📣 DevOps 전문 기업 인포그랩이 만든 Teleport 공식 문서 한국어 페이지입니다.
이 페이지는 Teleport 공식 문서를 한국어로 번역해 제공합니다.
Infograb logo
특권 계정에 대한 접근 제한

관리자로서, 당신은 인프라 내 자원에 대한 특권 접근을 언제 어떻게 부여할 것인지에 대해 정보를 바탕으로 결정을 내려야 합니다. 여기에는 이러한 자원을 보호하는 Teleport 서비스가 포함됩니다. 또한 클러스터 스토리지 백엔드에 대한 접근을 관리하고 네트워크 수준의 제한을 적용할지 여부를 결정해야 합니다.

레이블 및 레이블 표현식

리소스에 레이블 추가에서 배운 것처럼, 레이블은 Teleport로 보호하고자 하는 노드 및 서비스에 대한 접근을 그룹화, 필터링 및 제어하는 데 사용할 수 있습니다. 텔레포트 역할의 허용 및 거부 규칙과 결합했을 때, 레이블은 중요한 자원에 대한 접근을 부여하거나 거부하는 기본 메커니즘이 됩니다. 레벨을 추가하거나 수정할 수 있는 사용자들은 의도적으로 또는 의도치 않게 다른 사용자의 역할이 평가될 때 특권 승격이 발생할 수 있는 변경을 만들 수 있습니다.

레벨 변경으로 인한 특권 승격을 방지하려면 다음을 준수해야 합니다:

  • 각 역할의 허용 및 거부 규칙이 정의되고 상호작용하는 방식을 신중하게 고려하십시오.
  • 클러스터 내 모든 노드에서 Teleport 프로세스 및 Teleport 구성 파일에 대한 접근을 제한하십시오.
  • 명령을 실행하는 동적 레이블 정의에 유의하십시오.
  • 동적 레이블을 생성하는 데 사용되는 소스를 검토하고 명령 또는 사용되는 데이터 소스에 대한 수정을 제한하십시오.
  • 역할 생성 및 할당 시 최소 권한 원칙을 따르십시오. 더 제한적인 역할이 가능할 때 사용자의 관대한 역할을 부여하지 마십시오. 예를 들어, 사용자에게 모든 클러스터 리소스에 대한 접근 및 편집 권한을 부여하는 access 또는 editor 역할을 할당하지 마십시오. 대신, 각 사용자에게 필요한 최소한의 권한을 가진 역할을 정의하고, 접근 요청 또는 접근 목록을 구성하여 일시적으로 권한을 제공합니다.

루트 접근 제한

어떠한 사용자에게도 루트 권한이나 관리 권한이 있는 다른 계정에 접근할 수 있도록 허용하는 데 신중해야 합니다. 특권 사용자는 인증 제어에 영향을 미치는 방식으로 Teleport 에이전트를 조작할 수 있습니다. 예를 들어, Teleport 구성 파일에 접근할 수 있는 특권 사용자는 역할 기반 접근 제어를 우회하기 위해 설정을 수정할 수 있습니다. 유사하게, Teleport Auth Service, Teleport Proxy Service 또는 Teleport 에이전트 서비스에 대한 접근 권한이 있는 사용자는 Teleport 실행 파일을 교체하여 클러스터 시스템을 침입하거나 데이터를 빼내고, 동적 리소스의 탐지 방식을 조작하거나, 민감한 자격 증명과 세션을 손상시키거나, 감사 내용을 숨길 수 있습니다.

특권 승격으로 인한 보안 사고를 방지하기 위해 다음 가이드라인을 준수해야 합니다:

  • 새 비루트 사용자를 만들고 Teleport 실험을 위해 테스트 인스턴스를 사용합니다.
  • 모든 Teleport 에이전트 서비스는 SSH 서비스를 제외하고 비루트 사용자로 실행합니다. SSH 서비스는 루트 접근이 필요하므로, SSH 서비스에 대한 접근을 제한해야 합니다. Teleport Proxy 서비스도 포트 번호가 1024보다 작은 포트(포트 443 포함)에서 Teleport가 수신할 수 있도록 루트 권한 또는 CAP_NET_BIND_SERVICE 기능이 필요합니다.
  • 필요하지 않는 한 프로덕션 환경에서 sudo 사용을 피하십시오.
  • Teleport 실행 파일이 수정되거나 교체되지 않도록 보안하십시오.
  • Teleport 구성 파일이 수정되거나 교체되지 않도록 보안하십시오.
  • 사용자의 클라이언트 ~/.tsh 디렉토리가 안전하고 복사되지 않도록 해야 합니다. 사용자의 tsh 클라이언트가 손상되면 해당 사용자에게 손상이 발생할 수 있습니다.

스토리지 접근 방지

사용하는 Teleport 스토리지 백엔드에 직접 접근하거나 수정할 수 없도록 해야 합니다. 예를 들어, 감사 로그 이벤트와 세션 기록을 위한 스토리지가 손상되지 않도록 안전하게 보호해야 합니다. 스토리지 관리에 대한 자세한 내용은 스토리지 백엔드를 참조하십시오.

네트워크 접근 제한

Teleport는 네트워크 제한을 제공하지 않습니다. 예를 들어, 포트 포워딩을 허용해야 하는지를 고려해야 하며, 허용된다면 어떤 역할이 그것을 허용할 수 있는지, 어떤 리소스에 접근할 수 있는지를 고려해야 합니다. 사용자가 Teleport를 통해 네트워크 접근을 수립한 다음, Teleport 클러스터 감사 시스템 외부의 다른 클라이언트와 프로토콜을 사용하여 추가 시스템에 접근하는 조건을 방지해야 합니다.

Teleport 원문 보기