모델 중심 보안

Model-driven security

MDS(Model-Driven Security)는 모델 중심 접근방식(특히 모델 중심 소프트웨어 개발의 이면 개념)을 보안에 적용하는 것을 의미한다.

개념 개발

초기 형태의 모델 주도 보안의 일반 개념은 1990년대 후반(대부분 대학 연구[2][3][4][5][6][7][8][9][10])부터 존재해 왔으며, 2002년경 처음 상용화되었다.[11]또한 이 분야에는 후대의 과학 연구의 몸체가 있는데,[12][13][14][15][16][17] 이 연구는 오늘날까지 계속되고 있다.

모델 중심 보안의 보다 구체적인 정의는 특히 모델 중심 접근방식을 적용하여 보안 요구사항 모델에서 기술 보안 구현을 자동으로 생성한다.특히 "모델 주도 보안(MDS)은 높은 추상화 수준에서 보안 요건을 모델링하고, 시스템에 대해 이용 가능한 다른 정보원을 이용하는 툴 지원 프로세스(다른 이해관계자가 생산)이다.DSL(Domain Specific Language)으로 표현되는 이러한 입력은 가능한 한 인간의 개입이 적은 집행 가능한 보안 규칙으로 변환된다.MDS는 또한 명시적으로 런타임 보안 관리(예: 자격/승인), 즉 보호된 IT 시스템에 대한 정책의 런타임 시행, 동적 정책 업데이트 및 정책 위반 모니터링을 포함한다."[18]

모델 중심 보안은 모델 변환을 통해 모델과 기술 보안 구현 간의 관계가 추적적으로 정의되기 때문에 자동화된 감사, 보고, 문서화 및 분석(예: 컴플라이언스 및 인증)에도 적합하다.[19]

업계 분석가의 의견

몇몇 업계 분석가들은 MDS가 "정보보안 인프라가 점점 더 실시간화되고, 조직과 그 환경의 변화에 적응해야 하기 때문에 상당한 영향을 미칠 것"이라고 말한다.오늘날의 많은 정보 기술 아키텍처는 적응형 변화(예: 서비스 지향 아키텍처(SOA) 및 클라우드 컴퓨팅에서[23] 이른바 서비스형 플랫폼(Platform-as-a-Service "매시업")를 지원하기 위해 구축되며, 정보보안 인프라는 그러한 적응성("agility")을 지원해야 할 것이다.DevOpsSec(DevOpsSec 참조)이라는 용어는 일부 분석가가[24] 모델 중심 보안에 준하여 사용한다.

MDS의 영향

MDS는 일반 모델에서 기술 보안 집행의 생성 및 재생을 자동화하기 때문에 다음과 같이 한다.[25][26]

  • SOA 민첩성 지원
  • 복잡성 감소(및 SOA 보안 복잡성 감소)
  • 정책 유연성을 높이다
  • 풍부한 응용프로그램 보안 정책 지원
  • 상황에 맞는 워크플로우 보안 정책 지원
  • SOA 인프라 보안 정책을 자동으로 생성할 수 있음
  • SOA 이해관계자 간의 재사용 지원
  • 인간의 실수를 최소화하다.
  • 도메인 경계 보안 정책을 자동으로 실행할 수 있음
  • SOA 보증 인증 지원(ObjectSecurity의 MDSA eBook에서 다루어짐)

MDS 구현

학문적 개념 증명 인체 모형 발전 외에도,model-driven 보안(권한 부여 관리 정책 자동화를 위하여)의 단지 상업적으로 이용 가능한 완전한 구현은 가트너의"쿨 벤더"보고서에서 2008년[28]에 단체(예를 들어 미국 Nav의 회원들에 의해 주창되기도 했다고 상장을 벌었다 추가하십시오 OpenPMF,[27]을 포함한다.를로 y[29])권한 부여 정책 관리를 보다 쉽고 자동화할 수 있는 방법

참고 항목

참조

  1. ^ http://www.omg.org
  2. ^ Lodderstedt T, SecureUML: 모델 기반 보안을 위한 UML 기반 모델링 언어.UML 2002 – Unified Modeling Language에서.모델 엔지니어링, 언어, 개념 및 도구.독일 드레스덴에서 열린 제5차 국제회의, 2002년 9월/10월, 절차, LNCS 페이지 426-441, 스프링거, 2002년
  3. ^ Lodderstedt 외, SACMAT 2003, 제8회 ACM 액세스 제어 모델 및 기술에 관한 심포지엄, 2003, 2003, 6월, 이탈리아 Como, 2003
  4. ^ Jürjens J, UMLsec: 보안 시스템 개발을 위한 UML 확장, 2002년 UML – 통합 모델링 언어.모델 엔지니어링, 언어, 개념 및 도구.독일 드레스덴에서 열린 제5차 국제회의, 2002년 9월/10월, 회의록, LNCS 2460권, 페이지 412-425, 스프링거, 2002년
  5. ^ 엡스타인 P, 산두 R.S.역할 엔지니어링에 대한 UML 기반 접근방식.1999년 10월, VA, Alington, VA, 1999 페이지 145-152, 역할 기반 접근 제어에 관한 제4차 ACM 워크샵 진행 중
  6. ^ 랭, U.S.:미들웨어에 대한 액세스 정책.2003년 케임브리지 대학교 박사 논문
  7. ^ Lang, U. Model Drived Security(정책 관리 프레임워크 - PMF): 복합 분산 시스템에서 리소스 보호DOCSec 2003 Workshop, April 2003 (paper: Lang, U., Schreiner, R.: A Flexible, Model-Driven Security Framework for Distributed Systems: Policy Management Framework (PMF) at The IASTED International Conference on Communication, Network, and Information Security (CNIS 2003) in New York, USA, December 10–12, 2003)
  8. ^ 버트, 캐롤 C, 배럿 R.브라이언트, 라지프 R.라제, 앤드류 올슨, 미하일 아우구스턴, '모델 구동 보안:Green-Grane Access Control을 위한 인증모델의 통일, 159페이지, 제7차 EDOC'03, 2003.
  9. ^ Lang, U, Gollmann, D, Schreiner, R.미들웨어 보안에서 확인 가능한 식별자.제17회 ACSAC(Computer Security Applications Conference), 페이지 450-459, IEEE Press, 2001년 12월
  10. ^ 2002년 2월 Artech House Publishers, Artech House Publishers, 288쪽 CORBA와 함께 안전한 분산 시스템 개발, Lang, Ulrich and Rudolf Schreiner, Artech House Publishers, ISBN1-58053-295-0
  11. ^ http://www.objectsecurity.com
  12. ^ Völter, 2005년 12월 26일 모델 구동 소프트웨어 개발의 교차 절단 우려 처리 패턴
  13. ^ 나달린.모델 기반 보안 아키텍처, 콜로라도 소프트웨어 서밋, 2005년 10월 및 IBM 시스템즈 저널, VOL 44, NO 4, 2005: 비즈니스 기반 애플리케이션 보안:모델링에서 보안 애플리케이션 관리까지
  14. ^ M.M.; Breu, R.; Breu, M. 웹 서비스(MDS4WS), 멀티토픽 컨퍼런스, 2004.IMMIC 2004의 진행.2004년 12월 24-26일자 제8권: 498 – 505권
  15. ^ Alam M, Breu R, Hafner M, 2007년 2월.소프트웨어 저널, Journal of Software, 02/2007, DEPET의 신뢰 관리를 위한 모델
  16. ^ Wolter, Christian, Andreas Shad 및 Christop Meinel, SAP Research, 비즈니스 프로세스 모델에서 XACML 정책 도출, WISE 2007
  17. ^ IBM Tokyo Research Lab 웹 사이트, 핵심 연구 역량, 소프트웨어 엔지니어링, 09/2007
  18. ^ http://www.modeldrivensecurity.org
  19. ^ 2009년 11월 13일 미국 시카고 하얏트 리젠시 시카고, 하얏트 리젠시
  20. ^ Gartner: "Hype Cycle for Identity and Access Management Technologies, 2013" (G00247866), "Hype Cycle for Application Security, 2013" (G00252739), "Cool Vendors in Application Security and Authentication, 2008" (G00156005) 4 April 2008, "Tear Down Application Authorization Silos With Authorization Management Solutions" (G00147801) 31 May 200, "Model-Driven Security: Enabling a Real-Time, Adaptive Security Infrastructure" (G00151498) 21 September 2007, "Hype Cycle for Information Security, 2007" (G00150728) 4 September 2007, "Hype Cycle for Identity and Access Management Technologies, 2008" (G00158499) 30 June 2008, "Hype Cycle for Context-Aware Computing, 2008" (G00158162) 1 July 2008, "Cisco정책 관리 및 관련성을 위해 Securent를 구입하십시오."(G00153181), 2007년 11월 5일.
  21. ^ 451 그룹: "Market Insight Service Impact Report"(54313) 및 "Identity Management - Identity Management, Security 및 IT Management 사이의 루프 닫기" 보고서에서.
  22. ^ 버튼 그룹의 2008년 "Entitle Management" 보고서.
  23. ^ Lang, 2010년 12월, 미국 인디애나폴리스, 인디애나, 인디애나, 인디애나, 인디애나, 인디애나, 인디애나, 인디애나, 인디애나, 클라우드 개인 정보 보호, 위험 및 신뢰에 관한 국제 워크숍(CPSRT 2010)에서 열린 클라우드 및 SOA 애플리케이션을 위한 서비스로서의 권한 부여
  24. ^ Gartner:애플리케이션 보안을 위한 과대 광고 주기, 2012년(G00229119)
  25. ^ Lang, U. Model-Driven Security Management: MODSEC 2008(Modeling Security Workshop) CEUR Workshop Procedures, 2008년 9월 28일 프랑스 툴루즈에서 복잡한 분산 시스템에서 보안 관리 가능
  26. ^ http://www.modeldrivensecurity.org
  27. ^ http://www.objectsecurity.com
  28. ^ Gartner: "애플리케이션 보안 및 인증 분야의 멋진 공급업체, 2008" (G00156005) 2008년 4월 4일
  29. ^ 보도 자료 – ObjectSecurity 및 Promia는 차세대 미국 군사 보안 기술을 위한 XML 보안 기능을 2010년 4월 구현