권한 부여 보안 기술 설명

사용자를 인증할 때는 사용자를 이동할 수 있는 위치와 사용자가 보고 터치할 수 있는 항목을 결정해야 합니다. 이 프로세스를 권한 부여라고 합니다.

호텔로 밤 시간을 보내려고 하는 경우를 가정해 보겠습니다. 가장 먼저 할 일은 리셉션으로 가서 "인증 프로세스"를 시작하는 것입니다. 리셉션 담당자가 사용자가 누구인지 확인한 후 키 카드가 제공되고 객실로 이동할 수 있습니다. 키 카드를 권한 부여 프로세스로 간주합니다. 키 카드를 사용하면 호텔 객실과 같이 액세스가 허용된 문과 엘리베이터만 열 수 있습니다.

사이버 보안 측면에서 권한 부여는 인증된 사람이 데이터 및 리소스에 대해 가지고 있는 액세스 수준을 결정합니다. 조직에서 권한 부여를 관리하는 데 사용하는 다양한 보안 기술이 있습니다.

조건부 액세스

이름에서 알 수 있듯이 조건부 액세스에는 조건이 있는 액세스가 포함됩니다. 조건부 액세스를 생각하는 한 가지 방법은 if/then 문을 이용하는 것입니다. true인 경우 액세스 권한이 부여되지만 false이면 거부됩니다.

IT 시나리오에서 어떻게 작동하는지 살펴보겠습니다. 재택 근무하는 사람들이 점점 더 늘어나고 있습니다. 이로 인해 개인용 컴퓨터를 사용하여 작업 관련 콘텐츠에 액세스할 수 있습니다. 조건부 액세스를 사용하면 조직은 본사에 있는 보안 회사 컴퓨터를 통해 만든 경우에만 급여와 같은 기밀 시스템에 대한 액세스 권한을 인증된 사용자에게 부여할 수 있습니다. 인증된 사용자가 집에 있는 개인용 컴퓨터에서 급여 시스템에 액세스하려고 하면 차단됩니다.

최소 권한으로 액세스

최소 권한의 개념은 사용자에게 필요한 최소 권한이 부여되는 위치입니다. 이 개념은 보안 관련 설정에 적용됩니다.

예를 들어 항공기에 탑승할 때는 기본 기내 구역에 접근하여 본인 좌석으로 갈 수 있지만, 조종석으로는 진입할 수 없습니다. 또한 코치 등급 티켓을 가지고 여행하는 경우 해당 구역에만 접근할 수 있습니다. 보안을 개선하기 위해 각 사용자는 필요한 구역에만 접근할 수 있습니다.

사이버 보안 컨텍스트에서도 동일한 개념이 적용됩니다. 사용자가 네트워크의 공용 폴더에 액세스할 수 있는 경우를 예로 들어 보겠습니다. 파일을 읽기만 하면 되는 경우 해당 특정 권한을 부여해야 합니다.

사용자는 자신의 역할을 수행할 수 있는 권한이 부족한 경우 항상 관리자에게 알립니다. 그러나 관리자에게 과도한 권한이 있는지는 거의 알리지 않습니다. 따라서 사용자 권한을 할당할 때 지나치게 주의할 위험이 거의 없습니다.

최소 권한 있는 액세스를 구현하면 보안 위반이 발생할 경우 공격자의 작업을 줄일 수 있습니다.

수평 이동

공격자가 시스템에 대한 액세스 권한을 얻는 경우 손상된 계정을 사용하여 자세한 정보를 수집할 수 있습니다. 이는 다른 시스템에 침입하거나 상승된 액세스 권한을 얻는 데 사용할 수 있습니다. 공격자는 시스템을 통해 이동하여 대상에 도달할 때까지 더 많은 리소스를 찾을 수 있습니다. 공격자는 서로 다른 섹션 간에 이동하려고 하므로 최종 공격은 처음 손상된 계정에서 발생하지 않을 수 있습니다.

범죄자가 기본 리셉션 구역의 보안을 지나치는 사무실 건물을 생각해 보세요. 일반적으로 건물의 나머지 부분을 이동하여 다른 층과 사무실에 접근할 수 있습니다. 중요한 구역을 침입으로부터 보호하기 위해 보안 계층을 추가하는 것이 중요합니다.

예를 들어 많은 사무실 건물의 경우 경영진이 있는 층에 접근하려면 보안 코드가 필요합니다. 해당 층의 모든 사무실이 잠긴 상태여서 특수 카드가 있는 직원만 접근할 수 있습니다. 범죄자가 건물에 접근하는 것을 원하지 않습니다. 그러나 보안 위반이 발생할 수 있다고 가정하고 이러한 유형의 측면 이동을 방지하기 위해 보안 계층을 추가하면 손상을 제한할 수 있습니다.

IT 시나리오에서도 동일한 개념이 적용됩니다. 보안 인증으로 시작하여 공격자가 시스템에 액세스할 가능성을 줄입니다. 시스템이 완벽하지는 않지만 추가 보안 계층을 제공할 수 있습니다. 이러한 조치는 시스템에 침입하는 공격자가 측면 이동을 통해 더 중요한 다른 리소스에 액세스할 수 있는 가능성을 줄이는 데 도움이 됩니다.

제로 트러스트

제로 트러스트는 사이버 보안에서 널리 사용되는 용어입니다. 현재 자주 발생하는 공격을 완화하는 방법입니다.

제로 트러스트는 조직에서 "절대 신뢰하지 말고 항상 확인"하도록 교육하여 리소스에 대한 보안 액세스를 제공할 수 있는 모델입니다. 이미 익숙한 개념을 사용하는 세 가지 원칙을 기반으로 합니다.

• 명시적으로 확인 - 제로 트러스트를 사용하면 액세스 권한이 부여되기 전에 모든 요청이 완전히 인증되고 권한이 부여됩니다. 조직은 다단계 인증과 조건부 액세스를 모두 구현하여 모든 요청이 명시적으로 확인되도록 할 수 있습니다.
• 최소 권한 액세스 사용 - 이 단원의 앞부분에서 설명한 것처럼 최소 권한의 개념은 사용자에게 필요한 최소 권한으로만 권한을 부여하는 것입니다. 이렇게 하면 사용자가 수행할 수 있는 손상이 제한되고 측면 흐름이 제한됩니다.
• 위반 가정 - 위반이 발생하거나 발생한다고 가정하면 조직은 추가 보안 계층을 더 잘 계획할 수 있습니다. 이는 공격자의 보안 위반을 최소화하고 측면 이동을 방지합니다.

조직은 제로 트러스트 보안 모델을 사용하여 리소스에 대한 보안 액세스를 제공하는 현대적인 분산 작업 공간에 더 잘 적응할 수 있습니다.