DB접근제어 - DB-i
CATEGORIES :

"입출력 접근통제 및 보안감사 수행, DB 보안을 위한 방화벽"

확산 추세를 보이는 사이버테러, 개인정보 대량유출 등이 사회적 이슈가 됨에 따라 이에 대비하기 위해 최종 저장소인 DB에 대한 더 강력한 접근제어 및 감사시스템 강화 조치가 강조되고 있습니다.

DB접근제어 솔루션은 사용자가 DBMS(data base management system)에 로그인 하거나 SQL(structured query language)을 수행하려고 할 때 미리 정의된 보안규칙에 따라 권한 여부를 판단하여 통제하는 솔루션입니다. 일반적으로 SQL을 통제할 뿐만 아니라 로깅이 필요한 SQL에 대하여 SQL 수행과 관련된 정보를 저장하는 기능을 제공하고 있습니다.
DB접근제어의 필요성으로는 구체적으로 세분화된 사용자 식별, DBMS에 대한 부하가 증가 감소, 주민번호의 뒷자리만을 '*'로 치환하는 마스킹(Masking) 기능이나 각종의 보고서 기능, 로그 통합 기능, 모니터링 기능 등 DBMS에서 제공하지 못하는 추가 기능, 다양한 종류의 DBMS에 대한 통합관리 등을 들 수 있습니다.

DB접근제어 솔루션을 도입하는 경우에 여러 가지 방식으로 특성에 맞게 다양한 기능을 구성할 수 있어야 하며, 이를 통합적으로 관리할 수 있어야 합니다. DB접근제어를 구축하는 방법은 크게 3가지로 나눌 수 있으며 각각의 특성이 있습니다.
접근제어 방법 설명
에이전트 방법 - 서버 자체에 접근제어 및 로깅 기능을 포함하는 에이전트 이식
- DB에 직접 접근하는 전용 클라이언트를 포함해 모든 접근 루트를 제어 할 수 있는 가장 강력한 보안 방법
- DB 서버에 트래픽을 발생, DB 서버의 성능저하 우려, 시스템 정지의 리스크 내재
게이트웨이
방법
프록시
방법
- DB서버로 접속하는 모든 IP를 DB 보안서버(프록시서버)를 통하도록 설정 변경
- 가장 강력한 접근제어 기능 제공
- 타깃 DBMS의 추가가 가능해 대형 시스템 환경에 유리
- 보안서버(프록시서버)의 장애발생 시에도 이중화 구성이 가능하므로 온라인 업무에 지장이 없이 복구 가능
인라인
방법
- 타깃 DB서버와 클라이언트 네트워크 사이에 인라인 보안시스템 구성
- 서버나 클라이언트에 별도의 에이전트 설치나 변경 불필요
- 규모가 크지 않고 DB서버가 한 장소에 위치하고 온라인 업무의 비중이 그다지 높지 않은 시스템에 유리
- 보안서버 다운 시 모든 업무의 중단 우려가 있으며, 타깃 DB 서버의 규모에 따라 다수의 DB 보안서버 필요
스니핑 방식 - 네트워크 선로 상의 패킷들을 TAP 방식과 패킷 미러링 방식을 통해 패킷을 분석 로깅하는 방법으로 사후 감사의 의미에 비중을 두는 보안방식
- 서버와 클라이언트 사이에 어떠한 에이전트의 설치나 설정변경이 필요 없으며 네트워크에 부하 없이 시스템 구축 용이
- 데이터의 변조나 훼손으로 인한 무결성 유지 곤란
DB접근제어는 각 방식의 단점을 보완하기 위해 각각의 방식을 혼합하는 하이브리드 방식을 많이 사용합니다. 일반적인 하이브리드 구성방식은 '에이전트+스니핑', '게이트웨이+스니핑', '게이트웨이+에이전트+스니핑' 등이 있습니다.