Access Control Policy_ABAC

Attribute-Based Access Control(ABAC)

■ 가장 최근에 나옴

■ 주체와 자원의 속성을 표현

■ DAC, RBAC의 기본개념 실현 가능

■ 유연성과 표현력이 우수

■ 3요소 - 속성, 정책 모델, 아키텍쳐 모델

■ 서비스 개발하는데 많이 쓰인다. EX) 광고회사 기획팀이나, 쿠팡 쿠폰 이벤트, 할인 판매 등

 

Attribute(속성)

■ 주체, 객체, 환경, 권한에 의해 미리 정의되고 할당된 요구되는 동작의 특정 측면을 정의하는 성질

■ 주체 속성

- 주체는 정보가 객체 사이에 이동하거나 시스템 상태를 변경하는 능동적 존재

- 주체의 이름, 소속, 직책 등

■ 객체 속성

- 정보를 포함하거나 받는 수동적 시스템 존재(file, device, table, record, process, program, network)

ex) MS word 문서는 이름, 저자, 날짜 등을 속성으로 가진다.

■ 환경 속성

- 운영, 기술, 상황, 환경 기술

- 현재 날짜, 시간, 네트워크 보안 레벨

ex) 쿠팡 딜 내일 모레까지

 

ABAC Scenario

 

① 주체는 객체에 대한 접근 요청을 접근 제어 매커니즘에 전송

② 매커니즘은 접근 제어 정책이 정의하는 규칙에 기반하여(2a) 주체(2b), 객체(2c), 환경 조건(2d)의 속성에 접근하여 허가를 결정

③ 허가 혹은 거부

- 더 상세하게 표시 ex) 월요일에는 읽기만, 화요일에는 읽기/쓰기, 나머지 날은 접근 거부 (속성을 더 고려)

- 유연하고 정교하다.

 

따라서 시스템 설계자는,

- 주체, 객체, 환경조건에 따라 어떤 속성이 접근 제어에 중요한 지 결정해야 한다.

- 주체, 객체, 환경조건의 속성들의 조합(ex, 날짜별 접근 가능 여부)으로 접근 제어 정책을 정의해야 한다.

+ 유연하고 세분화 보안 정책 설계 필요

- 설계자 과다 업무, 비용 발생

 

만약

- 영화 출시일을 기준으로 신작/구작으로 분류

- 사용자는 프리미엄/일반으로 회원제를 수정

- 프리미엄 사용자에게만 신작 영화 제공

▶ DAC / RBAC으로는 구현 불가능 -> 출시일이라는 개념을 넣는 것이 불가능, 사용자 등급도 불가능

▶영화의 출시일은 object의 속성, 사용자의 회원 등급은 주체의 속성이다. 속성을 DAC, RBAC으로 담아내기 힘듦.

▶ABAC으로 가능하다.