 객체의 분류 등급과 동일하거나 상위입니다.
-
두 번째 엔티티 레이블의 모든 구획은 첫 번째 엔티티 레이블에 포함됩니다.
동일한 분류 등급과 동일한 세트의 구획이 있는 경우 두 개의 레이블은 같다라고 합니다. 두 개의 레이블이 같은 경우 서로 지배 액세스를 허가합니다. 하나의 레이블에 상위 분류 등급이 있거나 두 번째 레이블의 모든 구획이 포함되는 경우, 또는 이 두 경우가 모두 해당되는 경우 첫 번째 레이블이 두 번째 레이블을 엄격하게 지배한다라고 합니다. 두 레이블이 서로 우위에 있지 않은 경우 두 레이블이 분리 또는 비교 불가입니다.
읽기 트랜잭션에서 주체의 민감도 레이블은 객체의 민감도 레이블에 대해 지배적이어야 합니다. 이 규칙은 주체의 트러스트 레벨이 객체를 액세스할 때 필요한 요구 사항에 적합하고, 주체의 민감도 레이블이 객체를 액세스하게 하는 그룹화된 모든 분류 등급을 포함하는 것을 보장합니다.
다시 말해 쓰기 트랜잭션에서 주체가 객체를 작성하거나 수정하는 경우 결과 객체의 민감도 레이블은 주체의 민감도 레이블에 대해 지배적이어야 합니다. 이 규칙은 주체가 객체의 민감도 레이블보다 낮아지는 것을 방지합니다.
때때로 사용자는 WURD(위로 쓰기 / 아래로 읽기)라는 약자로 강제 액세스 제어에서 허가된 방향을 상기합니다. 실제로 읽기 및 쓰기 트랜잭션에서 주체와 객체는 대개 동일한 민감도 레이블을 가지며 엄격한 지배성은 고려할 필요가 없습니다.
표 1-1 레이블 관계의 예|
레이블 1 |
관계 |
레이블 2 |
|---|---|---|
|
Top Secret A B |
(엄격한) 지배 |
Secret A |
|
Top Secret A B |
(엄격한) 지배 |
Secret A B |
|
Top Secret A B |
(엄격한) 지배 |
Top Secret A |
|
Top Secret A B |
지배(동등) |
Top Secret A B |
|
Top Secret A B |
분리 |
Top Secret C |
|
Top Secret A B |
분리 |
Secret C |
|
Top Secret A B |
분리 |
Secret A B C |
사용자가 다른 민감도 레이블을 가진 파일 사이에서 끌어 놓기 또는 복사하여 붙여넣기 작업을 하는 경우 Trusted Solaris는 사용자가 민감도 레이블에 대한 변경 권한이 있으면 확인 대화 상자를 표시하고 권한이 없으면 트랜잭션을 금지합니다. 사용자에게 특수 인증이 있는 경우 사용자는 업그레이드를 수용하거나 정보를 다운그레이드하여 대상이 기존 민감도 레이블을 유지하게 하거나 트랜잭션을 모두 취소할 수 있습니다.
- © 2010, Oracle Corporation and/or its affiliates