문서7.1. 보안 정책 정의
보안이라는 개념은 광범위한 개념, 도구 및 절차를 나타내지만 그 어느 것도 보편적으로 적용되지 않기 때문에 폭넓게 보안을 논의하는 것은 비실용적입니다. 그 중에서 선택하려면 목표가 무엇인지에 대한 정확한 아이디어가 필요합니다. 시스템 보안은 몇 가지 질문에 답하는 것부터 시작됩니다. 임의의 도구 세트를 구현하려고 서두르면 보안의 잘못된 측면에 집중할 위험이 있습니다.
일반적으로 특정 목표를 결정하는 것이 가장 좋습니다. 그러한 결정을 내리는 데 도움이 되는 좋은 접근 방식은 다음 질문에서 시작됩니다.
• 뭐 당신은 보호하려고 노력하고 있습니까? 컴퓨터를 보호하려는지, 데이터를 보호하려는지에 따라 보안 정책이 달라집니다. 후자의 경우 어떤 데이터인지도 알아야 합니다.
• 무엇을 보호하려고 합니까? 반대? 기밀정보 유출인가요? 실수로 데이터가 손실되었나요? 서비스 중단으로 인한 수익 손실?
• 또한, 누구 당신은 보호하려고 노력하고 있습니까? 시스템의 일반 사용자에 의한 오타로부터 보호하는 것과 특정 외부 공격자 그룹으로부터 보호하는 보안 조치는 상당히 다릅니다.
"위험"이라는 용어는 관례적으로 무엇을 보호해야 하는지, 무엇을 방지해야 하는지, 누가 이런 일을 발생시킬 수 있는지 등 세 가지 요소를 집합적으로 지칭하는 데 사용됩니다. 위험을 모델링하려면 이 세 가지 질문에 대한 답이 필요합니다. 이 위험 모델을 통해 보안 정책을 구성하고 구체적인 조치를 통해 정책을 구현할 수 있습니다.
영구 질문 보안 문제(컴퓨터 보안뿐만 아니라) 분야의 세계적인 전문가인 Bruce Schneier는 "보안은 제품이 아니라 프로세스입니다."라는 모토로 보안의 가장 중요한 신화 중 하나에 맞서려고 합니다. 보호해야 할 자산은 시간이 지남에 따라 변하며 위협과 잠재적인 공격자가 사용할 수 있는 수단도 변합니다. 처음에 보안 정책이 완벽하게 설계되고 구현되었더라도 결코 만족해 해서는 안 됩니다. 위험 요소는 진화하고 이에 따라 해당 위험에 대한 대응도 진화해야 합니다.
영구 질문 보안 문제(컴퓨터 보안뿐만 아니라) 분야의 세계적인 전문가인 Bruce Schneier는 "보안은 제품이 아니라 프로세스입니다."라는 모토로 보안의 가장 중요한 신화 중 하나에 맞서려고 합니다. 보호해야 할 자산은 시간이 지남에 따라 변하며 위협과 잠재적인 공격자가 사용할 수 있는 수단도 변합니다. 처음에 보안 정책이 완벽하게 설계되고 구현되었더라도 결코 만족해 해서는 안 됩니다. 위험 요소는 진화하고 이에 따라 해당 위험에 대한 대응도 진화해야 합니다.
사용 가능한 정책의 범위를 제한할 수 있으므로 추가 제약 조건도 고려해 볼 가치가 있습니다. 시스템 보안을 위해 어느 정도까지 노력하시겠습니까? 이 질문은 어떤 정책을 시행할지에 큰 영향을 미칩니다. 너무 자주 대답은 금전적 비용 측면에서만 정의됩니다.
그러나 시스템 사용자에게 부과되는 불편함이나 성능 저하와 같은 다른 요소도 고려해야 합니다.
위험이 모델링되면 실제 보안 정책 설계에 대해 생각해 볼 수 있습니다.
채택할 보안 보호 수준을 결정할 때 영향을 미칠 수 있는 극단적인 요소가 있습니다. 한편으로는 기본적인 시스템 보안을 제공하는 것이 매우 간단할 수 있습니다.
예를 들어, 보호할 시스템이 중고 컴퓨터로만 구성되어 있고 하루가 끝날 때 몇 개의 숫자를 추가하는 것이 유일한 용도인 경우 시스템을 보호하기 위해 특별한 조치를 취하지 않기로 결정하는 것이 상당히 합리적일 것입니다. 시스템의 내재가치는 낮고, 데이터는 컴퓨터에 저장되지 않기 때문에 그 가치가 XNUMX입니다. 이 시스템에 침투하는 잠재적 공격자는 계산기만 얻을 수 있습니다. 그러한 시스템을 보호하는 데 드는 비용은 아마도 침해 비용보다 클 것입니다.
스펙트럼의 반대편에서는 다른 고려 사항보다 가장 포괄적인 방법으로 비밀 데이터의 기밀성을 보호하고 싶을 수도 있습니다. 이 경우 적절한 대응은 데이터 전체를 파기하는 것입니다(파일을 안전하게 삭제하고, 하드 디스크를 여러 조각으로 파쇄한 다음 이러한 비트를 산성 용액에 용해시키는 등). 나중에 사용할 수 있도록 데이터를 저장해야 한다는 추가 요구 사항이 있고(반드시 쉽게 사용할 수 있는 것은 아니지만) 비용이 여전히 중요한 요소가 아닌 경우 시작점은 이리듐-백금 합금에 데이터를 저장하는 것입니다. 전 세계 여러 산 아래 방폭 벙커에 보관된 번호판입니다. 각 번호판은 (물론) 완전히 비밀로 유지되며 군대 전체가 보호합니다.
이러한 예가 극단적으로 보일 수도 있지만 도달해야 할 목표와 달성해야 할 제약 조건을 고려한 사고 과정의 결과인 한 정의된 특정 위험에 대한 적절한 대응이 될 수 있습니다. 합리적인 결정을 내릴 때 어떤 보안 정책도 다른 정책보다 더 훌륭하거나 덜 존경받을 수는 없습니다.
좀 더 일반적인 사례로 돌아가면, 정보 시스템은 일관되고 대부분 독립적인 하위 시스템으로 분할될 수 있습니다. 각 하위 시스템에는 고유한 요구 사항과 제약 조건이 있으므로 각각에 대해 위험 평가와 보안 정책 설계를 별도로 수행해야 합니다. 명심해야 할 좋은 원칙은 작은 공격 표면이 큰 공격 표면보다 방어하기 쉽다는 것입니다. 이에 따라 네트워크 조직도 설계되어야 합니다. 민감한 서비스는 소수의 시스템에 집중되어야 하며 이러한 시스템은 최소한의 경로나 체크포인트를 통해서만 액세스할 수 있어야 합니다. 논리는 간단합니다. 외부 세계 전체에 대해 모든 민감한 시스템을 보호하는 것보다 이러한 체크포인트를 보호하는 것이 더 쉽습니다. 이 시점에서 네트워크 필터링(방화벽 포함)의 유용성이 분명해집니다. 이 필터링은 전용 하드웨어로 구현할 수 있지만 더 간단하고 유연한 솔루션은 Linux 커널에 통합된 것과 같은 소프트웨어 방화벽을 사용하는 것입니다.