본문 바로가기

보안

 (9)
API Key와 Token의 차이점 API 키(API Key)와 토큰(Token)은 모두 인증 및 권한 부여를 위해 사용되는 방법이지만, 그 목적과 사용 방식에는 차이가 있습니다.구분API KeyToken개요정의: API 키는 클라이언트가 API에 접근할 수 있도록 하기 위해 발급되는 고유한 식별자입니다.사용 목적: 주로 API에 대한 접근을 식별하고 제어하는 데 사용됩니다.구성: 일반적으로 문자열 형태로 되어 있으며, 복잡한 해시 값이나 GUID 형태일 수 있습니다.정의: 토큰은 사용자가 인증된 후 발급되는 임시 자격 증명입니다.사용 목적: 주로 사용자 인증 및 세션 관리를 위해 사용됩니다.구성: 일반적으로 JWT(JSON Web Token)와 같은 형식으로 인코딩된 문자열입니다.특징단순성: 사용하기 매우 간단하며, 주로 URL 매개변수..
[KMS] Key Management Service(KMS) 란 무엇인가? Key Management Service(KMS)는 암호화 키를 생성, 저장, 관리, 배포, 사용, 폐기 등의 작업을 수행하는 서비스입니다. KMS는 데이터 보호 및 보안 강화의 핵심 요소로, 특히 클라우드 환경에서 많이 사용됩니다. 주요 기능과 이점은 다음과 같습니다주요 기능키 생성:대칭 및 비대칭 암호화 키 생성.키 저장 및 관리:안전한 키 저장소를 제공하며, 키의 수명 주기(생성, 사용, 폐기)를 관리.키 배포:암호화 키를 안전하게 배포하고 접근을 제어.키 사용:암호화, 복호화, 서명, 서명 검증 등의 작업에 키 사용.정책 관리:키에 대한 접근 권한과 정책 설정.로깅 및 모니터링:키 사용 로그 및 모니터링을 통해 보안 감사 및 컴플라이언스 준수.이점보안 강화:키를 안전하게 관리하여 데이터 보안 강화..
[Security] OWASP란 무엇인가? OWASP(Open Web Application Security Project)는 웹 애플리케이션 보안을 강화하기 위한 비영리 단체입니다. OWASP는 웹 애플리케이션 보안에 관한 지침, 도구, 문서 등을 제공하여 개발자와 보안 전문가들이 웹 애플리케이션을 안전하게 만들 수 있도록 돕고 있습니다.OWASP의 주요 목표웹 애플리케이션 보안 개선:웹 애플리케이션의 보안 취약점을 줄이고, 안전한 코딩 실천을 촉진합니다.교육과 훈련:개발자와 보안 전문가들에게 보안에 관한 교육과 훈련 자료를 제공합니다.무료 자원 제공:다양한 보안 도구, 문서, 지침을 무료로 제공하여 누구나 쉽게 접근할 수 있게 합니다.주요 활동OWASP Top 10:가장 흔하고 심각한 웹 애플리케이션 보안 취약점 10가지를 정리한 목록입니다. ..
[CORS] CORS (Cross-Origin Resource Sharing)란 무엇인가? CORS는 웹 애플리케이션이 다른 출처의 자원에 접근할 수 있도록 허용하는 보안 메커니즘입니다. 웹 보안 정책인 동일 출처 정책(Same-Origin Policy)은 브라우저가 다른 출처의 요청을 기본적으로 차단하지만, CORS는 서버가 특정 헤더를 사용하여 이 요청을 허용할 수 있게 합니다. 예를 들어, example.com에서 api.example2.com의 자원에 접근하려면, api.example2.com 서버는 응답 헤더에 Access-Control-Allow-Origin: example.com을 포함해야 합니다.CORS는 어떤 보안 위협을 대비하는 기술인가?\CORS는 주로 다음과 같은 보안 위협을 대비합니다:크로스 사이트 요청 위조 (CSRF): 악성 웹사이트가 사용자를 대신해 원치 않는 요청..
[위협 모델링] STRIDE란 무엇인가? STRIDE는 마이크로소프트에서 개발한 위협 모델링 프레임워크로, 보안 전문가들이 시스템에서 발생할 수 있는 다양한 유형의 위협을 식별하고 분석하는 데 사용됩니다. STRIDE는 각각의 영어 단어의 첫 글자를 딴 6가지 위협 요소로 구성됩니다: Spoofing (스푸핑), Tampering (변조), Repudiation (부인), Information Disclosure (정보 유출), Denial of Service (서비스 거부), Elevation of Privilege (권한 상승) 1. Spoofing (스푸핑)스푸핑은 시스템 내의 인증을 우회하여 공격자가 다른 사용자나 시스템으로 가장하는 것을 의미합니다. 주로 사용자 인증 정보(예: 사용자명과 비밀번호)를 도용하여 발생합니다.예시: 공격자가..
TLS 1.3에 대해 알아보자 TLS 1.3이란? TLS 1.3 (Transport Layer Security 1.3)은 인터넷에서 안전한 통신을 위해 사용되는 프로토콜 중 하나입니다. 이전 버전의 TLS/SSL에 비해 보안성이 향상되어 있으며, 보안 알고리즘 및 핸드쉐이크 프로세스 등이 개선되어 더욱 안전한 통신이 가능합니다. TLS 1.3은 2018년 8월에 RFC 8446으로 표준화되었습니다. 이전 버전의 TLS와 달리 더욱 간결한 디자인을 채택하여 보안성을 강화하면서도 연결 시간을 줄이는 데 주력하였습니다. TLS 1.3의 핵심적인 개선 사항으로는 다음과 같은 것들이 있습니다. 핸드쉐이크 과정 최적화: 기존의 2라운드 핸드쉐이크 과정에서 1라운드로 간소화되어 연결 시간이 크게 단축됩니다. 암호화 강화: 보안성이 더욱 강화된 새..
[보안 인증] ITSEC란 무엇인가? ITSEC(Information Technology Security Evaluation Criteria)는 TCSEC와는 별개로 유럽에서 발전한 보안 표준이다. (TCSEC {미국} : https://digitalbourgeois.tistory.com/73) TCSEC는 기밀성만을 강조한 반명 ITSEC는 무결성과 가용성을 포괄하는 표준안이다. ITSEC는 TCSEC와 독일의 ZSIEC와 상호 호환을 목적으로 총 10가지로 보안 수준을 평가 한다. F-C1, F-C2, F-B1, F-B2, F-B3 -> TCSEC의 C1, C2등과 동일 F-IN(무결성), F-AV(가용성), FDI(전송 데이터 무결성), F-DC(데이터 기밀성), F-DX(전송 데이터 기밀성) -> 독일의 ZSIEC *정보 보안 개론 ..
[보안 인증] TCSEC 이란 무엇인가? TCSEC(Trusted Computer System Evaluation Criteria)는 미 국방부 문서(Rainbow Series : Orange Book이라 불린다) 중 하나이다. TCSEC는 1960년부터 시작하여 1972년 지침이 발표되고 1983년에 미국 정보 보안 조례로 세계에 최초 공표되었으며 1995년에 공식화 되었다. 오랜 역사를 가진 인증으로 보안 솔루션을 개발할 때 기준이 되는 표준이다. [TCSEC 보안 등급] D: Minial Protection -보안 설정이 이루어지지 않은 단계 C1 : DisTCSEC(Trusted Computer System Evaluation Criteria)는 미 국방부 문서(Rainbow Series : Orange Book이라 불린다) 중 하나이다..

티스토리툴바