블로그

ABAC가 아니라 RBAC: 컨텍스트 보안의 (IoT) 세계에 오신 것을 환영합니다.

로리 맥비티 썸네일
로리 맥비티
2015년 9월 7일 게시

겉보기에 간단해 보이는 신청 요청에서 얻을 수 있는 속성은 첫눈에 보기보다 훨씬 더 많습니다. 물론 IP 주소도 있죠. 이를 통해 자신의 위치를 결정할 수 있습니다. 그것이 지리적 위치이고 오늘날에는 이 데이터를 수집하는 것이 상당히 표준적인 관행입니다. 하지만 이를 통해 "기업 자산 내부"와 같은 다른 속성도 추론할 수 있습니다. 좀 더 고급 데이터 마이닝을 사용하여 해당 위치가 애플리케이션에 액세스하려는 사용자에게 일반적인 위치인지 아닌지 확인할 수도 있습니다.

그것도 단지 IP 주소에서 나온 것입니다. 운영 체제와 장치 매개변수는 애플리케이션에 액세스하기 위해 전송된 HTTP 요청의 헤더를 조사하면 쉽게 얻을 수 있습니다. 웹 브라우저의 경우 더욱 구체적인 지문을 수집한 후 이전 통신 내용과 비교하여 "Jim"이 실제로 과거에 액세스를 허용한 "Jim"과 동일한지 여부를 확인할 수 있습니다.

이 모든 정보, 즉 추출되고 추론된 변수는 ADC(애플리케이션 제공 컨트롤러) 산업에서 수년 동안 "컨텍스트"라고 부르는 것을 구성합니다. 이러한 컨텍스트는 보안 관련 의사 결정을 알려주고, 서비스 제공 방식의 혁신을 가능하게 하며, 애플리케이션 경험을 개선하는 가속 기술을 적용하는 데 도움이 됩니다.

그래서 RBAC의 종말과 ABAC(속성 기반 액세스 제어)의 도입을 선언하는 이 기사를 읽는 것은 놀라운 일이 아니었습니다.  맥락에 따라 표현한 것이며, 혀에 잘 붙는 훨씬 더 멋진 약어로 표현한 것입니다(그리고 훨씬 더 공식적인 것처럼 들립니다).  이 기사의 초점은(계속 읽어보세요, 돌아오실 때까지 여기 있을 거예요...) 실제로는 역할 권한 부여의 기본 수단에서 벗어나 속성으로 대체하는 것에 관한 것이며 내부 또는 기업 간 액세스 제어 메커니즘에 대해 더 많이 다루고 있지만, 이 개념은 광범위하게 적용 가능합니다. 예를 들어, 은행 및 금융 산업 전반의 사기 방지 솔루션 에 광범위하게 사용됩니다. 여러분도 과거에 은행 업무를 보거나 주식을 확인하기 위해 로그인할 때 앱에서 보안 질문 중 하나를 묻는 경우가 있었을 것입니다. 이는 일반적으로 사용하지 않는 위치에서 로그인하거나, 새로운 기기를 사용하거나, 다른 브라우저를 사용하기 때문입니다.

 

 

IoT 통계 블록

지난 15년 동안 발생한 침해의 상당수가 애플리케이션 액세스 문제(주로 자격 증명 도난)로 인해 발생했으며, 이로 인해 수백만 달러의 사기가 발생하고 개인 정보가 유출되었다는 점을 감안할 때, 이러한 종류의 기술은 기업과 소비자 데이터를 모두 보호하는 데 점점 더 중요해지고 있습니다. Javelin Strategy & Research의 2014년 신원 사기 보고서에 따르면: 카드 데이터 침해와 소비자의 부적절한 비밀번호 사용 습관이 우려스러운 사기 추세를 부추긴다 . 일반적으로 침해의 61%는 자격 증명 도난으로 인해 발생한다. 

그리고 이제 전 세계적으로 앱과 통신하는 "사물"의 수가 증가함에 따라 앱에 액세스할 수 있는 "사물"을 제공해야 할 필요성이 절실해졌습니다.

그리고 이는 전통적으로 어떤 형태의 자격증을 의미합니다. 도난당할 수 있고 (남용)되어 내부 시스템, 네트워크, 데이터에 피해를 입힐 수 있는 자격 증명입니다.

제가 아는 한 역할에 대한 액세스를 허용하는 데 필요한 모든 "것"을 할당하는 것을 진지하게 고려하는 조직은 없습니다. 이를 달성하는 데 필요한 규모는 가능하지만 실제적으로는 그렇지 않습니다. 또한, 각각의 "사물"에 개별적인 정체성을 부여하는 것은 극복할 수 없는 도전처럼 보입니다. 수학적으로는 결코 도달할 수 없는 한계입니다. 하지만 사실 그러한 사물(및 그 소유자)은 앱에 액세스해야 하며, 그중 일부는 적어도 데이터 센터에 있을 수 있습니다. 이를 활성화하고, 제어하고, 보고하는 앱입니다.

배포 전에 이 점을 고려하는 것이 중요합니다. 전에 일반적으로 사용 가능. 전에 수백만 명의 소비자가 귀하의 "사물"을 이용해 해당 앱에 액세스하려고 합니다.

문제가 발생하기 전에 어떻게 안전한 액세스를 제공할지 고려하세요. 수백만 대의 장치에 펌웨어나 소프트웨어 업데이트가 필요하기 전에 컨텍스트(속성)를 기반으로 하는 솔루션을 설계하세요.

네트워크 인터페이스(이더넷, 블루투스 등) 공급업체는 MAC 주소로 식별할 수 있습니다 . 로컬 네트워크에서 문제를 해결할 때 이는 매우 중요한 정보이며, 특히 엔지니어나 운영자가 패킷 캡처에서 이를 쉽게 식별할 수 있는 경우에는 더욱 그렇습니다. ABAC 시스템을 설계하고 구현하는 데 도움이 될 수 있는 동일한 종류의 속성 기반 식별을 제공하는 "사물"을 통해 기회가 생길 것입니다. 로컬 도메인 외부에 지속되지 않는 MAC 주소가 아니라, 통신 교환에 포함되어 액세스 게이트키퍼가 적법성을 결정하는 데 사용할 수 있는 다른 장치 식별 속성입니다.

그리고 IoT 게임에 참여하려면 식별해야 할 사항의 수를 고려하면 하나를 설계하고 구현하고 싶을 것입니다.

따라서 IoT에 뛰어든다면(그리고 곧 발표될 2016년 애플리케이션 제공 상태 보고서에 따르면 상당수가 IoT에 뛰어든다고 합니다) 액세스를 안전하게 관리하는 방법을 고려하기 시작하기에는 너무 이르지 않습니다. 컨텍스트라고 부르든, ABAC라고 부르든, 다른 이름으로 부르든. 하지만 무엇이라고 부르든, 고려하지 못한 일이라고 부르지 말고 실행에 옮기세요.

*알겠습니다.인정합니다. 사실, 저의 대학 부전공은 수학이었습니다. 거기. 내가 말했잖아.