728x90
반응형
개요
XACML 3.0은 OASIS(Open Advanced Systems for Information Standards)가 정의한 표준 접근 제어 정책 언어(Policy Language) 로, XML 기반의 정책 정의와 평가를 통해 세밀한 권한 관리(Fine-Grained Authorization) 를 구현한다. 대규모 시스템, 클라우드, 정부기관, 금융권 등에서 일관되고 확장 가능한 정책 기반 접근 제어(PBAC: Policy-Based Access Control)를 제공한다.
1. 개념 및 정의
| 항목 | 내용 | 비교 |
| 개념 | 접근 요청(Request)에 대해 정책 기반으로 허용 또는 거부를 결정하는 표준 언어 | Role-Based Access Control(RBAC)보다 유연함 |
| 목적 | 복잡한 조건의 접근 제어를 표준화된 구조로 정의 | 정책 자동화 및 감사 용이 |
| 필요성 | 다양한 시스템 간 일관된 권한 관리 필요 | 클라우드 및 API 접근 제어 핵심 기술 |
2. 특징
| 특징 | 설명 | 비교 |
| XML 기반 정책 정의 | 정책을 XML 문법으로 표현 | JSON 기반 OPA 대비 구조적임 |
| 정책 평가 아키텍처 | PDP, PEP, PIP, PAP로 구성된 4계층 구조 | 권한 검증 프로세스 분리 가능 |
| 조건 기반 접근 제어 | 속성(Attribute)에 따라 접근 허용/거부 결정 | Attribute-Based Access Control (ABAC) 구현 |
| 표준화된 언어 | OASIS 국제 표준 | 다양한 보안 프레임워크와 통합 가능 |
3. 구성 요소
| 구성 요소 | 설명 | 예시 |
| PDP (Policy Decision Point) | 접근 요청에 대한 정책 평가 수행 | 허용/거부 결정 엔진 |
| PEP (Policy Enforcement Point) | 실제 접근 요청을 차단 또는 허용 | 웹 게이트웨이, API Proxy |
| PAP (Policy Administration Point) | 정책 생성 및 관리 도구 | XACML Policy Editor |
| PIP (Policy Information Point) | 외부 속성(Attribute) 데이터 소스 | LDAP, Database, Identity Provider |
4. 기술 요소
| 기술 | 설명 | 예시 |
| Attribute-Based Access Control (ABAC) | 사용자, 리소스, 환경 속성 기반 접근 제어 | 시간, 위치, 장치 등 속성 평가 |
| Policy Combining Algorithm | 여러 정책 간 우선순위 및 결합 규칙 정의 | Deny-Overrides, Permit-Overrides |
| XML Schema Definition (XSD) | XACML 정책의 문법적 구조 정의 | OASIS XACML 3.0 표준 문서 |
| Context Handler | 요청과 응답을 XACML 포맷으로 변환 | JSON ↔ XML 매핑 |
5. 장점 및 이점
| 구분 | 설명 | 예시 |
| 세밀한 정책 제어 | 속성 기반 조건으로 복잡한 접근 제어 가능 | 금융기관 API 접근 통제 |
| 표준화된 구조 | OASIS 표준으로 글로벌 호환성 확보 | 정부 및 공공기관 채택 |
| 유연한 확장성 | 다양한 환경에서 동일 정책 재사용 | 클라우드, 온프레미스 통합 |
| 감사 및 추적 용이 | 정책 로그 기반 감사 가능 | 컴플라이언스 보고서 자동 생성 |
6. 주요 활용 사례 및 고려사항
| 활용 사례 | 설명 | 고려사항 |
| 금융기관 인증 및 승인 | 다단계 속성 기반 접근 제어 | 정책 복잡도 관리 필요 |
| 공공기관 데이터 보안 | 기밀 정보 접근 통제 | PAP-PEP 아키텍처 설계 필수 |
| 클라우드 리소스 접근 | 멀티 클라우드 환경의 통합 접근 제어 | 클라우드 네이티브 서비스 통합 |
| API 게이트웨이 보안 | API 호출 시 권한 정책 검증 | JSON ↔ XML 변환 성능 고려 |
7. 결론
XACML 3.0은 정책 기반 접근 제어(PBAC) 를 위한 국제 표준으로, 속성 기반 정책(ABAC)을 통해 유연하고 세밀한 보안 통제를 가능하게 한다. 클라우드, 금융, 공공, 헬스케어 등 다양한 산업에서 권한 관리 표준 프레임워크로 자리 잡고 있으며, Open Policy Agent(OPA) 및 Cedar 등 현대적 권한 시스템의 기반 모델로 발전하고 있다.
728x90
반응형
'Topic' 카테고리의 다른 글
| SpiceDB (0) | 2025.11.21 |
|---|---|
| Zanzibar (0) | 2025.11.20 |
| Cedar (0) | 2025.11.19 |
| Chaos Mesh (0) | 2025.11.18 |
| DCQCN (Data Center Quantized Congestion Notification) (0) | 2025.11.17 |