Device Trust 아키텍처

Teleport Device Trust의 작동 방식.

Device Trust는 macOS Secure Enclave 또는 Linux 및 Windows 장치의 TPM 2.0을 활용하여 장치 신원을 설정하고 검증합니다. 장치 생명주기에는 세 가지 주요 단계가 있습니다: 등록, 등재 및 인증. 등록 은 알려진 장치에 대해 Teleport에 알립니다. 이 단계에서 장치는 아직 신뢰받지 않았지만 장치 인벤토리 의 일부입니다. 예를 들어 tctl devices add 를 사용하여 생성하거나 Jamf를 통해 동기화된 장치가 등록됩니다. 등재 는 안전한 개인 키를 생성하고 검증하여 등록된 장치를 신뢰할 수 있는 장치로 변환합니다. 위에서 수집된 장치 데이터에는 일련 번호, 모델, OS 정보 등이 포함됩니다. ( tsh device collect 를 실행하여 검사할 수 있습니다.) 안전한 등재 절차는 여기서 설정된 신원(장치 키를 통해)이 미래 인증의 기반이 되므로 매우 중요합니다. 옵션은 자동 등재 부터 수동으로 배포된 장치 등재 토큰 까지 다양합니다. 인증 은 유사한 패턴을 따릅니다. 장치에 이전에 설정된 장치 키를 사용하여 자신을 증명하도록 요청하고, 성공하면 장치 확장이 추가된 새 사용자 인증서를 발급합니다. 장치 확장의 존재가 장치 적용 을 활성화합니다. 장치 인증은 초기 사용자 인증 후에 발생하며, 사용자가 먼저 인증받아야 합니다. 이것이 Device Trust의 기본입니다. TPM 절차는 구현에서 약간 다르지만 기능 및 보안 속성에서 동등합니다(등재는 EKCert, EK 및 AK를 증명하고, 인증은 AK의 소유를 검증합니다). Web UI 지원은 기술적인 이유로 Teleport Connect에 위임된 위에 설명된 동일한 절차에 의해 지원됩니다. 웹용 Device Trust 블로그 게시물에서 구현 과제를 자세히 설명합니다. 실제 사용은 Device Trust 섹션 을 참조하세요.