ACL(액세스 제어 목록)
무엇이 있는 액세스 제어 목록
ACL(액세스 제어 목록)규칙을 포함하는 액세스를 허용하거나 거부하는 특정 디지털 방식으로 환경이다. Acl 에는 두 가지 유형이 있습니다.
- Filesystem ACLs━파일 및/또는 디렉토리에 대한 액세스를 필터링합니다. Filesystem Acl 은 운영 체제에서 시스템에 액세스 할 수있는 사용자와 사용자가 허용되는 권한을 알려줍니다.
- 네트워킹 ACLs━네트워크에 대한 액세스를 필터링합니다., 네트워킹 Acl 은 라우터와 스위치에 어떤 유형의 트래픽이 네트워크에 액세스 할 수 있는지,어떤 활동이 허용되는지 알려줍니다.
원래 Acl 은 방화벽 보호를 달성하는 유일한 방법이었습니다. 오늘날 acl 에 대한 많은 유형의 방화벽과 대안이 있습니다. 그러나 단체를 계속 사용 Acl 와 함께 기술 가상 사설망(Vpn)지정하는 트래픽을 암호화되어 전송 VPN 을 통해 터널이다.,
을 사용하는 이유는 ACL:
- 트래픽의 흐름을 제어
- 제한된 네트워크 트래픽이 네트워크 성능 향상을 위해
- 수준의 보안 네트워크 액세스가 지정하는 지역의 서버/네트워크/서비스에 액세스할 수 있는 사용자에 의해 수 없는
- 세부적으로 모니터링 트래픽 종료하고 시스템에 들어가
는 방법 ACL 작품
파일시스템 ACL 은 테이블을 알리는 컴퓨터 운영체제의 시스템에 대한 액세스 권한 사용자가 시스템 개체를 포함하여,하나의 파일 또는 파일이 디렉토리에 있습니다., 각 개체에는 액세스 제어 목록에 연결하는 보안 속성이 있습니다. 목록에는 시스템에 대한 액세스 권한이있는 모든 사용자에 대한 항목이 있습니다.
전형적인 권한 있는 권한이 포함되어 읽을 하나의 파일(또는 모든 파일)디렉토리에 파일을 실행하거나 쓰려는 파일 또는 파일이 있습니다. ACL 을 사용하는 운영 체제에는 예를 들어 Microsoft Windows NT/2000,Novell’s Netware,Digital’S OpenVMS 및 UNIX 기반 시스템이 포함됩니다.,
사용자가 요청이 있는 객체에 ACL 기반 보안 모델,운영체제 시스템 연구 ACL 관련 항목 및 보고 여부 요청한 작업을 허용한다.
네트워킹 Acl 은 라우터 또는 스위치에 설치되어 트래픽 필터 역할을합니다. 각각의 네트워킹 ACL 포함되어 사전 정의된 규칙 제어하는 패킷 라우팅 또는 업데이트에 액세스하거나 액세스할 수 없는 네트워크입니다.
Acl 이있는 라우터 및 스위치는 필터링 기준에 따라 패킷을 전송하거나 거부하는 패킷 필터처럼 작동합니다., 레이어 3 장치로서 패킷 필터링 라우터는 규칙을 사용하여 트래픽을 허용해야하는지 또는 액세스를 거부해야하는지 확인합니다. 소스 및 대상 IP 주소,대상 포트 및 소스 포트 및 패킷의 공식 절차를 기반으로이를 결정합니다.
유형의 액세스 제어 목록
액세스 제어 목록에 접근할 수 있습과 관련하여 두 개의 주요한 종류:
표준 ACL
액세스 목록 개발된 전적으로 사용하여 소스에 IP 주소가 있습니다. 이러한 액세스 제어 목록은 전체 프로토콜 제품군을 허용하거나 차단합니다., UDP,TCP 및 HTTPS 와 같은 IP 트래픽을 구분하지 않습니다. 라우터가 주소를 소스 IP 주소로 인식 할 수 있도록 1-99 또는 1300-1999 번호를 사용합니다.
확장 ACL
IP 트래픽을 차별화 할 수 있으므로 널리 사용되는 액세스 목록입니다. 소스 및 대상 IP 주소와 포트 번호를 모두 사용하여 IP 트래픽을 이해합니다. 허용 또는 거부해야 하는 IP 트래픽을 지정할 수도 있습니다. 그들은 숫자 100-199 및 2000-2699 를 사용합니다.
리눅스 ACL 대., Windows ACL
Linux 는 windows 로 수행 할 수없는 커널 수정을 할 수있는 유연성을 제공합니다. 그러나 Linux 에서 커널 수정을 할 수 있으므로 프로덕션 환경을 유지하려면 전문 지식이 필요할 수 있습니다.
Windows 는 안정적인 플랫폼의 이점을 제공하지만 Linux 만큼 유연하지는 않습니다. 응용 프로그램 통합과 관련하여 Windows 는 Linux 보다 쉽습니다.
사용자는 소프트웨어를 추가하지 않고 Windows 상자에서 액세스 제어 메커니즘을 설정할 수 있습니다.패치 측면에서 Microsoft 는 Windows 패치를 발행 할 수있는 유일한 출처입니다., 리눅스에,당신이 선택할 수 있을 때까지 기다리는 상용 리눅스 공급자료 패치 또는 이동할 수 있습하는 오픈 소스 엔티티에 대한 패치입니다.
ACL 모범 사례
구성하는 경우 Acl,당신은 준수해야 몇 가지 모범 사례 보안을 보장하기 위해 단단 의심스러운 트래픽이 차단됩니다:
1. Acl everywhere
Acl 은 거의 모든 보안 또는 라우팅 기어에서 각 인터페이스에서 적용됩니다. 바깥 쪽을 향한 인터페이스와 캠퍼스 네트워크를 형성하는 인터페이스에 대해 동일한 규칙을 가질 수 없으므로 적합합니다., 그러나 인터페이스는 비슷하며 일부는 Acl 에 의해 보호되고 일부는 노출되기를 원하지 않습니다.
연습 ACL 모든 인터페이스에 필수적 인바운드 Acl,구체적으로 규칙을 결정하는 데이터를 전송할 수 있습니다. 그것들은 상당한 차이를 만드는 규칙입니다.<피>2. ACL 순서대로
거의 모든 경우에 ACL 을 시행하는 엔진은 상단에서 시작하여 목록 아래로 이동합니다. 이는 ACL 이 특정 데이터 스트림으로 수행 할 작업을 수행하는 데 의미가 있습니다.,
하나의 이유로 조직을 채택 Acl 는 그들은 낮보다 계산 오버헤드 상태 저장 방화벽과 그들은 작업에서 높은 속도입니다. 이는 빠른 네트워크 인터페이스에 대한 보안을 구현하려고 할 때 필수적입니다. 그러나 패킷이 시스템에 오래 남아 있을수록 ACL 의 규칙에 대해 검사하는 동안 성능이 느려집니다.이렇게하려면 다음 규칙을 따라야합니다. 규칙이 논리적으로 그룹화되도록하면서 일반에서 특정까지 작업하십시오., 당신이 알고 있어야 하는 각각의 패킷으로 행동에 의해 초기 규칙은 그것을 트리거할 수 있습 끝까지 전달하는 패킷을 통해 하나의 규칙을 때 당신이 하려는 블록을 통해 그것니다. 특히 새로운 규칙을 추가 할 때 이벤트 체인이 어떻게 발생하기를 원하는지 고려하십시오.<피>3. 작업 문서
ACL 규칙을 추가 할 때 왜 추가하는지,수행하려는 작업 및 추가 할 때를 문서화하십시오.
규칙 당 하나의 주석을 가질 필요는 없습니다. 당신이 하나를 만들 수 있습에 대한 코멘트 블록의 규칙,복잡한 설명 대한 하나의 규칙,또는 두 가지 접근법의 조합.,개발자는 현재 규칙이 문서화되어 있는지 확인해야하므로 아무도 규칙이 왜 있는지 추측 할 필요가 없습니다.
RBAC 대 ACL
개발자가 사용할 수 있는 역할 기반 액세스 목록(RBAC)시스템을 제어하는 보안에는 세부적인 수준입니다. 보다 강조하는 사용자의 id 및 여부를 결정하는 그들이 허용되어야 한 무언가를보고,응용 프로그램에서 RBAC 관 security 의 역할에 따라 사용자는 조직 내에서.
예를 들어,뉴욕의 건축가 인 John Smith 에게 권한을 부여하기보다는 RBAC 은 미국에 대한 역할에 대한 권한을 부여합니다., 건축가. 존 스미스는 그 역할을 가진 많은 사용자 중 하나 일 수 있습니다. 따라서 rbac 는 역할에 따라 모든 승인을 제공하므로 특정 사용자 만 민감한 정보에 액세스 할 수 있도록 규제 담당자에게 보장합니다.
RBAC 는 일반적으로 비즈니스 애플리케이션에서 선호되는 방법으로 간주됩니다. Rbac 는 관리 간접비 및 보안과 관련하여 ACL 보다 효과적입니다. ACL 은 개별 사용자 수준에서 보안을 적용하는 데 가장 적합합니다. Rbac 를 사용하여 관리자가 모니터링하는 회사 전체의 보안 시스템을 제공 할 수 있습니다., 예를 들어 ACL 은 특정 파일에 대한 쓰기 액세스를 제공 할 수 있지만 사용자가 파일을 수정할 수있는 방법을 정의 할 수는 없습니다.
예의 역할 기반 액세스 제어(RBAC)system.
역할 기반 액세스 제어 Imperva
Imperva 할 수 있습의 제어를 위한 사용자 권한을 사용하여 가동 가능한 역할 기반 액세스 컨트롤이 있습니다. 사용자에게는 관리 기능 및 개체에 대한보기 전용,편집 또는 제한된 액세스가 제공됩니다., 조직도 계층적으로 그룹화하고 관리하는 IT 자산으로 카테고리에 대한 세분화된 액세스 제어,도에서 관리된 보안 서비스 공급자(높였)배포 및 대형-규모의 기업입니다.
