slide1 n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
Preview PowerPoint Presentation
Download Presentation
Preview

Loading in 2 Seconds...

play fullscreen
1 / 20

Preview - PowerPoint PPT Presentation


  • 159 Views
  • Uploaded on

2-2. DB 보안. Preview. DB 보안. 개요 데이터를 다양한 보안위협으로 부터 보호하는 체계 및 기술 최근 기업데이터 , 개인정보의 중요성 및 Compliance 증가로 이슈화 DB 보안 요구사항 : 인증 / 접근통제 / 감사 DB 보안의 문제점 보안관리자는 DB 를 모르고 … DB 관리자는 보안을 모른다 . DB Vender 마다 보안수준이 제 각각임 연관인 , 내부자에 의한 범죄발생 비율이 높음 보안강화에 따른 Performance 저하 / 비용소요가 많음 DB 보안 관련공격.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Preview' - walker-manning


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide2
DB보안
  • 개요
    • 데이터를 다양한 보안위협으로 부터 보호하는 체계 및 기술
    • 최근 기업데이터, 개인정보의 중요성 및 Compliance증가로 이슈화
    • DB보안 요구사항: 인증/접근통제/감사
  • DB보안의 문제점
    • 보안관리자는 DB를 모르고… DB관리자는 보안을 모른다.
    • DB Vender마다 보안수준이 제 각각임
    • 연관인, 내부자에 의한 범죄발생 비율이 높음
    • 보안강화에 따른 Performance저하/비용소요가 많음
  • DB보안 관련공격
slide3

DB보안

  • DB보안의 기술 Domain
  • 전망/고려사항
    • 웹 일색의 App.웹을 통한 침해가능성 상존(웹 보안과 DB보안의 동시진행 필요)
    • ITCompliance 주의(개인정보보호법 등)
    • 각종 보안기능 사용시에 따르는 성능저하를 고려하여 발주
    • 감사기능은 DBMS Vender에 따라 기능차이가 있으므로 제공기능 외 별도의 기능구현 필요
slide5

접속 및

권한 제어

  • 인증되지 않은 접속에 대한 세션 차단 및 실시간 경고 기능
  • 오브젝트에 대한 권한 설정 및 차단 기능
  • 사용자별 사용 가능 명령어를 제한

모니터링 및

이력관리

  • SQL 문 감시
  • 실행된 SQL문/실행시간/사용자/시간대 별 검색 및 추적
  • 접속 세션 및 실행 명령어 별 이력 관리

보안정책 관리

용이한 정책설정 및 반영

결재관리

중요 SQL 명령에 대한 사전/사후 승인(결재) 기능

기타

  • 데이터베이스 내부 통제
  • 여러 유형의 DBMS 통합모니터링
  • 특정 Data, Field에 대한 Masking 기능
DB접근제어 솔루션의 일반기능
slide6
DB보안 솔루션 적용의 접근방안
  • 성능
    • 논란이 여지 많음, 대체로 소규모 사이트에서 성공 Reference 출현
    • 대규모 사이트는 별도의 접근 필요
  • 가격
    • BPR 수행으로 대상시스템 최소화
    • Master DB 및 Virtual Identifier를 이용한 구현
  • 운영/이행
    • 감시가 힘들다면 없느니만 못하다. (특히 Gateway형 접근통제)
    • BPR 수행으로 프로세스 및 대상시스템을 최적화하는 과정을 병행
    • CTO, CSO를 적극적으로 이용
slide7

2-3. DLP

Preview

dlp data loss prevention
DLP(Data Loss Prevention)
  • 개념
    • 사용자의 PC에서 기업 내 기밀 데이터가 외부로 반출되는 것을 항시 ‘감시하고 기록하며’, 정책에 따라 유출을 차단시키는 것을 주기능으로 구현한 솔루션
  • 부각배경
    • 기존 PC보안솔루션의 한계성
    • 개인정보보호법 등 Compliance의 강화
  • 개념구성도 및 기능
    • 개념구성도
dlp data loss prevention2
DLP(Data Loss Prevention)
  • 핵심기능인 Data 분류기법의 종류
  • 파일서버, 특정 폴더, 공유 드라이브, PC…

By location

By content

By file-type

By fingerprint

  • 키워드, 정규식(주민번호, 사회보장번호 등)
  • thresholds(ex: 주민번호 100개 이상)
  • 특정 어플리케이션별 데이터(doc, xls, SAP, BusinessObjects…)
  • Third Party 협력체계 중요
  • Hash값을 이용한 digital signature
  • 업체별 구현방식 상이
  • 도입 고려사항
    • 기존보안 Policy와의 관계, End User환경과의 조화
    • 솔루션의 한계성 및 기대수준의 설정
    • 설치율 제고의 문제
slide13

MAC/DAC/MLS

  • MAC (Mandatory Access Control)
    • 원리: 주체는인가 레이블, 객체는분류 등급(민감도 레이블)에 의해 접근허가 결정
      • 주체는 그룹/도메인도 가능
      • 인가>분류: Access
      • 인가<분류: Deny
    • 관리자에 의한 중앙관리(DAC에 비해 유연성은 떨어짐)
      • 군대 등 복잡성/비용에 민감하지 않은 곳에서 사용
    • 예: BLP(Bell-LaPadulla)모델, Biba모델, MLS
      • Linux(Suse Linux, SELinux..)
      • Vista/Server2008
      • FreeBSD
  • DAC (Discretionary Access Control)
    • 보안관리자/객체소유자가 ‘요청주체’의 신원에 따라 접근권한을 결정함
      • 예: 인사DB 접근권한은 인재개발팀에서 결정하며 ‘인사관련부서’는 read권한을, ‘나머지 부서’는 접근을 불허한다.
    • Access Matrix(Capability List, ACL)모델, Take-Grant모델, Action-Entity모델
  • 분류 등급 예: public, confidential, secret, top secret
  • 보안 취급 허가 라벨 예: 인사정보 열람을 위해 Secret 이상의 등급이 필요함
slide14

MAC/DAC/MLS

  • MLS (Multi-Level Security)
    • 주체/객체는 프로세스, 파일, 사용자, 포트번호 등 컴퓨터에서 구분 가능한 모든 것이 해당됨
    • 구현여부는 구현자가결정
    • DAC/MAC 동시적용 시 생길 수 있는 논리적 모순현상 해결 가능
    • http://www.centos.org/docs/5/html/Deployment_Guide-en-US/sec-mls-ov.html
  • No Read Up, No Write Down
    • No Read up: Confidentiality 유지 목적
    • No Write Down: Integrity 유지 목적
slide15

3-2. RBAC

Preview

rbac role based access control
RBAC (Role Based Access Control)
  • 개념
    • 사용자에게 부여된 역할에 근거하여 접근통제를 실시하는 방법
    • 기존 접근제어 모델의 불완전함에서 출발
      • MAC: 등급설정이 모호한 경우에 적용불가
      • DAC: 권한표현, 관리성의 개선 필요

1. 배정

2. 배정

사용자(U)

역할(R)

권한(P)

세션(S)

Object

3. Access

  • RBAC 의특성
    • 관리효율성, 상속가능, Least Privilege 구현 가능
    • 임무분리: 상호감시 가능
    • Data 추상화: OS RWED외 추상화 가능(입금, 출금 등)
    • 객체분류: 수행업무에 따라 사용자분류, 권한제한 구현 가능
rbac role based access control1
RBAC (Role Based Access Control)
  • RBAC의 활용
    • 상용SW 거의 대부분
    • DBMS, OS, CORBA…
    • Web 기반 Application도 활발하게 사용
  • RBAC 구현 예

USER

ROLE

Permission

사용자배정

U1 : R1

U1: IRON

R1: Admin

R

R2: Owner

W

D

slide18

3-3. AAA

Preview

aaa authentication authorization accounting
AAA(Authentication/Authorization/Accounting)
  • 개요
    • 사용자 신원의 확인서비스권한부여과금/감사
    • 보안의 기본, 서비스/통제 시 세가지 중 한가지 이상 반드시 필요
  • 주요 기능
    • Authentication: 인증요구자 당사자의 증명, id/password/생채인식/Smart Card 등
    • Authorization: 사용자 요구작업의 허용여부 결정
    • Accounting: 사용자 사용내역의 Audit
  • 주요인증 프로토콜
    • Radius
      • UDP기반, C/S, 저변이넓음
      • 보안/Fail Over기능 약함
      • 과금 시 패킷 손실 가능
    • TACACS+
      • TCP기반, CISCO, C/S
      • 보안강화, CISCO NW기기 인증에 주로 사용
    • Diameter
      • TCP/SCTP기반, P2P
      • 보안강화 (IPSEC/TLS), 뛰어난 확장성
      • Mobile IP(Roaming), Fail Over, 메시지 처리기능 향상
aaa authentication authorization accounting1
AAA(Authentication/Authorization/Accounting)
  • AAA의 활용
    • AAA솔루션: ISP위주의 사용
    • 일부 사용: 일반 SW보안, IAM/EAM 등 개념승계
  • 향후전망
    • IPv6대비, Radius확장
    • Diameter로의 대개체 (과금/보안/802.1x/NASRAQ/EAP/PKI지원 등 신기능 풍부)
  • Diameter

Cellular Phone

RAS

ACR

Diameter 응용

다양한 AAA서비스

Diameter base

프로토콜의 구조적 확장

Fixed Phone

VoIP

Set-top Box

하부전송계층

각종 GW

Peer1

Peer2