DB 접근제어란?
DB 접근제어는 DB에 저장된 데이터의 보안을 위해서 사용자별에 따른 접근 권한을 두어 접근을 제한하는 역할을 의미한다.
주 역할은 DB에 대한 접근을 제한하며, 기능에 따라서 권한을 제어하는 권한제어의 역할을 하기도 한다.
접근제어는 감사를 위해 보안정책 및 설정을 관리하는 콘솔과 접근을 차단하며 모니터링 및 로깅을 수행하는 서버로 구성이 된다.
접근제어 솔루션 중에 DB 접근제어 솔루션 뿐 아니라 시스템 접근제어의 기능을 가지고 있는 경우도 있다.
주로 Gateway Sniffing Hybrid 방식을 이용해서 DB 접근에 대한 구현 방식이 존재한다.
스니핑방식
스니핑이란 냄새를 맡다 라는 사전적인 의미를 가지고 있다.
스니핑 방식은 DB의 사용자와 DB 서버간 주고받는 패킷을 복사해서 DB 접근제어 서버에 전달하는 방식이다. 이는 말 그대로 주고받는 패킷을 복사해 그냥 전달하는 방식이다.
이 방식은 서버/네트워크 구성 변경이 없이도 DB 서버 및 APP 서버 상 추가적인 성능 부하 없이 DB의 사용을 감시하는 역할을 할 수 있다.
하지만 이 방식은 접근제어에 대한 제어가 힘들며, 사전에 허가 되지 않은 쿼리가 날아가더라도 중간에 제어할 수 없기 때문에 말 그대로 사후 감사에 적합하며 대규모 쿼리 환경에서는 적합하지 않다
스니핑 방식에는 미러링 포트를 사용하거나, agent를 설치해서 진행할 수 있다.
Gateway 방식
게이트웨이 방식은 모든 쿼리가 게이트웨이를 통해서 거쳐가게 만든다. DB 사용자가 쿼리를 날리면 쿼리가 바로 DB 서버로 가는 것이 아닌 DB 접근제어 서버에 접근을 하고 DB 접근제어 서버가 해당 쿼리를 DB로 날리게 된다.
이 방식은 접근제어 서버가 DB로 접근하는 것이기 때문에 보안 솔루션과 함께 DB의 방화벽에 접근제어 서버만 열어주어 ACL로 접근제어를 할 수 있기 때문에 해킹을 당한다 하더라도 DB에 대해 직접적인 해킹을 막을 수 있다.
하지만 완전하게 막기 위해서 접근제어를 하게 된다면 DB 접근제어가 장애난다 하더라도 DB에 접근이 불가능하다.
또한 현업에서 요구되는 접근제어를 유연하게 구현하기가 힘들다.
Hybrid 방식
Hybrid 방식은 스니핑과 Gateway 모두 사용하는 방식이다. 이는 대용량 쿼리에도 모든 감사로그 및 내부 사용자에 대한 통제를 사용할 수 있는 방식이다.
어플리케이션 서버 같은 대용량 트랜젝션에서는 스니핑을 통해서 감사를 진행하며
내부사용자가 DB에 쿼리를 날리는 경우 Gateway를 통해 접근, 권한 제어를 진행하는 방식이다.
'[Linux]' 카테고리의 다른 글
| 다수의 Linux user 비밀번호 설정 및 변경 방법 (1) | 2024.10.22 |
|---|---|
| SMB / NFS / CIFS란 무엇인가? (23) | 2023.11.20 |
| SSH란 무엇인가? (35) | 2023.09.20 |
| 프록시란 무엇인가? (1) | 2023.09.13 |
| Linux 디스크 마운트 하기 (21) | 2023.09.11 |
