데이터는 모든 비즈니스에서 가장 귀중한 자산 중 하나입니다. 민감한 정보를 보호하려면 여러 클라우드와 환경에 걸쳐 있는 데이터 자산에 대한 액세스를 제한하는 것은 물론, 해당 데이터에 접근하려는 개인이 실제로 누구인지도 확인해야 합니다.
데이터 액세스 제어는 일련의 정책을 기반으로 액세스를 제한할 수 있는 핵심 보안 도구입니다. 강력한 데이터 액세스 정책을 구현함으로써 개인 식별 정보(PII), 지식재산권 등 여러 기밀 정보가 내부 또는 외부의 잘못된 사람의 손에 들어가는 것을 방지할 수 있습니다.
데이터 액세스 제어의 작동 방식은 무엇인가요?
데이터 액세스 제어는 사용자의 신원을 확인하여 사용자가 자신이 주장하는 본인이 맞는지 검증하고, 해당 데이터에 액세스할 권한이 있는지 확인하는 방식으로 작동합니다. 데이터 액세스 제어의 두 가지 주요 구성 요소는 다음과 같습니다.
- 인증: 다단계 인증 메커니즘을 통해 사용자 신원을 확인합니다
- 권한 부여: 지정된 정책을 기반으로 각 사용자의 데이터 액세스 수준뿐만 아니라 사용자가 수행할 수 있는 작업도 결정합니다
효과적인 데이터 액세스 제어를 위해 온프레미스와 클라우드 환경 모두에서 인증 및 권한 부여를 일관되게 적용해야 합니다.
데이터 액세스 제어 모델
다음은 데이터 액세스 제어를 적용하는 주요 모델 네 가지입니다.
임의 액세스 제어(DAC): DAC는 제한이 가장 적은 데이터 액세스 제어 모델로, 리소스의 소유자 또는 관리자가 누가 액세스 권한을 가질지 결정하는 데 의존합니다. 이 모델은 분산되어 있고 사용자가 다른 사용자와 액세스 권한을 공유할 수 있기 때문에, 회사의 민감한 정보에 누가 액세스하는지 감독하기 어렵습니다.
DAC 모델을 사용하면 최종 사용자(예: 파일 또는 폴더를 만든 사람)가 특수 권한을 설정하고 다른 사용자에게 권한을 양도할 수 있는 완전한 재량권을 갖습니다. 이 모델에는 트로이 목마 등 기타 멀웨어 공격에 대한 취약한 몇 가지 보안 문제를 내포하고 있습니다.
강제 액세스 제어(MAC): 이 비재량적 모델에서 최종 사용자는 권한 설정을 제어할 수 없습니다. 관리자 또는 소유자와 같은 중앙 기관이 권한에 대한 액세스, 설정, 변경, 취소를 제어합니다.
MAC 모델에서 액세스는 데이터 분류 및 사용자가 보유한 허가 또는 공식 액세스 승인의 수준을 기반으로 합니다. 관리가 어려울 수 있는 이 접근 방식은 흔히 군사 조직에서 사용됩니다.
역할 기반 액세스 제어(RBAC): 이 모델에서 액세스는 사용자 범주가 일상 업무를 수행하는 데 필요한 액세스 수준에 따라 달라지는 권한 집합을 기반으로 부여됩니다. RBAC를 사용하면 직원마다 직무, 책임과 같은 기준을 토대로 서로 다른 액세스 특수 권한을 받게 됩니다.
널리 사용되는 시스템인 RBAC는 역할 할당과 권한 부여 및 권한을 결합합니다. 이는 비용 센터, 사업부, 개별 책임, 권한 등의 기준에 따라 정의된 사전 정의된 역할을 중심으로 설계되었습니다. 개인이 책임, 직무 또는 기능을 변경하면 관리자는 시스템에 사전 정의된 새 역할을 해당 사용자에게 할당합니다.
속성 기반 액세스 제어(ABAC): 동적 데이터 액세스 제어 모델인 ABAC는 위치, 시간과 같은 요소를 포함한 속성과 환경 조건을 기반으로 액세스 권한을 부여합니다. 이러한 속성과 조건은 사용자뿐만 아니라 데이터나 기타 리소스에도 할당됩니다.
ABAC는 주체/객체 관계를 변경하지 않고도 속성과 그 값을 수정할 수 있기 때문에 RBAC보다 유연합니다. 즉, 액세스에 대한 새로운 결정을 내릴 때 액세스 제어를 동적으로 변경할 수 있습니다.
데이터 액세스 제어 구현
많은 조직에서는 데이터 액세스 제어 관리를 간소화하기 위해 아이덴티티 및 액세스 관리(IAM)와 같은 플랫폼을 구현합니다. IAM 솔루션을 사용하면 다음과 같은 이점을 얻을 수 있습니다.
- 조직 전반의 데이터에 대한 중앙 집중적이고 통합된 제어
- 프로비저닝과 같은 작업 자동화
- 일반 데이터 보호 규정(GDPR), 미국 건강 보험 양도 및 책임에 관한 법률(HIPAA), 지불 카드 산업 데이터 보안 표준(PCI DSS), 캘리포니아 소비자 개인정보 보호법(CCPA) 등의 규제 준수 간소화
마무리
데이터 보안은 그 중요성만큼이나 복잡합니다. 환경이 더욱 복잡해지고 위협이 진화함에 따라 데이터 액세스 정책을 지속적으로 시행하는 것이 특히 중요합니다. 데이터 액세스 제어 프로세스를 간소화할 수 있는 솔루션을 고려하는 동시에, 악의적이거나 부적절한 액세스를 모니터링하는 추가 계층으로 보안을 강화해 보세요.
SailPoint는 데이터 가시성과 제어 기능을 제공하며, 기업이 중요한 데이터 자산에 대한 액세스를 안전하게 보호할 수 있도록 지원하는 아이덴티티 분야의 선두 기업입니다. 자세히 알아보기.
