Machine & Workload Identity 소개

머신과 워크로드에 대해 정적 비밀을 안전하고 수명이 짧은 ID로 대체하는 Machine & Workload Identity의 개념과 활용 사례를 설명합니다.

Teleport Machine & Workload Identity는 인프라 내 비인간 엔티티를 위한 두 가지 상호 보완적인 기능 집합을 제공합니다: 머신을 위한 Zero Trust Access : CI/CD 파이프라인과 같은 머신이 Teleport 클러스터에 안전하게 인증하여 보호된 리소스에 액세스하고 클러스터 자체를 구성할 수 있도록 합니다. 유연한 Workload Identities : SPIFFE 표준과 호환되는 수명이 짧은 암호화 ID를 워크로드에 발급하여 안전한 워크로드 간 통신 및 서드파티 API 인증을 가능하게 합니다. 서비스 간 안전한 인증 # Teleport 클러스터 내에 루트 인증 기관을 구성하여 워크로드에 수명이 짧은 JWT 및 X509 인증서를 발급합니다. 이러한 ID( SPIFFE Verifiable Identity Documents 또는 SVID)는 URI(SPIFFE ID)로 인코딩된 워크로드의 ID를 포함합니다. 주요 이점: 장기 공유 비밀 제거 워크로드에 대한 보편적인 ID 형식 확립 인증 방법 감소를 통한 인프라 단순화 tbot 에이전트는 ID 요청 및 갱신을 관리하며, 지원되는 조인 방법을 사용하여 Teleport 클러스터에 인증합니다. 워크로드는 파일시스템/Kubernetes 시크릿 또는 SPIFFE Workload API를 통해 ID를 수신합니다. 머신을 위한 Zero Trust Access # Teleport는 머신에 Teleport 클러스터에 인증할 수 있는 ID("봇")를 제공합니다. 봇은 역할로 제어되는 액세스 및 감사 로그에 기록된 활동을 가진 인간 사용자와 유사합니다. 봇은 어떤 봇 사용자에게 액세스 권한을 부여하고 어떤 증명(조인 방법)이 필요한지 지정하는 조인 토큰을 사용하여 인증합니다. 각 tbot 클라이언트 연결은 시간에 따라 설치를 추적하기 위한 서버 측 Bot Instance를 생성합니다. 통합 활용 사례 # Zero Trust Access와 유연한 Workload Identity는 함께 작동하여 포괄적인 보안 모델을 만들 수 있습니다. 머신은 리소스에 안전하게 액세스하고, 워크로드는 서로 및 외부 서비스와 안전하게 통신하며, 이 모든 것이 Teleport의 통합 액세스 플레인을 통해 관리됩니다. 엔드투엔드 인증을 갖춘 CI/CD 파이프라인 # CI/CD 시스템 이 Kubernetes에 서비스를 안전하게 배포하고 서비스 간 안전한 통신 채널을 구축합니다: 파이프라인은 프록시를 통해 인증하여 Kubernetes에 배포하고 클라우드 API(예: 컨테이너 이미지 푸시)와 상호 작용하기 위한 자격 증명을 받습니다. 파이프라인이 배포한 서비스는 상호 TLS를 위한 SPIFFE ID를 받습니다. 파이프라인은 배포하는 서비스의 ID 수명 주기를 관리합니다. 서드파티 API 액세스가 필요한 클라우드 네이티브 애플리케이션 # Kubernetes 기반 애플리케이션이 내부 서비스와 외부 API 모두에 액세스가 필요합니다: 자동화 도구가 클러스터를 안전하게 구성하기 위해 인증합니다. 애플리케