데이터베이스 보안 정리

# 데이터베이스(DataBase) 보안통제 :

- 흐름제어 : 

• 객체 A의 값을 읽어 이를 객체 B에 기록할 때 정보흐름이 발생한다.
• 어떤 객체에 포함되어 있는 정보가 명시적/암시적으로 낮은 보호수준의 객체로 이동하는 것을 검사하여 접근 가능한 객체의 정보흐름을 조정하는 것

- 추론제어 :

• 간접적인 데이터 노출로부터 데이터를 보호하기 위한 제어
• 비밀정보를 은폐하거나 DB사용자에게 부정확한 혹은 일관성이 없는 질의결과를 제공하는 방법이 있다.

- 접근제어 :

• DB에서의 접근통제는 운영체제의 접근통제와 유사하지만 실질적으로는 보다 복잡하다.
• OS의 접근통제 : OS의 객체는 다른 객체와 관련성이 없어 사용자는 하나의 파일을 읽고 다른 파일의 내용을 결정할 수 없다.
• DB의 접근통제 : DB의 객체는 상호 관련되어 있어 사용자는 하나의 데이터 요소를 읽고서 다른 데이터의 내용을 결정할 수 있으며 객체의 크기도 상이하다.

- 추론과 통계적 DB

• 인가된 쿼리 수행과 합법적 응답을 통해 비인가된 정보를 추론하는 것
• DB 설계 시 추론 탐지 : DB 구조 변경 혹은 접근 제어 방식의 변경으로 추론채널을 제거함으로써 추론을 방지
• 쿼리 타임 시 추론 탐지 : 쿼리 처리 중 추론 채널 위반을 제거하려는 시도. 추론 채널이 탐지되면 쿼리를 거부하거나 변경한다.

 

# DBMS 보안 통제 :

- SQL 기반의 접근통제

- View 기반의 접근통제

 

- DBMS 보안 점검 사항 : 

• 디폴트 계정 패스워드 변경, DB 패스워드 규칙 강화
• DBA 권한의 제한 : 일반 계정이 DBA 권한을 부여받지 않도록 주의해야 한다.
• 보안 패치 적용하여 취약점 제거
• 사용하지 않는 계정 삭제
• 개발자 IP 접근 제한
• 데이터의 암호화

 

# DB 암호화 방식 :

- Plug-in 방식 : 암/복호화 모듈을 DB서버 내에 설치하여 암/복호화를 수행하는 구조

- API 방식 : 암/복호화 모듈을 어플리케이션 서버 내에 설치하여 암/복호화를 수행하는 구조

- Hybrid 방식 : Plug-in + API

- TDE 방식 : DBMS에 추가 기능으로 제공되는 암호화 기능을 이용하여 DB 내부에서 데이터 파일 저장 시 암호화하고, 파일에 저장된 내용을 메모리 영역으로 가져올 때 DBMS에 의해 자동으로 복호화한다.

- 파일 암호화 방식 : OS 상에서 확인 가능한 개체인 파일을 암호화하는 방식

 

 

# 클라우드 보안 : 

- 클라우드 컴퓨팅 : 정보를 자신의 PC가 아닌 인터넷에 연결된 다른 컴퓨터로 처리하는 기술

- 클라우드 컴퓨팅의 3가지 서비스 모델 : 

• SaaS(Software as a Service) : 사용자는 제공자가 클라우드 기반 구조에서 실행되도록 올려놓은 응용프로그램을 이용할 수 있다.
• PaaS(Platform as a Service) : 사용자는 자신이 생성하였거나 프로그래밍언어로 만든 기존의 프로그램 또는 제공자가 지원하는 도구를 클라우드 기반 구조에 배치할 수 있다.
• Iaas(Infrastructure as a Service) : 사용자는 프로세싱, 저장소, 네트워크 및 기본적 컴퓨팅 자원을 사용자가 배치할 수 있는 곳에 제공하고 모든 프로그램을 구동할 수 있다. (OS 포함)

- 클라우드 보안 서비스 :

• Secaas(Security as a Service) : 서비스 제공자에게 제시하는 보안 서비스 패키지
• SecaaS는 CP(Cloud Provider)가 제공하는 SaaS의 일부이다.