[CISSP] Domain 7. 보안 아키텍처 모델

▶ 시스템 아키텍처
  - 설계 시 고려사항
      - 기밀성, 무결성, 가용성 관점 설계
      - 가장 낮은 HW, OS 부터 보안 고려

  - 운영체제 보안
      - 신뢰할 수 있는 컴퓨터 기반(TCB), 참조 모니터, 보안커널

      - TCB : Trusted Computing Base
                 내부의 모든 장치가 보안 정책을 따르도록 설계
                 시스템 내의 주요 자산에 대한 보호 매커니즘
                 OS 의 기본 작업에 대한 기밀성, 무결성 감시
                 사용자의 모든 행동이 보안정책 우회 불가

      - 참조모니터 : Reference Monitor
                          주체가 객체 접근 시 접근 허용 여부를 중재
                          보안 정책 위배 여부를 판단하여 접근 여부 결정
                          접근통제, 감사 및 식별(감사증적), 인증과 같은 기능과 상호작용
                          OS상의 참조 모니터 기능을 보안에 특화시키고 별도의 장비로 독립 = 방화벽
                            ∴ 방화벽 = Network 상의 보안 참조 모니터

       - 보안커널 : Security Kernel
                        TCB 기반으로 참조모니터의 개념이 구현된 것
                        OS 커널 내부에서 OS 보안 매커니즘을 시행하는 책임을 가짐

       - 보안커널의 3가지 요구사항 : 권한이 부여되지 않은 주체, 객체 등에 대한 수정으로부터 보호(tamperpfoof)
                                                 주체의 모든 컴퓨터 사용에 반드시 동작하여 허용여부 중재 (invoked)
                                                 충분히 작은 크기 (small)

  - 시스템 평가 기준
      - 신뢰할 수 있는 시스템의 직접 개발, 신뢰할 수 있는 독립기관의 인증

      - TCSEC (오렌지북) : 시스템 작동 및 응용 프로그램과 시스템 평가
                                     무결성과 기밀성이 주 목적

                                     A - 검증된 설계(보호)
                                     B - 강제적 접근통제
                                     C - 임의적 접근통제
                                     D - 최소보안 (보안 미존재)

                                     오래된 보안 모델인 Bell-Lapadula 기반
                                     기밀성에 중점을 두어 무결성과 가용성이 강조되는 금융권 적용 어려움
                                     네트워크 요소를 고려하지 않음

 

▲ Click to Enlarge ▲

  - ITSEC : 관리적, 운영적 부분을 평가 (비 IT 부분, 유럽형)    

  - CC (Common Criteria) : http://its21c.net/230 를 함께 볼 것
      - Package : 부분적인 보안 목표를 만족시키기 위한 component 의 집합
                       특정 보안 목표에 효과적, 유용한 요구사항의 모음으로 재사용 가능
                       Eg) 강제적 접근통제

      - EAL : Evaluation Assurance Level
                보증요구에 관련된 component 의 집합 = 등급

      - PP : Protection Profile, 보호프로파일
               특정 제품이 갖추어야 할 공통된 보안 요구사항들의 집합
               재사용 가능
               패키지, EAL, 기능 및 보증 요구 Component
               EAL 등급을 구성하기 위한 각각의 요구사항들
               기술적으로 안전하고 완전해야 함

      - ST : Security Target, 보안 타겟
               재사용 불가
               평가 대상(TOE, Target of Evaluation) 의 보안 요구사항 표현을 위한 상위 보안구조
               평가 대상 보안 제품에 특화된 Component, 특정 제품에 종속적

      - CC 평가 유형 : PP 평가, ST 평가, TOE 평가

  - 기타 평가 기준
      - BS7799
      - ISO17799
      - ISO27000 Family
      - ISO27701

  - 인증(Certification) : 제 3의 독립적인 기관이 수행
                                보안 요구사항에 따라 시스템 또는 구성요소를 시험하는 과정

  - 인정(Accreditation) : 조직 내의 경영 간부가 시스템 보안의 총체적인 적절성에 대해 수락하는 것
                                  사전 정의된 보안 규정을 기반으로 운영된다는 것을 경영진이 승인

  - 외부 기관의 인증을 통해 그 적절성에 대하여 경영진이 인정

▶ 보안 구조와 관련된 위협
  - 비밀 채널(Covert Channel) : 보안 정책을 위반하면서 다른 객체에 정보를 전달하는 채널
      - 스토리지 비밀 채널 : 공유 저장소를 통해 정보 유출
                                     전달자와 수신자 모두 공유 자원 속성에 대한 접근 (공유)
                                     정보 전달자는 자원의 속성 변경 권한을 가짐 (쓰기)
                                     정보 수신자는 해당 자원에 대한 변경 탐지 가능 (읽기)
                                     정보 전달 및 수신 초기화 방법

      - 타이밍 비밀 채널 : 시스템 자원 사용을 통해 정보 유출 (Eg. 비동기 공격)
                                     전달자와 수신자 모두 공유 자원 속성에 대한 접근 (공유)
                                     정보 전달자는 자원의 속성 변경, 수신자의 응답시간 변경 가능
                                     정보 수신자는 해당 자원에 대한 시간속성 참조가능
                                     정보 전달 및 수신 초기화 방법

  - 백도어
  - 비동기 공격
  - 버퍼오버플로우

▶ 보안등급 및 접근통제
  - 접근통제
      - 주체 : 사용자
      - 객체 : 자원
      - 레이블 : 부여된 보안 속성 집합
      - 레벨 : 객체에 대한 중요성, 주체에 대한 권한의 정도

  - 접근 통제 매커니즘
      - 접근통제리스트(ACL) : 객체 하나에 대한 주체들의 권한 정도
      - 기능 리스트)CL) : 수행 능력표
      - 중요도 레이블 : 민감도 레이블
      - 혼합형

  - 강제적 접근 통제 : 규칙(Label, Rule)기반 통제
                              사전에 정의된 규칙을 기반
                              주체의 허용 권한(clearance)과 객체의 허용 등급(Label)을 바탕으로 접근통제
                              MLS(Multi-Level Security) 이라고도 함

  - 역할 기반 접근통제 : 비 임의적 접근통제
                                 Task-Based, Context-Based, Lattice-Based
                                 역할을 구분해서 규칙을 정의 (Lattice-Based, 직무 분리)
                                 권한은 소유자의 판단에 따라 임의적(최소권한의 원칙에 따라)으로 부여

▶ 보안 모델
  - 기밀성 모델
      - Bell-Lapadula 모델
           - 기밀성 보장을 최우선(암호화를 의미하는 것은 아님, 강제적 접근통제), 군사적 모델
           - TCSEC 이 근간
           - 보안규칙 
                  1. 단순 보안 규칙 - 자신보다 높은 등급의 객체를 읽을 수 없음, No-Read-Up
                  2. *(스타) 보안 규칙 - 자신보다 낮은 등급의 객체에 정보를 쓸 수 없음, No-Write-Down

  - 무결성 모델
      - Biba 모델
           - 무결성 통제가 목적, 군사적 모델
           - 보안규칙
                  1. 단순 무결성 규칙 - No-Read-Down
                  2. *(스타) 무결성 규칙 - No-Wirte-Up

      - 클락-윌슨 모델
           - 무결성 중심의 상업적 모델
           - 3원칙
                  1. 주체는 객체에 직접적인 접근을 금지, 반드시 Application을 사용해 접근
                     (Eg. SAP 에서 JAVA 프로그램을 통한 DB 직접 접근 금지)
                  2. Well-Formed Transaction, 트랜잭션의 내,외부적 일관성
                  3. 직무 분리 - 업무 수행자와 검토자의 직무를 분리

  - 기타 모델
      - 무간섭 모델
           - 정보 흐름 모델에 기반
           - 특정 보안 수준에서 주체의 명령과 활동은 다른 보안 수준의 주체와 객체에 영향을 주어서는 안됨
           - 비밀 채널로 이용 가능성, 사용 안함

      - Chinese Wall, 만리장성 모델
           - 서로 상충관계에 있는 객체간의 정보 접근을 통제하는 모델
           - 두 경쟁사의 정보에 모두 접근할 수 있는자가 각각의 정보를 서로의 경쟁자에게 넘겨주어서는 안됨