Teleport 17 메이저 릴리즈

오늘은 Teleport 17 메이저 릴리즈에 대한 공식 블로그 알림 포스트를 번역하여 전해 드립니다. 지금 확인해 보실까요?

---

Teleport 17은 올해의 마지막 메이저 릴리즈로, 플랫폼에 상당한 개선사항을 도입했습니다. Teleport 16 이후 6개월 동안, 우리는 이 메이저 릴리즈를 개발했을 뿐만 아니라 마이너 및 패치 업데이트를 통해 여러 가치 있는 기능들도 선보였습니다.

이번 릴리즈의 핵심 주제는 확장 가능하고 안전하며 탄력적인 인프라 접근성입니다. 이는 AWS 접근성에 대한 확장된 초점으로 시작됩니다. Teleport 17은 AWS IAM Identity Center에 대한 프리뷰 지원을 포함합니다. 이 새로운 지원은 현재의 AWS 콘솔 접근성을 더 광범위한 AWS Organizations와 계정으로 확장합니다. SCIM을 통한 사용자 및 역할 동기화로, AWS 콘솔에 대한 안전하고 범위가 지정되며 감사된 접근을 제공하는 것이 그 어느 때보다 쉬워졌습니다.

팀이 확장되고 클라우드 영역이 증가함에 따라, 복잡한 접근 권한과 정책의 확산을 관리하기가 빠르게 어려워집니다. 이를 돕기 위해 몇 가지 도구를 추가했습니다. Teleport Policy를 사용하여 문제의 규모를 파악할 수 있습니다. Teleport Policy Crown Jewels를 사용한 중요 자산의 더 면밀한 모니터링, 그리고 Teleport Identity와 최신 추가 기능인 중첩 접근 목록을 사용하여 조직 구조를 더 쉽게 매핑하는 등의 새로운 기능이 추가되었습니다.

모든 릴리즈와 마찬가지로, 우리는 메이저 릴리즈를 호환성이 깨지는 변경사항을 도입하는 기회로 활용합니다. 이러한 내용은 이 게시물의 마지막에 있습니다. 모든 사용자가 우리의 업그레이드 절차를 따르시기를 권장합니다. Teleport Cloud 사용자의 경우, 1월 10일 주간부터 클러스터 업그레이드를 시작할 예정입니다.

블로그 게시물의 나머지 부분에서는 Teleport 플랫폼의 다양한 영역에 추가된 새로운 기능들을 다루겠습니다.

Teleport Identity

Teleport Identity는 신원 관리와 보안을 제공합니다. 이 제품은 사용자의 신원을 보호하고 잠금으로써 신원 기반 공격을 줄이고 방지합니다. 피싱 공격을 과거의 일로 만들 수 있으며, 기기 신뢰를 강화하고 접근 요청을 통한 제로 스탠딩 권한으로 전환함으로써 보안 태세를 크게 향상시킬 수 있습니다.

AWS IAM Identity Center 통합

AWS IAM Identity Center는 AWS 계정과 조직을 더 쉽게 관리할 수 있도록 하는 AWS의 무료 서비스입니다. Teleport 17은 새로운 AWS IAM Identity Center 통합을 도입했습니다.

이 통합은 Teleport에서 IAM Identity Center로의 SCIM 기반 사용자 및 접근 목록 동기화를 통해 AWS 지원을 확장하여, AWS 콘솔, CLI 및 앱에 대한 중앙 집중식 접근을 더욱 쉽게 제공합니다. 중앙 집중화되고 통합된 접근과 함께, 이 통합은 Teleport 플랫폼 내에서 작동하며 다양한 AWS 역할과 계정에 대한 적시 접근을 제공하는 데 활용될 수 있습니다.

AWS IAM Identity Center 통합과 Teleport 애플리케이션 접근을 통한 AWS 접근 비교

우리는 Teleport 14부터 AWS 콘솔과 CLI에 대한 접근을 지원해 왔습니다. 이는 Teleport와 앱 사이의 연결을 프록시하기 위해 Teleport 애플리케이션 접근을 활용합니다. 리소스로는 AWS IAM을 사용한 AWS 콘솔 접근 방법과 Teleport를 통한 다중 계정 AWS 콘솔 및 CLI 접근 관리 웨비나에 대한 가이드가 있습니다. 두 방법 모두 AWS 콘솔과 리소스에 대한 접근을 제공하지만, 사용자와 그룹 관리 방식에서 차이가 있습니다. AWS IAM Identity Center 통합은 JIT 접근을 포함한 더 포괄적인 계정 관리를 제공하기 위해 그룹과 사용자를 AWS에 동기화하려는 팀을 위해 설계되었습니다. 고객은 Teleport 애플리케이션 접근을 사용할 때 추가 감사를 받을 수 있지만, 이는 더 많은 사용자 지정이 필요합니다. 우리는 조직이 새로운 AWS IAM Identity Center 통합으로 시작하고, 고객/MSP에 대한 접근이나 AWS 리소스에 대한 매우 세부적인 접근과 같은 특수한 경우를 위해 AWS용 Teleport 애플리케이션 접근을 계층화할 것을 권장합니다.

왜 이것을 사용해야 하나요? ~ Ben의 견해: AWS에 대한 적절한 수준의 접근 권한 제공

이는 어려운 과제가 될 수 있으며, 해커들은 계정의 루트 접근 권한을 얻으면 모든 종류의 데이터에 접근할 수 있다는 것을 알고 있습니다. 만약 아직 AWS Organizations와 격리된 AWS 계정을 사용하고 있지 않다면, AWS IAM Identity Center가 완벽한 솔루션이며, Teleport의 통합은 이러한 계정들에 대한 적시 관리자 접근을 더 쉽게 제공함으로써 루트 접근 계정이 해킹당했을 때의 피해 범위를 줄일 수 있습니다... 스타트업을 위한 정보 보안 팟캐스트 에피소드에서 AWS Organizations 보안의 중요성에 대해 자세히 알아보세요.

중첩된 접근 목록

접근 목록을 통해 Teleport 사용자는 Teleport 내에서 관리되는 리소스에 대한 장기 접근 권한을 부여받을 수 있습니다. 접근 목록을 통해 관리자와 접근 목록 소유자는 특정 역할과 특성에 대한 멤버십을 정기적으로 감사하고 제어할 수 있습니다. 접근 목록은 접근 요청과 결합하여 리소스에 대한 장기적이면서도 감사된 접근을 제공할 수 있습니다.

중첩된 접근 목록의 추가로 조직 구조의 일반적인 논리적 중첩 그룹화를 더 쉽게 매핑할 수 있습니다. 다음과 같은 구조가 가능합니다:

1. 전사적 접근

   • 엔지니어링 부서

     • 프론트엔드 팀
     • 백엔드 팀
     • 데브옵스 팀

   • 마케팅 부서

   • 인사 부서

Okta 통합 업데이트

Okta는 Teleport의 인기 있는 Identity 제공자이자 인증 커넥터입니다. 이번 새로운 지원은 통합에 대한 더 나은 가시성을 제공하고 Teleport에서 자동으로 인증 커넥터를 생성합니다.

Okta 서비스는 다음을 설정할 수 있습니다:

• 인증 커넥터를 통한 싱글 사인온
• Okta 통합이 동기화를 실행하기를 기다리지 않고 Okta가 실시간으로 사용자(및 기타 리소스) 업데이트를 Teleport에 푸시할 수 있도록 하는 SCIM
• 사용자 동기화: 모든 Teleport 사용자가 Okta 사용자와 일치
• 접근 목록 동기화: 그룹 및 Okta 앱을 접근 목록과 동기화
• 그룹 및 애플리케이션

새로운 접근 요청 플러그인

팀이 필요한 곳에서 접근 알림을 받을 수 있도록 두 가지 새로운 접근 요청 플러그인을 추가했습니다.

• Datadog 인시던트 관리 접근 요청 알림 - 문서
• 접근 요청 알림을 위한 호스팅형 Microsoft Teams 플러그인 - 문서
• 간편한 MailGun 통합이 가능한 호스팅형 이메일 플러그인 - 문서

Teleport Access

Teleport Access는 당사의 가장 성숙한 제품입니다. 암호화 기반 신원확인과 제로 트러스트를 기반으로 팀이 필요할 때 최소 권한 접근을 제공할 수 있도록 지원합니다. Teleport 애플리케이션 접근에 몇 가지 기능을 추가했으며, Machine ID와 Teleport Workload Identity를 통해 더 광범위한 머신 투 머신 지원을 개선했습니다.

Teleport 애플리케이션 접근을 위한 멀티 도메인 지원

이 긴 기능 제목은 가장 많이 요청된 Teleport 기능을 해결했습니다: 멀티 도메인 앱 실행 시 모든 도메인 인증 #17588. 이 기능을 통해 이제 Teleport 애플리케이션 접근에서 Backend for Frontend 패턴을 지원하여 프론트엔드가 다른 Teleport 보호 앱과 통신할 수 있습니다. 새로운 설정으로 CORS와 쿠키 설정이 가능합니다. 이 기능을 시험해볼 수 있는 오픈소스 데모 앱을 만들었습니다

Terraform Cloud에서 Teleport Terraform Provider 실행하기

저희는 Terraform Cloud에서 Terraform Provider를 더 쉽게 사용할 수 있도록 새로운 연결 방식을 추가했습니다. 이 추가 기능은 Workload Identity 토큰을 활용하여 Teleport Auth Service와 Terraform Cloud 간의 인증을 수행합니다. 문서에서 자세히 알아보세요.

Machine ID와 Workload Identity

팀은 Teleport Machine ID와 Teleport Workload Identity에 다양한 새로운 기능을 추가하느라 바빴습니다. Teleport를 처음 접하시는 분들을 위해 설명드리자면, Teleport Machine ID는 머신과 머신을 연결하는 것에 관한 모든 것입니다. CI/CD 서비스를 보호하거나 Teleport로 보호된 리소스에 대해 스크립트를 실행하는 데 사용될 수 있습니다. Teleport Workload Identity는 워크로드에 대해 수명이 짧은 암호화 신원을 안전하게 발급합니다. SPIFFE 표준을 기반으로 구축되어 워크로드 인증과 워크로드 간 mTLS를 모두 제공하는 데 완벽합니다.

TPM 연결 방식

Teleport 16은 Machine ID와 에이전트 연결을 위한 새로운 TPM 연결 방식을 도입하여 베어메탈 호스트에서 자동화된 프로세스와 봇 인증에 대한 추가적인 보안 계층을 제공합니다. TPM 서명을 활용함으로써 Teleport는 머신 등록이 하드웨어 자체에 안전하게 연결되도록 보장합니다. Linux에서 Machine ID 배포하기(TPM)에 대한 문서 링크를 참고하세요.

JWT SVID 및 OIDC SVID

Teleport Workload Identity는 이제 JWT SVID와 OIDC SVID를 사용하여 클라우드 제공업체 인증을 기본적으로 지원합니다. 이 통합으로 AWS, GCP, Azure와 같은 주요 클라우드 플랫폼에서 실행되는 워크로드 간의 원활하고 안전한 통신이 가능합니다. 표준화된 워크로드 신원 형식을 활용함으로써 Teleport는 서로 다른 클라우드 환경 간의 신뢰 구축 과정을 단순화합니다. 자세한 내용은 JWT SVID와 OIDC SVID에 대한 문서를 참조하세요.

왜 사용해야 할까요? ~ Ben의 견해: 클라우드 간 신원 관리는 복잡합니다 —

각 제공업체마다 고유한 IAM 역할, 서비스 계정, 관리형 신원이 있습니다. 기본 JWT/OIDC SVID 지원을 통해 워크로드는 AWS, GCP 또는 Azure에서 클라우드 네이티브 신원을 사용하여 인증할 수 있습니다. 더 이상 별도의 신원 시스템이나 복잡한 페더레이션을 유지할 필요가 없습니다. 전체 멀티클라우드 인프라에 걸쳐 일관되고 안전한 워크로드 인증만 있으면 됩니다. 마치 모든 클라우드 서비스가 동일한 신원 언어를 사용할 수 있게 해주는 범용 번역기와 같습니다.

Workload Identity를 위한 SPIFFE 페더레이션

SPIFFE 페더레이션을 통해 조직은 이제 서로 다른 신뢰 도메인 간의 워크로드 간 안전한 통신을 구축할 수 있습니다. 이 기능은 도메인 간 워크로드 신원 검증을 가능하게 하여, 워크로드가 별도의 Teleport 클러스터나 외부 시스템에 속해 있더라도 서로 인증하고 권한을 부여할 수 있습니다. SPIFFE 페더레이션은 특히 다중 환경 배포와 조직 간 협업 시나리오에 유용합니다. 서로 다른 시스템 간의 신뢰를 구축하는 표준화된 방법을 제공하여 경계를 넘어선 워크로드 신원 관리의 복잡성을 줄이고 안전한 통신을 보장합니다. SPIFFE 페더레이션 시작하기는 문서를 참조하세요.

Workload Identity에 대해 더 자세히 알고 싶으신가요? 이 웨비나를 확인하세요.

Teleport 정책

Teleport 정책은 Teleport 플랫폼의 최신 추가 기능입니다. 모든 인프라에 걸친 접근 정책에 대한 가시성과 보고 기능을 제공합니다. Entra에서 Okta까지의 중요한 IdP 규칙과 AWS의 클라우드별 가시성을 통합합니다. Teleport 정책의 최근 두 가지 추가 기능을 통해 접근에 대한 보고와 알림이 더욱 쉬워졌으며, SSH 키 스캐닝은 잠재적인 섀도우 접근을 식별하는 데 도움이 됩니다.

Crown Jewels

1996년 미션 임파서블의 금고 침입 장면을 보신 적이 있다면, 공격자들이 모든 최고 기밀 파일이 담긴 3.5인치 플로피 디스크를 얻기 위해 어떤 극단적인 노력을 기울이는지 아실 것입니다. 지난 27년 동안 우리는 큰 발전을 이뤄왔고, 여전히 강력한 물리적 보안을 갖춘 에어갭 환경이 존재하지만, 요즘 공격자들은 더 자주 중요 시스템에 대한 접근을 시도합니다. 이러한 시스템 중 일부는 매우 민감해서 우리는 이를 런던 타워에서 엄격하게 보호되는 왕실 보물처럼 핵심 자산으로 분류합니다.

Teleport 정책의 이번 추가 기능은 팀에게 다음을 제공합니다:

• 중요 리소스 및 접근 패턴 추적과 모니터링
• 민감한 자산에 대한 접근 변경 실시간 알림
• 규정 준수 보고를 위한 상세 감사 추적
• 서드파티 SIEM 플랫폼과의 통합

참고: Access Graph Crown Jewels로 권한 변경 확인하기.

SSH 키 스캐닝

Teleport는 SSH 키를 사용하지 않고 대신 호스트 접근을 위해 수명이 짧은 SSH 인증서를 사용합니다. 우리는 SSH 인증서가 왜 더 안전하고 조직에 더 유리한지에 대해 자세히 다뤄왔습니다... 하지만 엔지니어들이 SSH 키를 사용하여 Teleport를 교묘하게 우회하려 시도할 방법은 항상 존재합니다. 보안 그룹과 네트워킹 제한을 포함하여 팀이 이러한 우회 경로를 차단할 수 있는 여러 방법이 있습니다. 하지만 누군가가 SSH 공개/개인 키 쌍으로 백도어를 만들려 한다고 가정해 봅시다. SSH 키 스캐닝이 도입되기 전에는 모든 시스템을 감사하여 이러한 키들을 찾아내기가 어려웠습니다. Teleport 정책의 SSH 키 스캐닝을 통해 호스트의 모든 인증된 키를 쉽게 보고하고 확인할 수 있습니다.

Teleport SSH 키 스캐닝은 서버와 클라이언트 두 가지 방식으로 작동합니다. 서버에서는 Teleport가 15분마다 ~/.ssh/authorized_keys에 있는 인증된 키를 스캔하여 Teleport에 보고합니다. 클라이언트 측에서는 Teleport가 SSH 개인 키를 스캔하여 지문을 생성하고 이를 Teleport로 전송합니다. Teleport 정책은 이 두 정보를 결합하여 어떤 기기와 사용자가 이러한 키를 업로드했는지 확인합니다.

Teleport 정책 SSH 키 스캐닝 기능:

• 잠재적 백도어 SSH 키 식별
• Jamf Pro와 같은 MDM 도구를 통한 자동화된 스캐닝
• 크로스 플랫폼 지원(Windows, Mac, Linux)
• 인프라 전반의 섀도우 접근 패턴 매핑

문서: Teleport 정책으로 안전하지 않은 SSH 접근 발견하기.

Microsoft Entra ID 통합

Microsoft Entra ID 통합을 통해 접근 정책, 사용자 및 그룹 멤버십을 Teleport 정책으로 가져올 수 있습니다. 이 데이터는 Teleport 정책 위에 계층화되어 계정 내 접근 패턴과 상시 권한에 대한 더 나은 이해를 제공합니다.

Teleport 정책으로 Entra ID 정책 분석하는 방법 알아보기

Teleport 플랫폼

이 섹션은 이번 릴리스에 포함된 모든 추가 기능을 다루며, 제품 내에서 적합하거나 그렇지 않을 수 있는 기능들을 포함합니다.

자동 클라이언트 업데이트

Teleport 17은 Teleport Desktop과 Teleport CLI를 위한 자동 클라이언트 업데이트를 도입했습니다. 이 기능은 Teleport 클라이언트를 클러스터 버전과 자동으로 일치시켜 모든 사용자가 최신 기능과 보안 업데이트에 접근할 수 있도록 보장합니다.

이 기능은 Teleport 17.0.1, 16.4.10, 그리고 15.4.24에 백포트되었습니다.

이 기능은 Teleport Cloud 사용자에게는 기본적으로 활성화되어 있지만, 자체 호스팅 고객은 직접 활성화해야 합니다. 관련 문서를 검토해 주시기 바랍니다.

➜  tsh version
Teleport v16.4.12 git:v16.4.12-0-g5722b8b go1.22.10
Proxy version: 17.1.4
Proxy: example.teleport.sh:443
➜  tsh login --proxy=example.teleport.sh
Update progress: [▒▒▒▒▒▒▒▒▒ ] (Ctrl-C to cancel update)

UI 업데이트

새로운 UI는 더 적은 공간을 사용하면서도 Teleport 플랫폼의 다양한 부분에 더 쉽게 접근할 수 있도록 만들어졌습니다.

Teleport Connect의 하드웨어 키 지원

기본적으로 tsh, Teleport Connect 및 기타 Teleport 클라이언트는 사용자의 키와 인증서를 파일 시스템에 직접 저장합니다. 사용자의 파일 시스템이 침해되면 활성화된 모든 Teleport 사용자 키와 인증서도 함께 침해될 수 있습니다. 이런 경우에 하드웨어 키 지원이 해결책이 됩니다! 이러한 유형의 공격을 방지하기 위해 Teleport는 하드웨어 기반 개인 키를 지원합니다. 디스크 기반 개인 키와 달리 하드웨어 기반 개인 키는 하드웨어 장치에 직접 생성되고 저장되며 내보내기가 불가능합니다. 하드웨어 기반 개인 키를 사용하면 키가 생성되고 저장된 하드웨어 장치에 대한 접근 권한이 있어야만 로그인 세션이 작동합니다.

이제 이 지원이 데스크톱 클라이언트인 Teleport Connect까지 확대되었습니다.

현대적 서명 알고리즘

Teleport의 서명 알고리즘이 기본적으로 업데이트되었습니다. 저희는 다양한 서명 알고리즘의 장단점에 대해 설명해왔으며, 이전 버전과의 호환성과 폭넓은 지원을 위해 RSA 키를 유지해왔습니다. 다행히도 이제 대부분의 서비스와 제공업체들이 강력한 Ed25519 지원을 제공하고 있어, 클러스터에 이 더 강력하고 빠른 알고리즘을 사용할 수 있게 되었습니다. 대규모 환경에서 팀들은 향상된 성능과 보안성을 경험하게 될 것입니다.

authority rotation                protocol status algorithm   storage
--------- ----------------------- -------- ------ ----------- --------
host      standby (never rotated) SSH      active Ed25519     software
                                  TLS      active ECDSA P-256 software
user      standby (never rotated) SSH      active Ed25519     software
                                  TLS      active ECDSA P-256 software
db        standby (never rotated) TLS      active RSA 2048    software
db_client standby (never rotated) TLS      active RSA 2048    software
openssh   standby (never rotated) SSH      active Ed25519     software
jwt       standby (never rotated) JWT      active ECDSA P-256 software
saml_idp  standby (never rotated) TLS      active RSA 2048    software
oidc_idp  standby (never rotated) JWT      active RSA 2048    software
spiffe    standby (never rotated) JWT      active RSA 2048    software
                                  TLS      active ECDSA P-256 software
okta      standby (never rotated) JWT      active ECDSA P-256 software

Teleport 서명 알고리즘에 대한 문서.

서명 및 공증된 macOS 자산

마지막으로, macOS teleport.pkg 설치 프로그램에는 서명 및 공증된 tsh.app과 tctl.app이 포함되어 있어 추가 다운로드 없이 Touch ID를 바로 지원합니다.

주요 변경사항

macOS 자산

버전 17부터 Teleport는 더 이상 별도의 tsh.pkg macOS 패키지를 제공하지 않습니다. 대신, teleport.pkg와 모든 macOS 압축파일에는 서명 및 공증된 tsh.app과 tctl.app이 포함되어 있습니다.

SSH 호스트명에 대한 더 엄격한 요구사항 적용

호스트명은 257자 미만이어야 하며 영숫자와 기호 . 및 -로만 구성되어야 합니다. 새로운 제한사항을 위반하는 호스트명은 변경되며, 원래 호스트명은 검색을 위해 teleport.internal/invalid-hostname 레이블로 이동됩니다.

유효하지 않은 호스트명을 가진 Teleport 에이전트는 호스트 UUID로 대체됩니다. 유효하지 않은 호스트명을 가진 에이전트리스 OpenSSH 서버는 주소의 호스트가 유효한 경우 해당 호스트로, 그렇지 않은 경우 무작위로 생성된 식별자로 대체됩니다. Teleport가 호스트명을 변경하는 것을 방지하기 위해 유효하지 않은 호스트명을 가진 모든 호스트는 새로운 요구사항을 준수하도록 업데이트되어야 합니다.

세션별 MFA를 위한 TOTP

Teleport 17은 세션별 MFA에 TOTP 사용을 허용하는 마지막 릴리스입니다. Teleport 18부터 tsh는 세션별 MFA에 강력한 웹오스 인증정보를 요구할 것입니다. 초기 로그인에는 계속해서 TOTP가 허용됩니다.

Teleport 17 체험하기

Teleport 17은 확장 가능하고 안전하며 복원력 있는 인프라 접근에 대한 우리의 약속을 이행합니다. AWS IAM Identity Center 통합부터 Crown Jewels 모니터링과 같은 향상된 정책 기능, 그리고 Workload Identity를 통한 개선된 머신 간 통신에 이르기까지, 이번 릴리스는 조직이 증가하는 인프라 규모를 더 잘 관리할 수 있도록 돕습니다. 업그레이드할 준비가 되셨나요? 우리의 업그레이드 절차를 따르세요. Teleport Cloud 고객은 1월 13일 주부터 클러스터가 업그레이드될 예정입니다.

• 이 포스트는 Teleport의 동의를 받아 공식 블로그의 원문을 우리말로 번역한 글입니다. → 원문바로가기

더 많은 Teleport에 대한 정보와 데모가 궁금하신가요? 혹은 Teleport업그레이드가 필요하신가요? 그렇다면 인포그랩에 연락하세요! DevOps 전문가가 도와드립니다. 지금 문의하기