IP 고정(IP Pinning)

Teleport 사용자를 위한 IP 고정 활성화 방법

경고: IP 고정은 Teleport Enterprise가 필요합니다. IP 고정은 Teleport 사용자가 로그인 과정에서 사용한 IP 주소에서만 리소스에 접근할 수 있도록 보장하여 무단 접근을 방지하는 보안 기능입니다. 이는 탈취된 자격 증명이 다른 위치에서 사용되는 위험을 최소화합니다. 작동 방식 # 참고: 관찰된 IP - 클라이언트의 IP. Teleport는 사용자의 직접 연결에서 이를 기록하거나, 이러한 기능이 로드 밸런서에서 활성화된 경우 PROXY 프로토콜 또는 "X-Forwarded-For" 헤더를 통해 기록합니다. 고정된 IP - 로그인 과정에서 관찰되어 사용자 인증서에 포함된 클라이언트의 IP. 사용자의 역할 중 하나 이상에 IP 고정이 활성화된 경우, 로그인 과정에서 Teleport가 관찰한 IP 주소가 사용자의 인증서에 포함됩니다. 이후 사용자가 Teleport 리소스에 접근하려 할 때마다 시스템은 관찰된 IP 주소와 인증서에 저장된 고정 IP 주소를 비교합니다. IP 주소가 일치하지 않으면 접근이 거부됩니다. 사용자의 역할에 IP 고정이 요구되지만 Teleport 서비스에 제시된 사용자 인증서에 고정 IP 정보가 포함되어 있지 않으면 접근이 거부됩니다. 이는 어떤 역할에 IP 고정을 활성화하면 해당 역할로 이미 인증된 사용자들이 인증서를 재생성하기 위해 다시 로그인해야 함을 의미합니다. 클라이언트의 관찰된 IP는 필요한 경우 Teleport 서비스 간에 내부적으로 전파되므로 Teleport는 올바른 IP에 대해 IP 고정 검사를 수행합니다. IP 고정은 신뢰 클러스터 간에도 작동할 수 있지만, 사용자가 루트 클러스터를 통해 리프 클러스터 리소스에 접근하려 할 때 리프 클러스터의 매핑된 역할에 IP 고정이 활성화되어 있다면 루트 클러스터 역할에도 IP 고정이 활성화되어 있어야 합니다. 그렇지 않으면 인증서에 고정 IP 정보가 포함되지 않습니다. IP 고정 구성 # IP 고정을 활성화하려면 역할에 pin_source_ip 옵션을 추가합니다: kind: role version: v7 metadata: name: example-role-with-ip-pinning spec: options: # 이 역할에 IP 고정 요구 pin_source_ip: true allow: ... deny: ... 역할 예제 # IP 고정 역할 설정 예제를 살펴보겠습니다. Teleport 관리자가 사용자에게 IP 고정을 적용하는 다음 역할을 추가합니다: # pinned-ip.yaml kind: role version: v7 metadata: name: pinned-ip spec: options: pin_source_ip: true 관리자가 이 역할을 사용자 Alice에게 할당하면, Alice는 tsh 명령으로 Teleport에 로그인하고 로그인할 때와 동일한 IP 주소에서 노드에 접근하려 합니다: $ curl ifconfig.me # 198.51.111.1 $ tsh ssh telenode.example.com # alice@telenode.ex