Some design principles - 보안시스템 설계 원칙

• Fail - safe defaults실패 하더라도 안전하게 보장하는 default로 설정해라.

  즉 화이트 리스트 방식 (안되게 하는것을 default로 설정) <-> 블랙리스트 방식과 반대.

  블랙리스트는 모두 열어주지만 알려진 사용자들에 대해서만 Block하는것.

  화이트 리스트는 모두 닫아주지만, 검증된 사용자들에 대해서만 Open.

  ex) 리눅스 파일시스템

• Isolation : 무언가를 분리하는것

  • 공개적으로 엑세스 가능한 시스템과, 중요자원을 관리하는 시스템은 분리되어야 한다.
  • 개개인들의 process들과 파일들은 분리되어야 한다.
  • 보안관련 메커니즘들은 다른 자원들과 분리되어야 한다.

• Complete mdediation

  모든 자원을 엑세스를 할때마다, 그 권한이 있는지 체크해야 한다. ex) zero trust

• Open design

  Security 메커니즘을 설계할 때 개방형으로 설계해라.

  열쇠와 자물쇠를 설계하는 방법 자체는 모든 사람이 공유.

  하지만 key를 안전하게 보관. 집단 지성을 활용해 보안을 유지시키고 발전시킬 수 있음.

• Least privilege

  최소한의 권한 부여. 어떤 일을 수행해야 할 때 필요한 권한까지만 부여하고 그 이상의 권한을 부여하지 말자.

Attacks

• passvice attacks
  • 시스템의 정보를 바꾸지는 않고 정보를 엿보는 것이 목적.
  • Release of message contents - 데이터 노출
  • Traffic analysis - 트래픽 분석
    • 쇼핑몰 같은 서비스에서 사용자의 소비 패턴 같은 정보를 알아가서 이용할 수 있다.
• active attacks
  • 시스템의 정보를 바꾸는 것이 목적.
  • Modification - 변조
    • 데이터를 전송할 때 중간에서 데이터를 바꿔서 보내는 것.
  • Masquerade/Forgery - 위장
    • 공격자가 다른 주체로 위장한 채로 데이터를 전송하는 것.
  • Replay - 반복
    • 어떤 데이터를 보관하고 있다가 반복해서 전송하는 것.
    • 송금같은 데이터의 경우 반복해서 보낼 경우 심각한 문제가 발생할 수 있다.
  • Denial of Service Attack(DDOS) - 서비스 거부
    • 데이터를 전송할 때 중간에서 막는 것.
    • 클라이언트가 서버로 부터 제대로 된 서비스를 받지 못한다.

Security Services

• Confidentiality[passive] - 기밀성
  • 허가된 사람에게만 데이터를 볼 수 있도록 비밀이 보장되어야 한다.
  • passive attack으로 부터 데이터를 보호하기 위함.
• Integrity[active] - 무결성
  • 허가된 권한 없이 데이터가 함부로 변경되면 안된다.
  • Modification과 같은 공격으로 부터 보호하기 위함.
• Authenticity[active] - 인증성
  • 받은 정보가 출처로부터 신뢰할 수 있다는 것을 인증한다.
  • Masquerade/Forgery 같은 공격으로 보호하기 위함.