개념

장치 신뢰는 Teleport 관리자가 신뢰할 수 있는 장치의 사용을 강제하는 기능입니다. "필수" 장치 모드로 보호되는 리소스는 사용자의 신원을 확립하고 필요한 역할을 강제하는 것 외에도 신뢰할 수 있는 장치의 사용을 강제합니다. 또한, 신뢰할 수 있는 장치를 사용하는 사용자는 장치 정보가 포함된 감사 기록을 남깁니다.

장치 신뢰는 다음 두 단계를 구성해야 합니다:

• Teleport에 등록되고 가입된 신뢰할 수 있는 장치.
• 역할 또는 클러스터 전체 구성으로 장치 적용 모드가 구성됨.

우리는 이 두 가지 요구 사항을 신뢰할 수 있는 장치 관리 및 장치 신뢰 강제로 정의합니다.

신뢰할 수 있는 장치 관리

장치 관리는 인벤토리 관리와 장치 등록의 두 가지 별도 단계로 나뉩니다.

인벤토리 관리는 장치 관리자에 의해 수행됩니다. 이 단계에서는 장치가 Teleport에 등록되거나 제거됩니다. 예를 들어, 회사의 IT 부서가 새로운 장치를 구입하거나 사용 중인 장치를 회수할 때 발생합니다.

인벤토리 관리는 tctl 을 사용하여 수동으로 운영하거나 Jamf Pro와 같은 모바일 장치 관리(MDM) 솔루션과 자동으로 동기화할 수 있습니다.

장치 등록은 장치 관리자 또는 최종 사용자가 선택하여 수행됩니다. 이 단계는 장치에서 보안 분리된 개인 키를 생성하고 그 공개 키를 Teleport Auth 서버에 등록하는 단계입니다. 등록은 등록하려는 실제 장치에서 수행해야 합니다. 예를 들어, 사용자가 처음으로 새로운 장치를 받거나 IT가 사용자를 위해 새로운 장치를 준비할 때 발생합니다. 등록은 사용자/장치 조합당 한 번만 수행되면 됩니다.

등록 과정은 장치 관리자가 생성한 등록 토큰을 교환하여 해당 장치를 등록할 기회를 제공합니다.

장치와의 신뢰가 어떻게 설정되는가

장치 신뢰는 장치 내의 전용 보안 하드웨어를 활용하여 장치 자격 증명을 저장하고 장치 도전을 수행합니다. 구체적인 구현은 장치 유형에 따라 다릅니다.

macOS 장치에서는 장치 개인 키를 저장하기 위해 보안 분리된 영역(Secure Enclave)을 사용합니다. 이 키는 Teleport Auth 서비스에서 발행한 장치 도전을 해결하는 데 사용되어 신뢰할 수 있는 장치의 신원을 증명합니다.

Windows 및 Linux 장치에서는 신뢰할 수 있는 플랫폼 모듈(Trusted Platform Module, TPM)을 사용하여 장치의 상태에 대한 증명을 수행합니다. 이 증명은 TPM에 의해 보호되는 개인 키로 서명됩니다.

서명된 증명은 Teleport Auth 서비스가 장치의 상태와 요청이 해당 장치에서 발생했음을 알 수 있도록 보장합니다.

즉, 장치는 등록 프로세스만큼 신뢰할 수 있습니다. 등록 운영자가 악의적인 장치를 Teleport에 등록하면 보안 분리된 영역 또는 TPM과 신뢰를 설정하는 것은 이미 무너진 것입니다. 등록 환경과 운영자가 신뢰할 수록 장치 자체가 신뢰할 수 있다는 보장이 더욱 강화됩니다.

장치 신뢰 강제

장치 신뢰를 강제하는 것은 Teleport를 장치 신뢰 모드로 구성하는 것을 의미합니다. 즉, device_trust_mode: required 규칙을 적용하여 Teleport Auth 서비스가 사용자의 신원을 확립하고 필요한 역할을 강제하는 것 외에도 인증된 신뢰할 수 있는 장치로만 접근을 허용하도록 지시합니다.

Teleport는 장치 적용을 위한 두 가지 방법을 지원합니다: 역할 기반 적용과 클러스터 전체 적용.

• 역할 기반 적용은 RBAC를 사용하여 역할 수준에서 장치 신뢰를 강제하는 데 사용할 수 있습니다.
• 클러스터 전체 적용은 클러스터 수준에서 장치 신뢰를 강제하는 데 사용할 수 있습니다.

가이드

• 디바이스 신뢰 시작하기
• 디바이스 관리
• 디바이스 신뢰 시행
• Jamf Pro 통합