[접근제어] Teleport 솔루션 사용 후기

[접근제어 솔루션] Teleport 기술 분석

Checkbox
Date	@2022년 4월 17일 오후 5:26

요약

• Teleport는 인가된 사용자만, 특정된 인프라 자원에 접근할 수 있도록 기능을 제공하는 접근제어 솔루션이다.

• Teleport가 제공하는 서비스를 사용하기 위해선 인증서, IAM 설정, Window의 경우에는 AD 등 미리 셋팅해야 하는 것들은 단점이나, 웹 콘솔 및 ssh session 레코딩 기능 등 접근 제어를 쉽게 할 수 있도록, 유용한 기능을 제공한다.

• 사용자가 증가하는 추세이며, 별도의 유료 접근제어 솔루션을 사용하기 어려울 때 사용하면 좋은 대안

 

내용

• 접근 제어와 Teleport란
  • 당연한 이야기 이지만, 서버 및 데이터베이스 등 인프라 자원을 접근은 관리자 등 인가된 사람만 접근할 수 있어야 한다.
  • 접근제어를 위해서는 식별, 인증, 인가, 책임 추적성 4가지 항목을 만족해야한다. 하지만 별도 솔루션 없이 위의 4가지 항목을 쉽게 관리하는 것은 피곤하다..
  • Teleport는 오픈소스 접근제어 솔루션으로, ssh, K8S, db, applicationw, window desktop 등 대해서 위의 4가지 항목을 만족한 접근제어 기능을 제공한다.

• Teleport 구조

  

  • Teleport는 크게 Proxy, Auth 서비스를 기본으로 나머지 서비스는 모듈형식으로 계속 add할 수 있는 구조로 되어 있었다.
  • 설치 자체는 docker 형태를 지원하며 구축에 대한 불편함은 없었다.
    • ssh 세션 레코딩 기능은 s3에, active log 들은 nosql 형태의 dynamodb 또는 firebase 외부 연동이 가능하다.
    • 추신.. 공식 document에 약간의 오류들 및 참고자료는 적다…
  • teleport 메인 서버에서 키를 발급 받아, 추가할 노드 및 서비스에 대해서 인가하는 방식을 사용한다.
  • 노드 연결을 위해선 호스트에 teleport 에이전트를 설치해야 한다. (약 350MB)

• 장점
  • 사용자가 SSH에 접근하여 어떠한 명령어를 실행했는 지 보여주는 SSH Session 레코딩 기능 및 db 쿼리 로깅 기능 존재
  • 텔레포트 Web에서 콘솔에 접근하여 웹 콘솔을 사용할 수 있음, tsh를 통해 OS 별 별도 ssh 셋팅 등의 번거로움이 없이 간편하게 셋팅 가능
  • 2-factor 인증을 기본적으로 갖추어 보안이 뛰어나다는 점 (생체 인식 기능도 추가 가능 - webAuthn)

• 단점
  • SSH 접근을 위해선 리눅스에 해당 계정이 미리 설정이 되어 있어야 한다는 점
  • AWS Aurora Database를 연동하기 위해서는 IAM 권한으로 접근 설정을 하는 기본 셋팅이 많다는 점
  • Window에 대한 접근제어를 위해서는 AD가 반필수라는 점
  • 에이전트 형식으로 별도 설치가 필요하다는 점

• 아쉬웠던 점
  • hiware 솔루션에서 제공하는 특정 명령어에 대한 실행 제한 기능이 있으면 좋겠다는 생각
  • Teleport에서 리눅스에 계정을 생성할 수 있는 기능이 있으면 좋지 않을까 라는 생각

배울 점

• 프록시와 인증 서버를 통해 사용자를 권한과 접근 대상을 관리하며, 로깅 기능을 제공하는 아키텍처에 대한 구조를 알 수 있었다.

• 접근제어를 위해서는 식별, 인증, 인가, 책임 추적성 4가지 항목을 만족해야 한다는 점을 알았으며, 로깅 정보에 대해선 누가 언제 무엇을 이라는 내용을 알 수 있어야 한다는 점을 알았다.

 

추후 해야할 것

• AWS에서 hosted해주는 Aurora 같은 db를 외부 솔루션들이 접근제어를 하기 위해서는 IAM을 통한 접근 방식을 통해서 연동 할 수 밖에 없다는 생각이 들었다. 근데 그게 정말 맞는지 궁금하다.

• AD 없이 WebRDP를 Teleport의 application에 등록하여 윈도우 데스크톱 접근을 할 수 있지 않을까? → WebRDP를 설정할 때 도메인, AD가 필요

• 사용자마다 별도 계정을 발급해주는 것이 좋지만, Teleport 솔루션의 단점을 없애기 위해, 사용자 통합 계정을 만들고, Teleport를 통해서 책임 추적성을 만족시켜주면 ISMS의 심사 때 접근제어 문제를 회피있는지 궁금하다. → (오카방 피셜, 책임추적성을 만족하면 통합 계정을 써도 문제 없음)

 

---

Teleport: Easiest, most secure way to access infrastructure

Only the open-source Teleport Access Plane consolidates connectivity, authentication, authorization, and audit into a single platform to improve security & agility. By consolidating all aspects of infrastructure access into a single platform for software engineers and the applications they write, Teleport reduces attack surface area, cuts operational overhead, easily enforces compliance, and improves productivity.

https://goteleport.com/

Teleport Architecture Overview | Teleport Docs

This guide is for those looking for a deeper understanding of Teleport. If you are looking for hands-on instructions on how to set up Teleport for your team, check out the Admin Guide The key concept of Teleport's architecture is a cluster. A Teleport cluster consists of the Teleport Auth Service, Teleport Proxy Service and optional Teleport Agents.

https://goteleport.com/docs/architecture/overview/