보안을 배우다#14
Access 부여에 대한 기준중의 하나로 ACL이라는게 있다고 말씀드렸습니다.
Access에 대한 부여 기준을 리스트 형태로 하여 부여합니다.
그러면 리스트 말고도 다른 형태의 Access 부여하는 방법도 있다는 말이됩니다.
이러한 Access에 대한 통제에는 크게 3가지 Model이 있습니다.
DAC(Discretionary Access Control)
MAC(Mandatory Access Control)
Non-Discretionary Access Control
입니다.
ACL에 대해 알아봤으니 ACL을 보통 많이 사용하는
DAC(Discretionary Access Control) 먼저 보겠습니다.
DAC에서 뒤에있는 A랑 C는 알겠는데 D가 뭔소리인지 감이 잘 오지 않는군요.
Discretionary를 영어 사전에서 찾아보면 "임의의", "자유재량의"
뭐 이런 뜻이 나옵니다.
"임의의"는 좀 말이 애매하고 "자유재량의"가 조금 익숙하니 이걸로 대충 번역해보면
"자유재량으로 Access를 통제하는 것" 정도가 되겠군요.
옮겨놔도 도통 뭔소리인지 알수가 없습니다.
역시 말로 안될때는 예를 드는게 좋습니다.
< 허가자 명단에 들어있다면 패스! >
지난 포스팅에서 예로 들었던 그림에 신분증을 추가하겠습니다.
집에 접근하기 위해서는 자신을 증명할 무언가가 필요하고
신분증을 그 증명할 무언가로 제출을 합니다.
그러면 경비원은 허가자 목록과 비교 하고 Access를 허가 또는 거부 할 겁니다.
경비원이 확인하는 것은 입주자에 대한 목록일 겁니다.
자 그럼 여기서 이 목록과
이 목록을 기준으로 Access 여부를 판단하는 절차는
누가 만들었을까요?
경비원이 만들었을까요?
아닙니다.
그는 단지 그 절차를 수행하는 역할만 하지요.
그 절차는 아마도 입주민들이 스스로의 단체를 만들어서
거기서 목록과 절차를 만들고 이를 경비원이 수행하게끔 하였을 겁니다.
입주민들은 집에 대한 Owner(소유자)입니다.
그들이 스스로 자신들의 재산인 집을 보호하기 위해
Discretionary(자유재량의) 접근 통제(Access Control)를 만든것이죠.
집에 접근하려는 사람은 그 절차에 의해 만들어진 목록에 등록이 되어야합니다.
입주민 자신, 입주민 가족, 집의 관리를 위한 분들 모두
적합한 절차를 통해 목록에 등록이 될겁니다.
그러면 등록만 되면 끝인가요?
"내가 누군데 들어갈께요?"이러면 들여보내주나요?
그렇지는 않습니다.
자신이 해당 목록에 있다는 걸 증명해야 합니다.
예로든 그림에서는 신분증을 그 증명으로 사용했죠.
자 그럼 정리해 보겠습니다.
Owner(소유자)가 자신의 자산에 대해
User(접근자)의 ID(증명)에 따라 자유재량으로
Access를 통제하는 것을
DAC(Discretionary Access Control)라고 합니다.
그리고 그 통제방식은 보통 ACL(Access Control List)를 많이 사용합니다.
다음에는 MAC(Mandatory Access Control)를 알아보도록 하겠습니다.
끝까지 읽어주신분들 감사드리구요.
모두 즐거운 주말보내세요.
※ 혹시 제가 알고있는 부분에 잘못된 내용이 있다면 지적 달게 받겠습니다.
0 개의 댓글:
댓글 쓰기