1. 보안 3요소 기밀성 (Confidential) : 데이터를 의도하지 않은 수신자로부터 보호 HTTPS(TLS)를 아용하여 전송채널 암호화 (보안채널) 메시지 암호화를 적용할 경우, 안전하지 않은 채널(HTTP)을 이용 가능 (단, 메시지 암호화 과정에서의 노출 확인이 필요함) 애플리케이션에서 전송 전 데이터를 암호화 (메시지 암호화) 서버와 클라이언트가 미리 암/복호화에 대한 방법을 알아야 하므로 큰 분산시스템에서 적용의 어려움이 있음 이를 해결하기 위해 메시지 보안 표준을 사용 (XML 암호화, JSON 웹서명/암호화) 무결성 (Integrity) : 데이터의 정확성과 신뢰성을 보장하며 무단 수정을 탐지 예방 : 메시지 암호화 또는 보안 채널 이용 탐지 : 감사로그 이용 (감사로그 또한 무결성 요..
Application 보안을 설계할 때, 시스템의 안전성과 신뢰성을 보장하기 위해 여러 가지 중요한 원칙을 준수해야 합니다.아래는 Web/API Application 보안을 위해 반드시 고려해야 할 주요 설계 원칙들입니다. 최소 권한최소 권한 원칙은 사용자나 시스템 구성요소가 필요한 최소한의 권한만 부여받아야 한다는 원칙입니다.권한은 작업을 수행하는 데 필수적인 경우에만 부여되어야 하며, 더 이상 필요하지 않은 권한은 즉시 제거되어야 합니다.이를 통해 시스템 접근과 관련된 모든 활동을 추적하고, 승인된 작업만 수행될 수 있도록 보장합니다.기본적으로는 모든 접근이 차단된 상태에서, 필요한 경우에만 최소한의 권한이 부여되도록 설계해야 합니다. Fall-Safe Defaults시스템이 안전한 기본값을 가지도록..
- Total
- Today
- Yesterday