업무 분리(SoD): 특정 유형의 위험

조직 구성원이 조직에 피해를 줄 수 있는 관심 충돌의 원인이 되는 운영 권한을 갖지 못하도록 해야 합니다.

사용자에 인타이틀먼트를 지정한 경우 제한조건을 확립해야 합니다.

업무 분리(SoD) 메커니즘은 특정 모델 엔티티 간 충돌 관계를 관리하도록 설계되어 있습니다. 상호 충돌을 통해 특성화된 엔티티를 동일한 사용자로 수집할 수 없습니다.

IBM® Security Verify Governance 데이터 모델은 SoD 위험을 특정 유형의 위험으로 식별합니다. SoD에 대한 대부분의 기존 모델은 충돌이 권한 및 역할을 기반으로 정의되었음을 표시합니다.

충돌 역할을 정의하면 결과가 불일치하게 됩니다.

예를 들어, 조직에는 세 가지 역할 R1, R2 및 R3가 있습니다. 이 중 두 가지 역할인 R1과 R2는 충돌로 정의됩니다.

R2 및 R3가 동일한 권한으로 빌드되면 두 쌍 (R1, R2) 및 (R1, R3)가 충돌 권한에 대한 액세스 권한을 사용자에게 제공합니다. (R1, R2) 쌍만 충돌 역할로 간주될 수 있더라도 기본적으로 R2는 R3에 해당합니다.

RBAC 모델에 따라 역할은 권한 그룹의 컨테이너입니다. 사용자의 실제 운영 능력은 역할의 운영 특성을 정의하는 권한에 따라 다릅니다.

이전 예제에서 한 가지 방법은 충돌 권한을 다시 정의하는 것입니다. 역할 간 충돌은 충돌 권한으로 인해 발생합니다.

대규모 조직에서 IT 시스템은 수십만 개의 권한을 등록할 수 있습니다. 권한을 다시 정의하는 일은 비효율적입니다.

ARC 모듈은 문제의 복잡도를 줄이는 다른 접근 방식을 제공합니다. SoD는 활동으로 정의됩니다. 특정 활동 세트가 수행되면 SoD 위험이 발생합니다.

또한 외부 시스템에서 직접 제공한 위험 정보를 기반으로 외부 SoD를 관리하는 옵션이 있습니다.