보안 일반

Threat model

https://en.wikipedia.org/wiki/Threat_model

제로트러스트 모델 – Zerotrust

그 어떤 장비나 사람도 인증/인가 절차 없이는 사내 리소스에 접근할 수 없도록 하는 방식.

제로 트러스트를 위해 필요한 정책

• 사내망에 MDM설치 없이는 접근할 수 없게 만드는 것.

MFA(Multi Factor Authentication, 다중인증)

MFA(다중인증) 없이는 인증을 허용하지 않는 것도 핵심.  스마트 카드나 특정 장치등을 이용해 MFA를 seamless 하게 활성화 하기 위한 장치가 필요하다 . 대표적으로 Yubikey

• 유비키 솔루션(Yubikey)

통합인증

사내 인프라 별로 모든 사이트들에 대해서 MFA를 허용하거나 하는 것은 번거롭기 때문에 인증/인가 시스템을 통합하는 것이 IT 전략적인 측면에서 중요하다. 다음은 주요 솔루션 벤더들.

• Idaptive
• Centrify

관련링크

• ‘제로 트러스트’··· 보안의 새로운 사고법 이해하기
• What’s a Zero Trust Network?

보호 링

https://ko.wikipedia.org/wiki/%EB%B3%B4%ED%98%B8_%EB%A7%81

Hardening

https://en.wikipedia.org/wiki/Hardening_(computing)

다중인증

https://en.wikipedia.org/wiki/Multi-factor_authentication

Risk-based Authentication

https://en.wikipedia.org/wiki/Risk-based_authentication

PCI-DSS

https://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard

CSP

https://en.wikipedia.org/wiki/Content_Security_Policy

https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP

https://developers.google.com/web/fundamentals/security/csp/

TOR

https://en.wikipedia.org/wiki/Tor_(anonymity_network)

Device fingerprint

https://en.wikipedia.org/wiki/Device_fingerprint

Subresource Integrity

https://developer.mozilla.org/en-US/docs/Web/Security/Subresource_Integrity

https://en.wikipedia.org/wiki/Subresource_Integrity

관련 글

Does a virus need to be clicked on to function?

OWASP Web Security Testing Guide