📣 Teleport의 공식 파트너 인포그랩에서 OpenAI 기술 기반으로 자체 개발한 자동화 번역 프로그램을 통해 Teleport 공식 문서(v17.0.0)의 한글판을 국내 최초로 제공합니다.
Infograb logo
특권 계정에 대한 액세스 제한

관리자로서, Teleport 서비스와 같은 인프라의 자원에 대한 특권 액세스를 언제 어떻게 부여할 것인지에 대한 정보에 기반한 결정을 내려야 합니다. 클러스터 저장소 백엔드에 대한 액세스를 관리하고 네트워크 수준의 제한을 적용할지 여부를 결정해야 합니다.

레이블 및 레이블 표현식

리소스에 레이블 추가에서 배운 것처럼, 레이블은 Teleport로 보호하고자 하는 인프라의 노드 및 서비스에 대한 그룹화, 필터링 및 액세스 제어를 가능하게 합니다. Teleport 역할에서 허용 및 거부 규칙과 결합되면, 레이블은 중요한 리소스에 대한 액세스를 부여하거나 거부하는 주된 메커니즘이 됩니다. 레이블을 추가하거나 수정할 수 있는 사용자는 다른 사용자의 역할이 평가될 때 의도적으로 또는 의도치 않게 권한 상승을 초래하는 변경을 할 수 있습니다.

레이블에 대한 변경이 권한 상승을 초래하지 않도록 하기 위해, 다음 사항을 고려해야 합니다:

  • 모든 역할에서 허용 및 거부 규칙이 정의되고 상호 작용하는 방법을 신중하게 고려하십시오.
  • 클러스터의 모든 노드에서 Teleport 프로세스 및 Teleport 구성 파일에 대한 액세스를 제한하십시오.
  • 명령을 실행하는 동적 레이블의 정의에 유의하십시오.
  • 동적 레이블을 생성하는 데 사용되는 소스를 검토하고 명령이나 데이터 소스의 수정을 제한하십시오.
  • 역할 생성 및 할당 시 최소 권한 원칙을 따르십시오. 더 제한적인 역할로도 충분할 때 사용자가 지나치게 허용된 역할을 부여하지 마십시오. 예를 들어, 모든 클러스터 리소스에 액세스하고 편집할 수 있는 권한을 부여하는 사전 설정된 access 또는 editor 역할을 사용자에게 부여하지 마십시오. 대신 각 사용자에게 필요한 최소 권한을 갖는 역할을 정의하고 액세스 요청 또는 액세스 목록을 구성하여 임시로 권한 상승을 제공합니다.

루트 액세스 제한

루트 권한이나 관리 권한이 있는 다른 계정에 대한 액세스를 허용하는 데 매우 신중해야 합니다. 특권 사용자는 Teleport 에이전트를 조작하여 권한 부여 제어에 영향을 미칠 수 있습니다. 예를 들어, Teleport 구성 파일에 액세스할 수 있는 특권 사용자는 역할 기반 액세스 제어를 우회하도록 설정을 수정할 수 있습니다. 마찬가지로, Teleport Auth 서비스, Teleport Proxy 서비스 또는 Teleport 에이전트 서비스에 대한 확대된 액세스를 가진 사용자는 Teleport 실행 파일을 교체하여 클러스터 시스템을 침투하거나 유출하거나, 동적 리소스의 검색을 조작하거나, 민감한 자격 증명 및 세션을 위협하거나, 감사 기록을 모호하게 만들 수 있습니다.

보안 사고로 이어지는 권한 상승을 방지하기 위해 다음 가이드라인을 준수해야 합니다:

  • 새로운 비루트 사용자를 생성하고 Teleport 실험을 위해 테스트 인스턴스를 사용하십시오.
  • SSH 서비스를 제외한 모든 Teleport 에이전트 서비스를 비루트 사용자로 실행하십시오. SSH 서비스에는 루트 액세스가 필요하므로 이를 제한해야 합니다. Teleport Proxy 서비스도 Teleport가 1024보다 작은 포트 번호(포트 443 포함)에서 수신 대기할 수 있도록 루트 권한 또는 CAP_NET_BIND_SERVICE 권한이 필요합니다.
  • 프로덕션 환경에서는 필요한 경우가 아니면 sudo 사용을 피하십시오.
  • Teleport 실행 파일이 수정되거나 교체되지 않도록 안전하게 보관하십시오.
  • Teleport 구성 파일이 수정되거나 교체되지 않도록 안전하게 보관하십시오.
  • 사용자의 클라이언트 ~/.tsh 디렉터리가 안전하도록 하고 복사되지 않도록 해야 합니다. 사용자의 tsh 클라이언트가 손상되면 해당 사용자가 위협을 받을 수 있습니다.

저장소 접근 방지

사용하는 Teleport 저장소 백엔드에 직접 접근하거나 수정할 수 없도록 해야 합니다.
예를 들어, 감사 로그 이벤트 및 세션 녹화에 사용하는 저장소가
변조될 수 없도록 보안이 유지되는지 확인해야 합니다. 저장소 관리에 대한 더 많은 정보는
Storage backends를 참조하세요.

네트워크 접근 제한

Teleport는 네트워크 제한을 제공하지 않습니다. 예를 들어, 포트 포워딩이 허용되어야 하는지,
허용되는 경우 어떤 역할이 허용하며 어떤 리소스에 접근할 수 있는지를 고려해야 합니다.
사용자가 Teleport를 통해 네트워크 접근을 설정한 후, Teleport 클러스터 감 auditing 시스템 외부의
다른 클라이언트 및 프로토콜을 사용하여 추가 시스템에 접근하는 상황을 방지하고자 합니다.

Teleport 원문 보기
인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!