디바이스 신뢰는 tsh, Teleport Connect 및 웹 UI(설치를 위한 Teleport Connect 필요)를 포함한 모든 플랫폼과 클라이언트를 지원합니다.
디바이스 신뢰로 보호되는 리소스는 다음과 같습니다:
- 역할 기반 강제 적용만: 앱 및 데스크톱
- 클러스터 및 역할 기반 강제 적용: SSH 노드, 데이터베이스 및 Kubernetes 클러스터
개념
장치 신뢰는 Teleport 관리자가 신뢰할 수 있는 장치의 사용을 강제할 수 있도록 합니다. 장치 모드 "필수"로 보호되는 리소스는 사용자의 신원을 확인하고 필요한 역할을 시행하는 것 외에도 신뢰할 수 있는 장치의 사용을 강제합니다. 또한 신뢰할 수 있는 장치를 사용하는 사용자는 장치 정보를 포함하는 감사 추적을 남깁니다.
장치 신뢰를 위해서는 다음 두 가지 단계 중 두 가지가 구성되어 있어야 합니다:
- Teleport에 등록되고 등록된 신뢰할 수 있는 장치.
- 역할 또는 클러스터 전체 구성으로 구성된 장치 시행 모드.
범주적으로 우리는 이 두 가지 요건을 신뢰할 수 있는 장치 관리 및 장치 신뢰 시행으로 정의합니다.
신뢰할 수 있는 장치 관리
장치 관리는 두 개의 별도 단계로 나뉩니다: 인벤토리 관리 및 장치 등록.
인벤토리 관리는 장치 관리자가 수행합니다. 이 단계에서는 장치가 Teleport에 등록되거나 제거됩니다. 예를 들어, 기업의 IT 부서가 새로운 장치를 인수하거나 장치를 사용 중단할 때 발생합니다.
인벤토리 관리는 tctl을 사용하여 수동으로 운영하거나 Jamf Pro와 같은 모바일 장치 관리(MDM) 솔루션과 자동으로 동기화할 수 있습니다.
장치 등록은 장치 관리자든 최종 사용자든 귀하의 재량에 따라 수행됩니다. 이는 장치에 보안 영역 개인 키를 생성하고 Teleport 인증 서버에 해당 공개 키를 등록하는 단계입니다. 등록은 등록하려는 실제 장치에서 수행해야 합니다. 예를 들어, 사용자가 처음으로 새로운 장치를 구입하거나 IT가 사용자를 위해 새로운 장치를 준비할 때 발생합니다. 등록은 사용자/장치 조합당 한 번만 필요합니다.
등록은 장치 관리자가 생성한 등록 토큰을 교환하여 해당 장치를 등록할 수 있는 기회를 제공합니다.
장치와 신뢰를 구축하는 방법
장치 신뢰는 장치의 자격 증명을 저장하고 장치 도전을 수행하기 위해 전용 보안 하드웨어를 활용합니다. 구체적인 구현은 장치 유형에 따라 다릅니다.
macOS 장치에서는 장치 개인 키를 저장하기 위해 보안 영역을 사용합니다. 해당 키는 Teleport 인증 서비스에서 발급한 장치 도전을 해결하는 데 사용되며, 신뢰할 수 있는 장치의 신원을 증명합니다.
Windows 및 Linux 장치에서는 장치 상태에 대한 증명을 수행하기 위해 신뢰할 수 있는 플랫폼 모듈(TPM)이 사용됩니다. 이 증명은 TPM에 의해 보호되는 개인 키로 서명됩니다.
서명된 증명은 Teleport 인증 서비스가 장치 상태와 요청이 장치에서 왔음을 알 수 있도록 보장합니다.
즉, 장치는 등록 프로세스만큼 신뢰할 수 있습니다. 만약 등록 운영자가 악의적인 장치를 Teleport에 등록한다면, 보안 영역 또는 TPM과 신뢰를 구축하는 것은 이미 무효가 됩니다. 등록 환경과 운영자가 더욱 신뢰할 수 있을수록 장치 자체가 신뢰할 수 있다는 지속적인 보장이 더 잘 이루어집니다.
장치 신뢰 시행
장치 신뢰를 시행하는 것은 장치 신뢰 모드로 Teleport를 구성하는 것을 의미하며,
device_trust_mode: required 규칙을 적용하여 Teleport 인증 서비스가 신뢰할 수 있고 인증된 장치로만
액세스를 허용하도록 지시합니다. 이는 사용자의 신원을 설정하고 필요한 역할을 시행하는 것 외에도 적용됩니다.
Teleport는 장치 시행을 위해 두 가지 방법을 지원합니다: 역할 기반 시행 및 클러스터 전체 시행.
- 역할 기반 시행은 RBAC를 사용하여 역할 수준에서 장치 신뢰를 시행할 수 있습니다.
- 클러스터 전체 시행은 클러스터 수준에서 장치 신뢰를 시행할 수 있습니다.