주체와 객체의 접근 판단
사용자가 누구인지 확인한 뒤 어떤 자원에 어떤 행위를 허용할지 정책으로 판단합니다.
subject -> object -> operation
식별·인증·인가·감사를 한 문장으로
접근통제는 주체가 객체에 접근하기 전 신원 확인, 권한 판단, 행위 기록을 이어 붙이는 과정입니다.
DAC·MAC·RBAC·ABAC
소유자 재량, 등급 기반 강제, 역할 기반, 속성 기반처럼 권한 결정 기준을 비교합니다.
owner / label / role / attribute
ACL과 Capability List
ACL은 객체 중심 권한 목록, Capability List는 주체 중심 권한 목록으로 설명합니다.
object view / subject view
MFA·SSO·Kerberos
인증 강도와 편의성을 조절하고 Kerberos는 KDC와 티켓 흐름으로 중앙 인증합니다.
AS -> TGS -> Service
최소권한업무상 필요한 권한만 부여해 오남용과 피해 확산을 줄입니다.
직무분리상호 견제가 필요한 업무를 나누어 부정과 실수를 줄입니다.
Kerberos 한계비밀번호를 서비스마다 직접 보내는 방식이 아니라 티켓
기반입니다.
접근통제 답안은 용어를 섞지 않는 것이 절반입니다. 식별, 인증, 인가, 감사가 각자 맡는 역할을 분리해야 합니다.