SSO(Single Sign-On)
[정의] 한 번의 시스템 인증을 통하여 여러 정보시스템에 재인증 절차 없이 접근할 수 있도록 하는 통합 로그인 솔루션
[구성요소] 사용자, 인증 서버(ACL(Access Control List)을 통한 통합 인증 서버), SSO Agent(각 정보시스템에 자동인증 정보), LDAP(네트웍상의 자원을 식별하고, 사용자와 Application이 자원에 접근할 수 있도록 하는 네트워크 디렉토리 서비스)
[기술요소]
-인증 : PKI(비대칭키(공개키, 비밀키) 기반의 인증 및 암호화), 생체인식, OTP.
-관리 : LDAP(X.500을 근거로 한 디렉터리 데이터베이스에 접속하기 위한 통신규약), 쿠키.
-암호화 통신 : SSL, IPSec.
[구축유형]
-인증대행 모델(Delegation) : 인증방식을 변경하기 어려울 때 많이 사용됨. 애플리케이션 인증 정보를 에이전트가 관리해 사용자 대신 로그온 해주는 기능. ID/Password의 집중화로 유출 시 큰 피해 우려. C/S나 패키지 소프트웨어도 SSO통합가능.(C/S방식, 패키지 소프트웨어, ERP 시스템)
-인증정보 전달 모델(Propagation) : 통합 인증을 수행하는 곳에서 인증을 받아 대상 애플리케이션에 전달한 Token을 발급. 웹 환경 에서는 쿠키를 이용해 Token을 자동으로 대상 애플리케이션에 전달.(웹 기반에서 구현되는 대부분의 시스템)
EAM(Extranet Access Management)
[정의] 다양한 응용 플랫폼 환경에서 효과적인 통합인증 (SSO)환경과 이를 기반으로 통합된 권한 관리(Access Contol)시스템을 구축하기 위한 접근제어 시스템.
[특징] EAM = SSO + 권한관리 + 자원관리 기능 + 보안정책 수립지원 기능.
[동작원리]
[구성요소]
-Clients(사용자) : 다양한 사용자 층에게 인터넷(Extranet) 기반으로 서비스 제공
-Authentication(인증/SSO) : SSO 기반, 로그인(ID/PASSWORD)기반, PKI 인증서 기반 사용자 인증
-Authorization(권한관리) : ACL (Access Control List) 기반 권한 관리와
PMI(Privilege Management Infrastructure) 기반 권한 관리 방식. 사용자별/서비스별/역할별 접근제어 기능.
-Legacy System(접근시스템) : 그룹웨어, ERP, KMS 등 다양한 기간 시스템 및 응용.
IAM(Identity Access Management)
[정의] 조직이 필요로 하는 보안정책을 수립하고 정책에 따라 자동으로 사용자의 계정과 권한을 관리하는 솔루션
[개념] 3A(Authentication, Authorization, Administration)에 Provisioning 기능을 포함한 포괄적인 의미의 IM(Identity Management) 솔루션
[프로세스] SSO(통합인증) ->(AAA) -> EAM(전사 접근제어) ->(AAA+Provisioning) -> IAM (통합관리,자동화)
[구성도 및 주요기능]
-인증(Authentication) : 통합인증(SSO: Single Sign On). PKI, 생체인식 등 다양한 인증방법. 중앙처리
-권한부여(Authorization) : 기업의 일관된 정책을 유연하게 반영하도록
RBAC(Role Based Access Control)기반 접근권한관리 체계.
-관리(Administration) : 통합적인 Logging, 감시 리포팅. 모든 3A 기능을 관리할 수 있는 일원화된 관리.
-Provisioning : 정책기반 인증, 권한 자동생성관리. 사용자 역할/규칙에 맞는 보안요소 식별.
자동화된 프로세스로 각 업무 시스템 계정을 통합적으로 관리.
-Audit : 중앙통제, 감시강화, 평가.
-연합서비스(Federation Service) : 외부시스템과의 정보공유를 위한 보안환경 제공.
계정관리 Infrastructure 를 외부 환경으로 확장지원.
-디렉토리 서비스(Directory Service) : 계정 및 접근제어는 사용자 관련정보를 포함하며 디렉토리에 저장됨. 프로파일 및 정책등과 같은 공유정보를 관리.
'ITPE > 보안' 카테고리의 다른 글
| 프라이버시 보존형 데이터 마이닝(PPDM) (0) | 2021.03.28 |
|---|---|
| 프라이버시 보호모델 (KLT 모델) (0) | 2021.03.27 |
| 개인정보영향평가(Privacy Impact Assessment) (0) | 2021.03.27 |
| GDPR (General Data Protection Regulation) (0) | 2021.03.27 |
| CC(Common Criteria) (ISO/IEC 15408) -> 2020년 개정 (0) | 2021.03.27 |