암호화된 세션 녹화

CA 키 백엔드를 사용하여 암호화된 세션 녹화를 활성화하는 방법.

암호화된 세션 녹화를 통해 Teleport 사용자는 세션 녹화 데이터의 저장 시 암호화를 활성화할 수 있습니다. 이 가이드에서는 암호화된 세션 녹화를 설정하는 방법을 설명합니다. 작동 방식 # 암호화된 녹화가 활성화되면 Teleport는 세션 녹화 데이터를 디스크나 장기 저장소에 저장하기 전에 암호화합니다. 암호화 키는 Teleport Auth Service 구성 파일의 ca_key_params 섹션에 정의된 CA에 대해 구성된 동일한 키 저장소 백엔드를 사용하여 프로비저닝됩니다. node-sync 및 proxy-sync 세션 녹화 모드에서 세션 녹화 이벤트는 장기 저장소에 쓰기 전에 암호화되는 Teleport Auth Service로 직접 전송됩니다. node 및 proxy 세션 녹화 모드에서 세션 녹화 이벤트는 Auth Service에 업로드하기 위해 디스크에 쓰기 전에 Teleport로 보호된 서버 또는 Proxy Service 인스턴스에서 로컬로 암호화됩니다. 재생을 위한 세션 녹화 복호화는 세션 녹화 모드에 관계없이 항상 Teleport Auth Service에 의해 촉진됩니다. 이는 Teleport Web UI를 사용하거나 유효한 세션 ID로 tsh play 를 사용하여 재생을 볼 수 있음을 의미합니다. tsh play 로 세션 녹화 파일을 직접 재생하는 것은 암호화된 파일에서는 불가능합니다. 1단계/2단계. Teleport 구성 # 이 섹션에서는 구성된 키 저장소 백엔드를 사용하여 세션 녹화를 암호화하도록 Teleport를 구성합니다. 녹화 암호화 활성화 # 암호화된 세션 녹화는 Teleport Auth Service 구성 파일을 통해 활성화할 수 있습니다. 다음과 같이 Auth Service 구성 파일을 편집할 수 있습니다: # snippet from teleport.yaml auth_service: session_recording_config: encryption: enabled: yes 선택 사항: 키 저장소 백엔드 구성 # 세션 녹화 암호화 키는 CA에 대해 구성된 동일한 키 저장소 백엔드를 사용하여 프로비저닝됩니다. Teleport의 백엔드 저장소에 저장된 소프트웨어 키가 기본값이지만 다른 백엔드도 구성할 수 있습니다: AWS KMS Google Cloud KMS HSM 클러스터가 이미 이러한 백엔드 중 하나를 사용하도록 구성된 경우, Teleport가 복호화 기능을 사용할 권한이 있는지 확인해야 합니다. 예를 들어, AWS KMS 백엔드는 Teleport의 역할 정책에 kms:Decrypt 작업을 추가해야 합니다. 모든 Teleport Auth Service 인스턴스가 정확히 동일한 암호화 키에 접근할 수 있어야 모든 녹화된 세션이 항상 재생 가능하도록 보장됩니다. 이는 AWS KMS 및 GCP KMS 백엔드의 키에 대한 공유 접근 또는 PKCS#11 백엔드의 공유된 네트워크 HSM을 의미합니다. Note HSM 백엔드로 암호화된 녹화를 활성화하기 전에 생성된 키에 대해 OAEP 복호화가 허용되는지 확인하세요. Y