액세스 제어란?

URL 복사

액세스 제어는 사용자나 시스템이 IT 인프라에서 어떤 특정 리소스를 보거나 활용할 수 있는지를 결정하는 보안 권한 부여 기술입니다.

무단 액세스에 대비하여 민감한 정보를 보호하는 것을 기본 목표로 하는 사이버 보안의 중요 구성 요소입니다. 액세스 제어는 사용자나 시스템 자격 증명의 정당성을 식별한 다음 해당 역할이나 보안 인가 수준에 기반하여 적절한 수준의 액세스 권한을 Identity에 부여하는 방법으로 설정합니다. 실시간 모니터링, 컴플라이언스, 리뷰를 포함한 몇 가지 메커니즘을 통해 액세스 제어 시스템이 조직 보안 조치를 개선하고 위협을 줄일 수 있도록 합니다.

보안 자동화 활용 사례 살펴보기 

일반적인 6가지 유형의 액세스 제어 모델이 있습니다. 각 제어 모델이 사용자 권한을 관리하는 방식은 다음과 같습니다.

역할 기반 액세스 제어(RBAC)

이 모델은 사용자에게 할당된 역할 및 책임에 기반하여 액세스 권한을 부여하거나 거부합니다. 이러한 역할은 사용자가 액세스할 수 있는 리소스 및 시스템 관리자가 사용자 할당 역할에 따라 액세스 권한을 직접 관리할 수 있는 리소스를 결정합니다. RBAC는 역할 계층 구조를 지원하며, 상위 수준의 역할은 하위 수준 역할에서 액세스 권한을 상속할 수 있으므로 관리를 단순화하는 데 도움이 됩니다. 예를 들어 '직원' 역할의 사용자는 읽기 전용이나 파일 공유 액세스 권한과 같이 제한적인 권한을 가질 수 있고, '운영진' 역할의 사용자는 '직원' 사용자의 모든 권한에 더해 추가 액세스 권한을 가지게 됩니다. RBAC는 제로 트러스트 보안의 기반인 최소 권한 원칙(PoLP)을 따릅니다.

룰 기반 액세스 제어(RuBAC)

이 모델에서는 개별 사용자 기준이나 조건을 포함하여 사전 정의된 일련의 룰을 기준으로 액세스 권한이 부여되거나 거부됩니다. 이 모델을 구현하는 과정에는 사용자별 요구 사항 식별, 이러한 요구 사항의 룰을 정의하는 Identity 및 액세스 관리(IAM) 정책 생성, 보안 향상을 위한 조건 적용 등이 포함됩니다. 룰은 일반적으로 액세스 시간, IP 주소, 다단계 인증과 같은 조건을 기반으로 합니다. 예를 들어 업무 시간 중에만, 가상 프라이빗 네트워크(VPN)에 사용자가 안전하게 로그인한 경우에만, 온프레미스 애플리케이션에서만 등 여러 조건으로 액세스 권한을 부여할 수 있습니다.

필수 액세스 제어(Mandatory Access Control, MAC)

이 보안 기술은 시스템 관리자가 정한 일련의 필수 정책 및 룰을 기준으로, 권한을 사용자가 수정할 수 없는 액세스 제한을 적용합니다. 사용자 액세스 수정을 비활성화함으로써 협상 불가능한 보안 프로토콜에 따라 민감한 정보가 보호되도록 합니다. 이 시스템에서는 각 사용자에게 미리 정해진 보안 수준이 할당되고 리소스가 민감도 수준에 따라 분류됩니다. 사용자의 보안 수준이 리소스 분류 수준과 일치하거나 그 수준을 넘는지 여부에 따라 액세스 권한이 부여되거나 거부됩니다.

MAC를 역할 기반과 룰 기반 액세스 제어가 합쳐진 것으로 오해해서는 안 됩니다. 필수 룰을 적용하는 것이 MAC의 핵심 기능이기는 하지만, MAC는 사용자가 액세스 권한을 제어하도록 허용하지 않으며(사용자의 보안 수준과 무관) 사용자 역할을 기준으로 보안 수준이 결정되지 않습니다. 하지만 특정 데이터 보안 시스템에서 MAC를 RBAC 개념과 통합할 수 있습니다.

임의 액세스 제어(Discretionary Access Control, DAC)

DAC는 유연한 리소스 보안 관리 시스템으로 리소스 소유자의 재량으로 사용자 액세스 권한을 할당하거나 취소합니다. 사용자가 개인 클라우드에서 파일을 생성하거나 업로드할 때 파일별로 권한을 지정할 수 있습니다. 다시 말해서 일반 대중이나 특정 사용자가 액세스할 수 있는지 아니면 소유자의 용도로만 개인적으로 액세스할 수 있는지 결정합니다. 이러한 유형의 액세스 제어는 파일 시스템에서 일반적이며, 리소스 소유자는 언제든지 권한을 업데이트하거나 사용자 액세스 권한을 제거할 수 있습니다.

속성 기반 액세스 제어(Attribute-based Access Control, ABAC)

ABAC는 사용자, 리소스 및 환경 속성을 기준으로 하며 이러한 여러 특성을 동시에 평가합니다. 예를 들어 사용자가 자격 증명을 제공하여 클라우드 서비스에 로그인할 때 시스템은 사용자 프로필에서 사용자의 속성(예: 역할 또는 권한)을 검색합니다. 그런 다음, 리소스 속성(예: 파일 유형, 소유권, 민감도)과 함께 상황별 속성(예: 액세스 시간, 사용자 위치, 사용자가 보안 네트워크에서 액세스를 요청하는지 여부)을 식별합니다. 그리고 이렇게 조합된 속성이 보안 정책에 부합하는지 평가한 후 액세스 권한을 부여할지 거부할지 결정합니다.

액세스 제어 목록(ACL)

ACL은 리소스에 액세스한 후 사용자나 시스템의 권한 및 사용자나 시스템이 수행하도록 허용된 작업을 정의하는 목록입니다. 이 목록은 일반적으로 시스템 관리자가 생성하고 관리하지만, 일부 자동화된 시스템은 사전 정의된 룰이나 정책을 기준으로 ACL을 생성할 수 있습니다. 
 

액세스 제어 시스템은 몇 개가 필요하든 상관없이 항상 IT 인프라의 중요한 필수 구성 요소입니다. 보안 및 컴플라이언스 요구 사항을 평가하여 어떤 액세스 제어 모델이 조직에 가장 적합한지 결정하시기 바랍니다.

보안 팀 운영 작업 간소화 

DevSecOps에 Red Hat을 선택해야 하는 이유

액세스 제어 목록(ACL)은 일련의 룰 세트로서 컴퓨터 환경의 특정 파일이나 리소스에 액세스할 수 있거나 액세스할 수 없는 사용자 또는 엔터티를 지정합니다. 더 구체적으로, ACL은 시스템 리소스와 관련된 필터 역할을 합니다. 예를 들어 사용자가 리소스에 액세스하려고 하면 시스템에서는 해당 리소스와 연결된 ACL을 확인하고 사용자의 Identity를 ACL에 나열된 콘텐츠와 비교합니다. 일치하는 레코드가 발견되면 지정 권한을 사용하여 사용자가 접근할 수 있도록 허용합니다. 일치하는 항목이 없는 경우에는 액세스를 거부합니다. 방화벽과 유사하게, ACL은 룰 기반이며 사전 정의된 기준대로 작동하여 액세스 권한 요청을 평가합니다. 하지만 ACL은 사용자 권한을 지정하는 데 반해 방화벽은 네트워크 트래픽을 승인하거나 거부하기 위한 룰을 설정합니다. 

두 가지 유형의 ACL이 있습니다.

파일 시스템 ACL: 이 방법은 파일 시스템 내의 콘텐츠 및 디렉터리를 정의하고 관리하며 파일 액세스 권한을 필터링합니다. 사전 정의된 룰을 기준으로 하는 파일 시스템 ACL은 액세스 권한을 받을 수 있는 사용자 및 이러한 사용자가 시스템 내에서 보유한 권한을 운영 체제에 알립니다.

네트워킹 ACL: 이 방법은 네트워크에 액세스할 수 있는 트래픽 및 액세스 이후 허용되는 활동을 지정함으로써 라우터, 스위치, 방화벽 같은 네트워크 기기의 액세스 권한을 필터링하고 보안을 관리합니다.

이러한 기본적인 보안 기능은 임의의 보안 기기 또는 라우팅 기기에 적용하여 사용자나 시스템의 식별 방식을 간소화하고 민감한 정보를 다루는 방식을 관리할 수 있습니다. 

ACL과 RBAC는 모두 리소스를 관리하는 방법이지만 운영 방식이 다릅니다. ACL은 낮은 데이터 보안 수준에서 개별 사용자에 대한 권한을 제어하는 반면, RBAC 시스템은 감독하는 관리자가 있는 조직 수준에서 보안을 제어합니다. RBAC는 사용자 역할을 기준으로 보안 관리를 간소화한 포괄적인 접근 방식을 사용하고, ACL에서는 사용자 역할에 영향을 주지 않고 리소스를 기준으로 개별 사용자에게 맞춰 더욱 세분화한 룰을 사용할 수 있습니다.

RBAC는 정의된 역할이 있는 조직에 매우 적합합니다. 모니터링하는 관리자의 지원을 받아 전사적 보안 시스템으로 활용하면 가장 좋습니다. ACL은 개별 리소스를 세부적으로 제어하는 데 가장 좋으며 액세스 권한을 손쉽게 관리할 수 있는 유연성을 제공합니다. 두 방법 중 무엇을 선택할지는 컴플라이언스 및 규제 감사와 같은 조직의 구조 및 보안 요구 사항에 따라 달라집니다. 시스템 관리자 액세스 권한을 갖는 사용자 또는 무단 트래픽이 얼마나 많은지 식별하는 것도 감사에 포함될 수 있습니다. 리소스 관리를 이용하면 더욱 쉽게 데이터 보안을 분석하고 검토하여 조직의 컴플라이언스를 유지할 수 있습니다.

역할 기반 액세스 제어 자세히 알아보기

조직은 IT 자동화가 없다면 수동으로 작업할 수밖에 없어 프로덕션 시간이 증가하고 운영 비용이 높아지며 무단 액세스를 비롯한 보안 취약점이 늘어납니다. 자동화는 사용자 프로비저닝, 시스템 업데이트, 액세스 검토, 감사 생성과 같은 일상적인 태스크를 수동 작업과 비교 불가할 만큼 빠르게 단순화함으로써 인적 오류를 줄입니다. 회사가 성장함에 따라 자동화는 증가한 데이터와 사용자를 관리하는 데 도움을 주며 실시간 감지 및 위협 대응을 가능하게 하여 보안을 강화합니다.

 자동화된 패치 관리 및 보안 정보 및 이벤트 관리(SIEM)와 액세스 제어를 구현하면 IT 보안 프로세스에서 인적 오류를 최소화하고 컴플라이언스를 향상할 수 있습니다. 패치 관리 솔루션을 자동화 소프트웨어와 결합하면 시스템이나 애플리케이션에서 액세스 제어 정책을 적용하는 알려진 취약점을 수정할 수 있습니다. 반면, SIEM 자동화는 실시간으로 액세스 패턴을 분석하여 이상을 감지하며 이벤트 발생 시 자동으로 보안 팀에 알릴 수 있습니다. SIEM은 또한 감사 로그를 자동화하고 컴플라이언스 목적으로 액세스 활동을 추적 및 저장합니다. 

액세스 제어에 자동화를 결합하면 조직의 요구 사항에 맞춰 액세스 권한을 지정하면서 최소 권한 액세스 정책을 효과적으로 적용할 수 있습니다.

자동화에 대한 IT 경영진 가이드

Red Hat® Ansible® Automation Platform은 수동 태스크를 자동화하고 가치 실현 시간을 단축하는 동시에 현대적인 기업에 필요한 규모, 복잡성 및 유연성을 갖춘 자동화를 촉진하도록 지원합니다.  오토메이션 컨트롤러는 Ansible Automation Platform의 컨트롤 플레인으로서 관리자가 팀 전반에서 자동화를 정의, 운영 및 위임할 수 있게 지원합니다. 세분화된 기본 제공 RBAC 기능을 제공하며 엔터프라이즈 인증 시스템과 통합하여 자동화가 보안 및 컴플라이언스 표준을 충족하도록 보장합니다. 또한 보안 운영 팀은 Ansible Automation Platform을 사용해 SOAR 솔루션과 같은 기타 엔터프라이즈 애플리케이션을 관리할 수 있습니다.

컨테이너 오케스트레이션에서 IAM의 보안, 컴플라이언스 및 운영 효율성을 개선하려는 경우 Red Hat OpenShift®를 통해 포드, 노드 및 전체 클러스터에 대한 사용자 액세스를 관리할 수 있습니다. 엔터프라이즈 수준의 하이브리드 클라우드 애플리케이션 플랫폼인 Red Hat OpenShift를 사용하면 컨테이너화된 애플리케이션을 관리, 배포 및 확장하면서 쿠버네티스 RBAC와 같은 보안 기능을 비롯한 강력한 쿠버네티스 구성 요소를 활용할 수 있습니다.

오토메이션 컨트롤러에서 시작하기

리소스

자동화된 엔터프라이즈

이 e-book을 읽고 자동화의 강력한 기능을 활용해 네트워크, 인프라, 보안, DevOps, 엣지와 같은 IT 서비스를 혁신하세요.

레드햇 앤서블 오토메이션 플랫폼 교육 및 자격증 가이드

레드햇 앤서블 오토메이션 플랫폼의 교육 과정과 자격증 시험을 탐색하고, 각 역할에 맞는 최적의 기술 경로를 통해 자격증 준비와 기술 향상을 도와드립니다

추가 자료

가상 인프라 관리란 무엇인가요? 자동화는 가상 인프라 관리에 어떤 도움이 되나요?

가상 인프라 관리는 소프트웨어, IT 리소스 및 기타 툴을 함께 사용하여 가상 머신 및 관련 IT 환경을 라이프사이클 전반에 걸쳐 관리하는 것을 의미합니다.

CloudOps란?

CloudOps(클라우드 운영)는 IT 운영과 클라우드 환경 관리의 모범 사례를 결합합니다.

YAML이란? 데이터 직렬화와 구성 파일 작성을 위한 가이드

YAML은 구성 파일 작성에 사용되는 데이터 직렬화 언어로 쉽게 읽히는 특성을 갖고 있습니다. 이 페이지에서 YAML의 주요 특징과 널리 사용되는 이유를 자세히 설명합니다.

자동화와 관리 리소스

주요 제품

관련 기사