Understanding access control systems

모든 보안 시스템의 궁극적인 목표는 개인과 조직에 안전감을 제공하는 것입니다. 그룹이 자산을 완벽하게 제어하고 제한 없이 활용할 수 있을 때 이러한 유토피아가 실현됩니다. 사람들은 액세스 권한이나 소유권 상실에 대해 걱정할 필요가 없을 때 진정한 마음의 평화를 누릴 수 있습니다.

새로운 사이버 공격을 끊임없이 경계하는 것은 사이버 보안 전문가들의 상시 업무입니다. 새로운 유형의 사이버 공격이 끊임없이 개발되기 때문에 이러한 전문가들은 결코 경계를 늦출 수 없습니다.

보안은 잠재적인 피해로부터 보호하기 위해 취하는 조치의 정도라고 할 수 있습니다. 모든 회사나 조직의 목표는 사이버 공격을 통해 정보를 훔치려는 해커와 같은 외부 위협으로부터 보호하는 동시에 권한이 있는 직원만 접근할 수 있도록 시스템의 보안 수준을 충분히 높게 유지하는 것입니다.

사이버 보안과 물리적 보안

"물리적 보안'에는 도난이나 손상으로부터 재산을 보호하기 위해 취한 조치가 포함되어 있습니다. 물리적 보안 에는 잠금 장치 및 게이트와 같은 도구와 직원 신원 조회와 같은 정책이 포함될 수 있습니다. "사이버 보안'에서는 디지털 위협을 방어하기 위해 취한 조치에 대해 설명합니다. 사이버 보안 서버와 같이 데이터를 저장하는 장치 및 시스템에 대한 물리적 액세스를 보호하고 네트워크 보안, 정보 액세스 및 시스템 데이터 제어와 관련된 조치를 포함합니다.

오늘날 보안을 유지하려면 물리적 보안과 사이버 보안이 함께 작동해야 합니다. 모든 것을 보장하려면 모든 보안 측면을 아우르는 포괄적인 보안 계획을 수립하는 것이 중요합니다. 여기에는 물리적 인프라(물리적 건물, 시스템 등)의 보안을 보장하는 것이 포함됩니다.

우리는 인프라 보안을 잠글 수 있는 문이나 창문과 같은 물리적 구조의 관점에서 생각하는 경향이 있습니다. 그러나 효과적인 보안 시스템을 구축하려면 여러 가지 추가적인 측면이 필요합니다. 이러한 방법에는 일반적으로 운영 및 기업 요구 사항을 충족하기 위해 고안되고 테스트된 여러 가지 중요한 보안 조치가 혼합되어 있습니다.

물리적 액세스 제어의 세 가지 계층

인프라 자산을 보호하기 위한 전략을 개발하고 실행하는 데는 일반적으로 세 가지 계층이 있습니다.

1. 인테리어 이것은 내부와 외부 경계에 있는 건물 내부, 사무실, 큐비클 등을 포함하는 가장 안쪽 보호 층입니다.
2. 외곽 경계 보안 구역은 보안 구역을 둘러싼 공간입니다. 이 공간을 보호하려면 경계를 표시하는 법적 또는 물리적 선을 넘을 수 있는 사람을 통제해야 합니다. 예를 들어, 건물 외곽선이나 건물 외벽은 단지의 외부 경계를 나타냅니다.
3. 내부 경계 이는 외부 경계의 상황에 따라 벽, 문, 창문과 같은 물리적 장벽(외부 또는 내부)으로 정의되는 경우가 많습니다.

포괄적인 보안 계획은 세 가지 보안 수준을 모두 포함합니다. 세 가지 보안 계층은 일반적으로 효과적인 물리적 보호 솔루션을 구성하기 위해 함께 작동하는 다양한 기술로 구성됩니다.

논리적 경계 보안

세 가지 물리적 계층 외에도 논리적 경계 보안이라는 개념이 있습니다. 이 용어는 시스템과 데이터를 보호하기 위해 마련된 전자 액세스 제어를 다룹니다. 여기에는 비밀번호, 사용자 ID, 암호화 키 및 기타 정보를 안전하게 유지하기 위한 디지털 수단이 포함됩니다.

자연스러운 액세스 제어 방법

자연적 접근 제어는 자연적 설계 요소를 사용하여 해당 지역에 대한 접근을 제한하거나 허용하는 것으로, 예를 들어 지상 공격으로부터 보호하기 위해 강을 자연 장벽으로 사용하는 것을 포함합니다.

영토 강화

영역 강화는 구조, 시스템 및 정책을 사용하여 물리적 보안을 확립하고 유지합니다. 예를 들어, 영역의 가시성을 높이기 위해 조명을 설치하거나 게이트 및 울타리와 같은 출입 통제 조치를 수립하는 것이 여기에 포함될 수 있습니다.

기술적 액세스 제어 방법

Technological access control uses technology to restrict or allow access to an area. Include CCTV systems, alarm systems, and access control systems.

인프라 보안 운영 및 관리는 세 가지 기본 유형의 하위 시스템을 기반으로 합니다:

1. 억지력
2. 예방
3. 응답

억지력은 침입자가 자신이 잡힐 가능성이 높다는 것을 알면 공격을 시도할 가능성이 줄어든다는 생각에 기반합니다.

예방의 목표는 침입자가 표적에 접근하는 것을 더 어렵게 만드는 것입니다. 이는 표적을 찾기 어렵게 만들고, 표적에 접근하기 어렵게 만들고, 표적에 침입하기 어렵게 만드는 방식으로 이루어집니다.

대응 시스템은 침입을 감지한 다음 공격자를 막고 피해를 최소화하기 위한 조치를 취하도록 설계되어 있습니다.

잘 설계된 보안 시스템은 이러한 세 가지 하위 시스템을 모두 결합하여 효과적인 억제, 예방 및 대응 시스템을 구축합니다.

액세스 제어

대부분의 전문가들이 동의하듯 보안 시스템의 최우선 순위는 억지력을 통해 침입자를 막는 것입니다. 인프라의 일부를 제한하여 허가받지 않은 사람이 손상, 파괴 또는 도난을 일으키지 못하도록 할 수 있습니다.

시설에서 나갈 수 있는 법적 권리인 출입은 사람들이 어떤 장소에 출입할 때 사용하는 경로로 정의됩니다. 물리적 보안은 출입으로 정의할 수 있는데, 이는 누군가가 사이트에 들어가서 올바르게 나오기 위해 사용하는 물리적 경로를 의미합니다.

보안 용어에서 권한은 공인된 기관이 특정 개인이나 그룹에 부여하는 법적 특권 또는 허가를 의미합니다. 이러한 권한은 정부, 법적으로 인정된 정부 기관 또는 자산의 소유자 등이 될 수 있습니다. 권한이 없는 사람이 권한이 없는 자산에 액세스하려고 시도하면 침입자가 됩니다.

따라서 액세스 제어는 자산에 누가 들어오고, 나가고, 다시 들어올 수 있는지 통제하는 것입니다. 필수 자산에 대한 권한이 없는 사람의 접근을 통제하는 것은 중요한 보안 조치입니다.

권한 부여

승인은 조직의 물리적 재산의 재산권 라인 또는 시설의 정문에서 이루어질 수 있습니다.

경계선의 주요 목적은 직원에게만 권한을 부여하는 것입니다. 이를 위해 경계선 주변에 울타리를 설치하거나 눈에 잘 띄는 표지판을 설치하는 등 다양한 방법을 사용할 수 있습니다. 권한이 없는 사람이 경계를 넘으려고 하면 게이트가 있는 철조망 울타리나 무장 경비원 등의 보안 기능으로 즉시 제지합니다.

대부분의 출입 통제 노력은 숙소의 외부 경계와 내부 경계 사이에서 이루어집니다. 여기에는 직원과 게스트가 전략적인 장소에 주차하도록 하고 조경을 사용하여 사람들을 특정 출입구로 안내하고 다른 출입 지점으로부터 멀리 떨어지게 하는 것이 포함될 수 있습니다.

이는 또한 침입자로부터 집을 안전하게 지키는 것을 의미합니다. 이를 위해 벽, 창문, 문과 같은 물리적 장벽을 사용할 수 있습니다. 이러한 장벽은 사람들이 집에 너무 가까이 접근하는 것을 막고 나와 내 가족을 보호하는 데 도움이 됩니다.

내부 보안은 건물이나 구역 내부의 사람과 사물을 보호하는 것입니다. 여기에는 사람들을 감시하고 기계를 사용하여 허가 없이 들어오는 사람을 감시, 추적 및 감지하는 것도 포함됩니다. 또한 이 시스템은 해당 구역에서 일어나는 일을 기록하여 누군가 규칙을 어기는지 확인할 수 있습니다. 사람과 기계가 함께 작동하기 때문에 이러한 유형의 보안은 매우 효과적입니다.

보안 정책

각 수준에서 보안이 어떻게 작동하는지 설명하는 좋은 보안 정책은 기본입니다. 기업과 조직은 다양한 자산에 액세스할 수 있는 사람과 해당 자산으로 수행할 수 있는 작업을 설명하는 포괄적인 보안 정책을 만들어야 합니다. 이렇게 하면 모든 사람이 모든 것을 안전하게 지키기 위해 무엇을 해야 하는지 알 수 있습니다.

기업과 조직은 이러한 추가 조치를 취함으로써 직원과 장비를 사고로부터 보호할 수 있습니다. 직원의 출입을 제한하는 출입 통제 시스템을 설치하여 특정 구역에 출입할 수 있는 권한이 없는 사람이 피해를 입히는 것을 방지할 수 있습니다.

예를 들어 영업 담당자가 실수로 엔지니어링 부서의 생산 서버 중 하나에 커피를 흘린다면 이는 심각한 재앙이 될 수 있습니다.

기업은 권한이 있는 사람은 특정 자산에 액세스할 수 있도록 허용하고 권한이 없는 사람은 동일한 자산에 액세스할 수 없도록 하는 명확한 보안 정책을 개발해야 합니다. 

사이버 보안에서 액세스 제어의 중요한 역할

디지털 세계에서도 액세스 제어는 물리적 환경과 마찬가지로 필수적입니다. 기업은 네트워크에 침입하려는 사람을 인증하고 민감한 데이터나 네트워크의 일부에 액세스할 수 있는 사용자를 제한하여 외부의 위험으로부터 방어해야 합니다. 집이나 사무실에 침입하는 사람을 원치 않을 것이고, 그런 사람이 컴퓨터 시스템에 액세스하는 것도 원치 않을 것입니다. 해커는 고객 데이터나 영업 비밀과 같은 중요한 정보를 입수하여 회사에 큰 혼란을 일으킬 수 있습니다.

디지털 세상에는 두 가지 유형의 액세스 제어가 있습니다: 

1. 물리적
2. 논리적

물리적 제어는 사용자가 사무실, 워크스테이션 및 하드웨어에 액세스하는 것을 방지하는 반면, 논리적 제어는 중요한 사이버 자산을 보호합니다. 두 가지 모두 사이버 보안에 중요한데, 두 가지 모두 사용자가 액세스를 요청할 때 사용자 이름, 이메일 또는 MAC 주소와 같은 ID를 통해 시스템이 이를 확인할 수 있을 때까지 출입을 시도하는 사람을 알 수 없다는 가정에서 출발합니다.

식별 및 인증

액세스 제어는 권한이 있는 개인만 시스템에 들어가 데이터를 볼 수 있도록 합니다. 이를 위해 기업은 사용자를 식별하고 인증할 수 있어야 합니다. 식별은 누가 액세스를 요청했는지 확인하는 프로세스이며, 인증은 사용자가 자신이 주장하는 사람인지 확인하는 프로세스입니다.

식별 방법에는 세 가지 유형이 있습니다:

1. 알고 있는 것
2. 가지고 있는 것
3. 당신이라는 존재

비밀번호나 PIN과 같이 알고 있는 것, 물리적 토큰이나 키카드와 같이 가지고 있는 것, 지문이나 홍채 스캔과 같이 본인인 것 등입니다. 앞의 두 가지는 분실하거나 도난당할 수 있으므로 생체 인식이 가장 안전한 신원 확인 수단입니다.

인증에는 네 가지 유형이 있습니다:

1. 단일 요소
2. 이중 인증
3. 세 가지 요소
4. 멀티팩터

단일 인증은 비밀번호와 같은 한 가지 유형의 식별 정보만 사용합니다. 2단계 인증은 휴대폰으로 전송되는 보안 코드와 같은 두 번째 계층을 추가합니다. 3단계 인증은 지문 스캔과 같은 세 번째 계층을 추가합니다. 다단계 인증은 이러한 방법 중 두 가지 이상을 결합한 것입니다.

소프트웨어 엔티티

접근 제어 시스템에서 주체는 리소스에 대한 액세스를 요청할 수 있는 엔터티이고, 객체는 리소스를 저장하거나 제공하는 엔터티입니다. 대부분의 경우 주체는 사용자이고 객체는 파일, 프로그램 또는 장치입니다. 그러나 주체는 개체에 대한 액세스를 요청하는 프로세스 또는 스레드일 수도 있고, 개체는 사용자, 그룹 또는 컴퓨터와 같은 Active Directory 개체일 수도 있습니다.

액세스 제어 시스템에는 세 가지 유형의 소프트웨어 엔티티가 있습니다:

1. 사용자
2. 개체
3. 프로세스

사용자는 시스템과 상호 작용하는 사람이고, 객체는 파일처럼 시스템이 사용하거나 조작하는 것을 말합니다. 프로세스는 컴퓨터가 수행하는 일련의 명령어입니다.

사이버 보안 전문가는 어떤 사용자, 개체 및 프로세스가 어떤 리소스에 액세스해야 하는지 식별할 수 있어야 하며, 권한이 있는 개인만 액세스할 수 있도록 적절한 제어를 구현할 수 있어야 합니다.

컴퓨터 액세스 제어 시스템

컴퓨터 시스템 액세스 제어 시스템에는 여러 유형이 있습니다. 하지만 가장 일반적인 것은 역할 기반 액세스 제어(RBAC), 재량 액세스 제어(DAC), 필수 액세스 제어(MAC), 호스트 기반 액세스 제어(HBAC) 등입니다.

RBAC -  은 가장 간단한 모델로, 사용자에게 역할을 할당합니다. 예를 들어, 관리자는 업무 수행에 필요한 파일에 액세스할 수 있지만 민감한 직원 정보에는 액세스할 수 없습니다. 이러한 유형의 시스템은 구현 및 유지 관리가 쉽지만 유연성이 떨어집니다.

DAC -  는 개별 사용자에게 액세스 권한을 할당하기 때문에 조금 더 복잡합니다. 즉, 각 사용자마다 고유한 권한 집합이 있으며 필요에 따라 사용자 지정할 수 있습니다. 이러한 유형의 시스템은 RBAC보다 유연하지만 관리하기가 더 어렵기도 합니다.

MAC - 는 가장 복잡한 유형의 액세스 제어 시스템입니다. 보안 레이블을 사용하여 데이터의 민감도를 정의하고 볼 수 있는 사람을 제어합니다. 이러한 유형의 시스템은 매우 안전하지만 구현 및 유지 관리가 어렵습니다.

HBAC - 는 다른 세 가지 유형의 액세스 제어 시스템을 혼합한 것입니다. 역할과 권한을 모두 사용하여 데이터에 대한 액세스를 제어합니다. 이 유형의 시스템은 RBAC 및 MAC보다 유연하지만 관리하기가 더 어렵습니다.

어떤 유형의 액세스 제어 시스템을 선택하든 모두 데이터와 회사를 보호하기 위해 설계되었다는 점을 기억하는 것이 중요합니다. 필요에 가장 적합한 것을 선택하고 올바르게 구현하세요.

출입 통제는 물리적 보안과 디지털 보안 모두에 필수적입니다. 다양한 유형의 액세스 제어 시스템을 이해하면 필요에 맞는 시스템을 선택하고 자산을 안전하게 보호할 수 있습니다.