Device Trust

Teleport Device Trust 개념

Device Trust를 사용하면 Teleport 관리자가 신뢰할 수 있는 디바이스의 사용을 강제할 수 있습니다. 디바이스 모드 "required"로 보호된 리소스는 사용자의 아이덴티티를 확립하고 필요한 역할을 적용하는 것 외에도 신뢰할 수 있는 디바이스의 사용을 강제합니다. 또한 신뢰할 수 있는 디바이스를 사용하는 사용자는 디바이스 정보가 포함된 감사 추적을 남깁니다. Device Trust는 다음 두 단계가 구성되어야 합니다: Teleport에 신뢰할 수 있는 디바이스가 등록 및 등록됨. 역할 또는 클러스터 전체 구성을 통해 디바이스 강제 모드 구성됨. 범주적으로, 이 두 요구 사항을 신뢰할 수 있는 디바이스 관리 및 Device Trust 강제로 정의합니다. 신뢰할 수 있는 디바이스 관리 # 디바이스 관리는 인벤토리 관리와 디바이스 등록의 두 가지 별도 단계로 나뉩니다. 인벤토리 관리 는 디바이스 관리자가 수행합니다. 이 단계에서 디바이스는 Teleport에 등록되거나 제거됩니다. 예를 들어 회사 IT 부서가 새 디바이스를 구입하거나 디바이스를 사용에서 퇴역시킬 때 발생합니다. 인벤토리 관리는 tctl 을 사용하여 수동으로 수행하거나 Jamf Pro와 같은 모바일 디바이스 관리(MDM) 솔루션으로 자동으로 동기화할 수 있습니다. 디바이스 등록 은 디바이스 관리자 또는 재량에 따라 최종 사용자가 수행합니다. 이 단계는 디바이스에 Secure Enclave 개인 키를 만들고 해당 공개 키를 Teleport Auth Server에 등록합니다. 등록은 등록하려는 실제 디바이스에서 실행해야 합니다. 예를 들어 사용자가 처음으로 새 디바이스를 받거나 IT가 사용자를 위한 새 디바이스를 준비할 때 발생합니다. 등록은 사용자/디바이스 조합당 한 번만 수행하면 됩니다. 등록은 디바이스 관리자가 만든 등록 토큰을 교환하여 해당 디바이스를 등록할 기회를 얻습니다. 디바이스와의 신뢰 구축 방법 # Device Trust는 디바이스의 전용 보안 하드웨어를 활용하여 디바이스 자격 증명을 저장하고 디바이스 챌린지를 수행합니다. 구체적인 구현은 디바이스 유형에 따라 다릅니다. macOS 디바이스에서 Device Trust는 Secure Enclave를 사용하여 디바이스 개인 키를 저장합니다. 이 키는 Teleport Auth Service에서 발행한 디바이스 챌린지를 해결하는 데 사용되어 신뢰할 수 있는 디바이스의 아이덴티티를 증명합니다. Windows 및 Linux 디바이스에서는 TPM(Trusted Platform Module)이 디바이스 상태에 대한 증명을 수행하는 데 사용됩니다. 이 증명은 TPM에 의해 보호되는 개인 키로 서명됩니다. 서명된 증명은 Teleport Auth Service가 디바이스의 상태와 요청이 해당 디바이스에서 왔음을 알 수 있도록 합니다. 즉, 디바이스는 등록 프로세스만큼만 신뢰할 수 있습니다. 등록 운영자가 악의적인 디바이스를 Teleport에 등록하면 Secure Enclave나 TPM으로 신뢰를 구축하는 것이 이 시점에서 이