현재 텔레포트를 프로덕션 환경에서 사용할 수 있나요?
텔레포트는 Fortune 500 기업의 수천 개 호스트가 있는 서버 클러스터에 배포되었습니다. 국가적으로 인정받는 기술 보안 회사들로부터 여러 차례 보안 감사가 이루어졌으므로, 우리는 보안 관점에서 텔레포트의 안정성에 대해 편안합니다.
텔레포트를 에이전트 없이 배포할 수 있나요?
네. 모든 텔레포트 서비스는 에이전트 없는 모드를 지원하며, 이 모드는 서비스가 localhost에서 사용할 수 없는 업스트림 인프라 리소스에 트래픽을 프록시합니다.
에이전트 없는 모드에서 텔레포트를 사용하면 SSH 서버, Kubernetes 클러스터, 데스크탑, 데이터베이스, 내부 애플리케이션에 대한 접근을 쉽게 제어할 수 있으며, 서버에 추가 소프트웨어를 실행할 필요가 없습니다. 에이전트 없는 모드는 사용자 행동에 대한 깊은 이해를 제공하기 위해 세션 기록 및 감사 로그를 지원합니다.
커널 수준 로깅 및 사용자 프로비저닝과 같은 기능을 위해, OpenSSH의 대체로 텔레포트를 추천합니다. 텔레포트는 OpenSSH의 기능을 보존하면서 OpenSSH 에이전트를 교체하므로, 시스템에 에이전트를 추가하지 않고도 더 많은 기능을 얻을 수 있습니다.
OpenSSH를 텔레포트 클러스터와 함께 사용할 수 있나요?
네, 이 질문은 자주 드는 질문이며 이전 질문과 관련이 있습니다. OpenSSH 가이드 사용을 확인하세요.
방화벽 뒤의 노드에 연결할 수 있나요?
네, 텔레포트는 기본적으로 역 SSH 터널을 지원합니다. 방화벽 뒤 클러스터를 구성하려면 신뢰할 수 있는 클러스터 구성을 참조하세요.
우리의 텔레포트 클러스터에 자원을 연결하기 위해 텔레포트 엔터프라이즈 또는 커뮤니티 에디션을 사용해야 하나요?
Teleport Enterprise 및 Enterprise Cloud 고객은 에이전트에 대해 teleport 바이너리의 Enterprise 릴리스를 사용해야 합니다. Community Edition 바이너리를 실행하면 특정 기능의 경우 이러한 클러스터 에디션과의 호환성 문제가 발생할 수 있습니다.
Teleport Enterprise 릴리스가 설치되어 있는지 확인하려면 teleport version 명령을 실행하면 출력에 Enterprise가 표시됩니다.
teleport versionTeleport Enterprise v16.2.0 go1.22
Teleport Community Edition 클러스터는 Teleport Community Edition 릴리스를 사용해야 합니다. teleport version 명령은 해당 릴리스의 출력에만 Teleport가 포함됩니다.
teleport versionTeleport v16.2.0 go1.22
Enterprise 또는 Teleport Community Edition 릴리스에 대한 특정 플랫폼에 설치하는 방법의 자세한 내용은 설치 가이드를 참조하세요.
개별 에이전트가 새로운 클러스터를 생성하지 않고 프록시 서비스에 역 터널을 생성할 수 있나요?
네. 텔레포트 에이전트를 실행할 때 --auth-server 플래그를 사용하여 프록시 서비스 주소를 지정하세요(이는 파일 구성에서 public_addr 및 web_listen_addr가 됩니다). 자세한 내용은 클러스터에 노드 추가를 참조하세요.
노드가 역 터널에 대해 단일 포트를 사용할 수 있나요?
네, 텔레포트는 단일 포트에서 터널 멀티플렉싱을 지원합니다. proxy_service 구성의 web_listen_addr 주소 설정과 동일한 포트를 사용하도록 tunnel_listen_addr를 설정하세요. 텔레포트는 해당 구성으로 멀티플렉싱을 자동으로 사용합니다.
하나의 텔레포트 노드에서 다른 노드로 파일을 복사할 수 있나요?
네, 텔레포트는 헤드리스 WebAuthn 인증을 지원하므로, 로그인하지 않거나 브라우저에 접근할 수 없는 원격 시스템에서 tsh ssh 또는 tsh scp와 같은 작업을 수행할 수 있습니다.
Windows에서 tsh가 매우 느리다면 어떻게 해야 하나요?
호스트 머신이 Active Directory 도메인에 가입된 경우 사용자 조회가 예상보다 오래 걸릴 수 있습니다. 사용자 조회를 수행하기 위해 스캔해야 할 Active Directory 계정 수가 많으면 tsh가 현재 사용자에 대한 정보를 기다리며 멈출 수 있습니다. 이 문제를 해결하려면 환경 변수를 사용하여 텔레포트 사용자의 기본 계정 정보를 설정할 수 있습니다. Windows에서 긴 조회 시간을 경험하고 있다면 다음과 같이 하세요:
TELEPORT_USER환경 변수를 설정하거나--user플래그를 텔레포트 사용자 이름으로 설정하세요.TELEPORT_LOGIN환경 변수를 설정하거나--login플래그를 현재 호스트 사용자 이름으로 설정하세요. 이 설정은 다른 사용자로 SSH 세션을 열 경우 재정의할 수 있습니다.TELEPORT_HOME환경 변수를 현재 호스트 사용자의 홈 디렉토리 +\.tsh로 설정하세요. 예를 들어, 홈 디렉토리가C:\Users\Me인 경우TELEPORT_HOME을C:\Users\Me\.tsh로 설정합니다.
이러한 환경 변수를 Windows에서 전역적으로 설정하여 tsh를 실행할 때마다 수동으로 설정할 필요가 없도록 할 수 있습니다.
오픈 소스와 엔터프라이즈의 차이점은 무엇인가요?
텔레포트는 세 가지 에디션을 제공합니다:
- 텔레포트 엔터프라이즈
- 텔레포트 엔터프라이즈 클라우드
- 텔레포트 커뮤니티 에디션
텔레포트 에디션 간의 차이를 자세히 살펴보세요.
접근 제어
| 커뮤니티 에디션 | 엔터프라이즈 | 클라우드 | |
|---|---|---|---|
| 이중 승인 | ✖ | ✔ | ✔ |
| 하드웨어 키 지원 | ✖ | ✔ | ✔ |
| 조정된 세션 | ✖ | ✔ | ✔ |
| 역할 기반 접근 제어 | ✔ | ✔ | ✔ |
| 싱글 사인온 | GitHub | GitHub, Google Workspace, OIDC, SAML, Teleport | GitHub, Google Workspace, OIDC, SAML, Teleport |
감사 로깅 및 세션 녹화
| 커뮤니티 에디션 | 엔터프라이즈 | 클라우드 | |
|---|---|---|---|
| 향상된 세션 녹화 | ✔ | ✔ | ✔ |
| 녹화 프록시 모드 | ✔ | ✔ | ✖ |
| 재생 가능한 세션 녹화 | ✔ | ✔ | ✔ |
| 구조화된 감사 로그 | ✔ | ✔ | ✔ |
규정 준수
| 커뮤니티 에디션 | 엔터프라이즈 | 클라우드 | |
|---|---|---|---|
| FedRAMP 통제 | ✖ | ✔ | ✖ |
| FedRAMP High용 FIPS 호환 바이너리 사용 가능 | ✖ | ✔ | ✖ |
| IP 기반 제한 | ✖ | ✔ | ✔ |
| PCI DSS 기능 | 제한됨 | ✔ | ✔ |
| SOC 2 기능 | 제한됨 | ✔ | ✔ |
신원
텔레포트 엔터프라이즈의 추가 기능으로 제공됩니다.
| 커뮤니티 에디션 | 엔터프라이즈 | 클라우드 | |
|---|---|---|---|
| 접근 모니터링 및 응답 | ✖ | ✔ | ✔ |
| 접근 목록 및 접근 검토 | ✖ | ✔ | ✔ |
| 장치 신뢰 | ✖ | ✔ | ✔ |
| 엔드포인트 관리: Jamf | ✖ | ✔ | ✔ |
| JIT 접근 요청 | 제한됨 | ✔ | ✔ |
| 세션 및 신원 잠금 | ✖ | ✔ | ✔ |
인프라 접근
| 커뮤니티 에디션 | 엔터프라이즈 | 클라우드 | |
|---|---|---|---|
| OpenSSH 서버와 에이전트 없는 통합 | ✔ | ✔ | ✔ |
| 애플리케이션 접근 | ✔ | ✔ | ✔ |
| 데이터베이스 접근 | ✔ | ✔ | ✔ |
| 데스크탑 접근 | ✔ | ✔ | ✔ |
| 쿠버네티스 접근 | ✔ | ✔ | ✔ |
| 기계 ID | ✔ | ✔ | ✔ |
| 서버 접근 | ✔ | ✔ | ✔ |
라이센스 및 사용 관리
| 커뮤니티 에디션 | 엔터프라이즈 | 클라우드 | |
|---|---|---|---|
| 연간 또는 다년 계약, 볼륨 할인 | ✖ | ✔ | ✔ |
| 익명화된 사용 추적 | 옵트인 | ✔ | ✔ |
| 라이센스 | 상업적 | 상업적 | 상업적 |
운영
| 커뮤니티 에디션 | 엔터프라이즈 | 클라우드 | |
|---|---|---|---|
| 인증 서비스 및 프록시 서비스 관리 | 자체 호스팅 | 자체 호스팅 | 완전 관리 |
| 백엔드 지원 | 세션 레코드를 위한 모든 S3 호환 스토리지, 사용자 지정 감사 로그 저장을 위한 많은 관리된 백엔드. | 세션 레코드를 위한 모든 S3 호환 스토리지, 사용자 지정 감사 로그 저장을 위한 많은 관리된 백엔드 | 모든 데이터는 DynamoDB와 S3에 저장되며 서버 측 암호화가 적용됩니다. |
| 데이터 저장 위치 | 전 세계 대부분의 관리된 클라우드 백엔드에 데이터를 저장할 수 있음 | 전 세계 대부분의 관리된 클라우드 백엔드에 데이터를 저장할 수 있음 | 데이터는 고객의 AWS 계정에서 선택적으로 감사 로그/세션과 함께 Teleport의 AWS 인프라에 저장됩니다. 프록시 서비스 인스턴스는 저지연 액세스를 위해 전 세계에 배포됩니다. |
| 암호화된 상태에서의 하드웨어 보안 모듈 지원 | ✖ | ✔ | ✖ |
| 프록시 서비스 도메인 이름 | 사용자 정의 | 사용자 정의 | teleport.sh의 하위 도메인 |
| 버전 지원 | 설치 및 다운로드 가능한 모든 지원되는 릴리즈. | 설치 및 다운로드 가능한 모든 지원되는 릴리즈. | 안정성을 위한 2-3주 지연을 두고 마지막 안정적인 릴리즈를 배포합니다. |
지원
| 커뮤니티 에디션 | 엔터프라이즈 | 클라우드 | |
|---|---|---|---|
| 지원 | 커뮤니티 | 프리미엄 SLA 및 계정 관리자와 함께 24x7 지원 | 프리미엄 SLA 및 계정 관리자와 함께 24x7 지원 |
어떤 버전의 텔레포트가 지원되나요?
텔레포트는 약 4개월마다 새로운 주요 버전을 출시하며, 현재 및 이전 두 개의 주요 버전에 대해 보안 중요 지원을 제공합니다. 우리의 일반적인 릴리즈 주기에 따라 각 주요 버전을 일반적으로 12개월간 지원합니다.
지원 버전
다음은 텔레포트의 주요 버전 및 지원 기간입니다:
| 릴리즈 | 릴리즈 날짜 | EOL | 최소 tsh 버전 |
|---|---|---|---|
| v16.0 | 2024년 6월 14일 | 2025년 6월 | v15.0.0 |
| v15.0 | 2024년 1월 29일 | 2025년 1월 | v14.0.0 |
| v14.0 | 2023년 9월 20일 | 2024년 9월 | v13.0.0 |
버전 호환성
Teleport는 시맨틱 버전 관리를 사용합니다. 버전 번호는 주요 버전, 부 버전 및 패치 버전으로 구성되며, 점으로 구분됩니다. 클러스터 내에서 여러 teleport 바이너리를 실행할 때 다음 규칙이 적용됩니다:
- 패치 및 부 버전은 항상 호환됩니다. 예를 들어, 8.0.1 구성 요소는 8.0.3 구성 요소와 함께 작동하며, 8.1.0 구성 요소는 8.3.0 구성 요소와 함께 작동합니다.
- 서버는 하나의 주요 버전 뒤에 있는 클라이언트를 지원하지만, 최신 주요 버전의 클라이언트는 지원하지 않습니다. 예를 들어, 8.x.x 프록시 서비스 인스턴스는 7.x.x 에이전트 및 7.x.x
tsh와 호환되지만, 9.x.x 에이전트가 8.x.x 프록시 서비스 인스턴스와 작동할 것이라고 보장하지 않습니다. 이는 또한 6.x.x에서 바로 8.x.x로 업그레이드하려고 해서는 안 된다는 것을 의미합니다. 먼저 7.x.x로 업그레이드해야 합니다. - 프록시 서비스 인스턴스와 에이전트는 이전 주요 버전의 인증 서비스 인스턴스를 지원하지 않으며, 기본적으로 이전 인증 서비스 인스턴스에 연결하는 데 실패합니다. 에이전트 및 프록시 서비스 인스턴스를 시작할 때
--skip-version-check를 전달하여 버전 검사를 무시할 수 있습니다.
웹 UI에서 복사 및 붙여넣기를 지원하나요?
네. 마우스를 사용하여 복사하고 붙여넣을 수 있습니다.
텔레포트는 어떤 TCP 포트를 사용하나요?
우리의 네트워킹 가이드를 참조하세요.
텔레포트는 OIDC, SAML 또는 Active Directory를 통한 인증을 지원하나요?
텔레포트는 엔터프라이즈(클라우드) 및 엔터프라이즈(자가 호스팅) 버전에서 이 기능을 제공합니다.
텔레포트는 SCIM을 통한 사용자 프로비저닝을 지원하나요?
텔레포트는 엔터프라이즈(클라우드) 및 엔터프라이즈(자가 호스팅) 버전에서 호스티드 Okta 통합을 통해 SCIM 프로비저닝을 지원합니다. SCIM 지원 설정 및 구성에 대한 자세한 내용은 호스티드 Okta 통합 가이드를 참조하세요.
왜 일부 에이전트가 최신이 아니라고 경고가 표시되나요?
텔레포트는 모든 클러스터 구성 요소의 인벤토리를 모니터링하고 이들의 텔레포트 버전을 GitHub 페이지의 최신 릴리즈와 비교합니다. 구성 요소가 최신 릴리즈에 존재하지 않으면 텔레포트는 사용자가 업그레이드하도록 권장하는 클러스터 경고를 생성합니다.
이 점검은 프록시 서비스 및 인증 서비스뿐만 아니라 다른 텔레포트 서비스를 실행하는 에이전트를 포함한 모든 클러스터 구성 요소에 대해 수행됩니다.
텔레포트가 요구하는 최소 TLS 버전은 무엇인가요?
텔레포트는 최소 TLS 버전 1.2를 요구합니다.
이는 애플리케이션과 클라이언트가 텔레포트 프로세스와 TLS 연결을 설정하거나 수락할 때 TLS 1.2 이상 프로토콜 버전을 사용해야 함을 의미합니다. 텔레포트는 TLS 연결이 포함된 모든 작업에서 이 요구 사항을 시행합니다.
사용 가능한 업그레이드에 대한 경고를 억제할 수 있나요?
네. tctl alerts ack 명령을 사용하여 경고를 승인하고 사용자가 경고를 임시로 표시하지 않도록 할 수 있습니다. 경고를 승인하려면 경고의 ID가 필요합니다. tctl alerts list 명령을 사용하여 모든 경고와 그 IDs 목록을 확인할 수 있습니다.
이 명령어군에 대한 자세한 정보는 CLI 참조를 참조하세요.
텔레포트는 클라우드로 어떤 데이터도 전송하나요?
오픈 소스 에디션의 텔레포트는 우리 회사에 어떠한 정보도 전송하지 않으며, 인터넷 접속이 없는 서버에서도 사용할 수 있습니다.
상업적인 텔레포트 에디션은 선택적으로 익명화된 정보를 전송하도록 구성할 수 있으며, 이는 구매한 라이센스에 따라 달라집니다. 이 정보는 다음을 포함합니다:
- 텔레포트 라이센스 식별자;
- 익명화된 클러스터 이름 및 텔레포트 인증 서버 호스트 ID;
- 각 텔레포트 사용자에 대해 익명화된 사용자 이름과 프로토콜별 상호작용 수 - 텔레포트 로그인, SSH 및 Kubernetes exec 세션, 애플리케이션 접근 웹 세션 및 TCP 연결, SSH 포트 포워드, Kubernetes API 요청, SFTP 작업.
익명화는 이름과 ID를 HMAC-SHA-256을 통해 전달하는 방식으로 이루어지며, 텔레포트 클러스터가 처음 초기화될 때 랜덤하게 생성된 HMAC 키를 사용하여 수행되며, 이는 우리와 공유되지 않습니다; 따라서 클러스터에 접근할 수 없는 누구도 우리가 저장하는 데이터를 역익명화하는 것이 불가능합니다.
이 데이터를 집계하고 익명화하는 코드는 GitHub의 우리 저장소에서 찾을 수 있습니다.
자세한 내용은 사용량 보고 및 청구 가이드를 참조하세요.
상업적 텔레포트 에디션에 대한 질문이 있는 경우 sales@goteleport.com으로 문의하세요.
텔레포트 연결
앱을 처음 시작하면 Teleport Connect가 텔레메트리 데이터를 수집하고 전송할 수 있는 권한을 요청합니다.
여기에는 다음과 같은 이벤트 추적이 포함됩니다:
- 클러스터에 로그인
- SSH, 데이터베이스, 애플리케이션 또는 Kubernetes 세션 시작
- SSH 세션 중 파일 전송
- 액세스 요청 생성
- 액세스 요청 검토
- 액세스 요청 수락
로그인 시, 우리는 일부 장치 관련 데이터도 수집합니다:
- 운영 체제 및 해당 버전
- 앱 버전
- 프로세서 아키텍처
또한, 직무 역할을 요청합니다(응답은 선택 사항입니다).
수집된 이벤트 및 데이터의 전체 목록은 Teleport 소스의 프로토콜 버퍼 메시지로 정의되어 있습니다.
우리는 이러한 이벤트의 세부 사항을 추적하지 않지만, 주어진 이벤트가 발생했다는 자체만 기록합니다. 각 이벤트에는 클러스터 이름과 사용자 이름이 포함되며, 클러스터의 내부 랜덤 UUID를 키로 사용하여 HMAC으로 익명화됩니다.
이것을 특정 클러스터나 사용자와 연결하는 것은 클러스터의 내부 데이터 저장소에 접근하지 않는 한 불가능합니다.
더 이상 사용량 데이터를 보내고 싶지 않다면 텔레메트리 비활성화를 참조하세요.