클라이언트 타임아웃 적용으로 세션 보안 강화

유휴 클라이언트 타임아웃을 구현하는 방법.

Teleport의 client_idle_timeout 은 지정된 기간 후에 비활성 세션을 종료하여 보안을 강화하는 구성 가능한 설정입니다. 조직의 보안 정책에 따라 유연하게 적용할 수 있도록 전역적으로 또는 역할별로 적용할 수 있습니다. client_idle_timeout 구성은 일정 기간 동안 비활성 상태로 남아 있는 SSH 세션, 데스크톱 세션, kubectl exec 또는 데이터베이스 연결이 자동으로 종료되도록 합니다. 이를 통해 무인 세션과 관련된 위험, 예를 들어 무단 접근을 완화하는 데 도움이 됩니다. 사용 사례 # 보안 컴플라이언스: 많은 조직에서 보안 정책의 일부로 유휴 타임아웃 적용을 요구하여 비활성 세션이 열린 상태로 남아 있지 않도록 합니다. 위험 완화: 사용자가 세션에서 연결을 끊는 것을 잊은 경우, 유휴 타임아웃은 설정된 비활성 기간 후에 자동으로 로그아웃시켜 무단 접근의 위험을 줄입니다. 작동 방식 # Teleport는 데스크톱 세션의 키 입력이나 마우스 이동, ssh 또는 데이터베이스 연결의 네트워크 트래픽과 같은 사용자 활동을 모니터링합니다. client_idle_timeout 에 정의된 기간 동안 활동이 감지되지 않으면 세션이 종료되어 사용자가 다시 연결해야 합니다. 구성 # client_idle_timeout 은 전역적으로 또는 역할별로 구성할 수 있어 관리자에게 클라이언트 유휴 타임아웃 규칙 적용 방식에 유연성을 제공합니다. 전역 구성 (모든 사용자에게 적용) # auth_service 섹션 아래 Teleport 클러스터 구성( teleport.yaml )에서 client_idle_timeout 을 전역적으로 설정할 수 있습니다: auth_service: client_idle_timeout: 15m 이 예제는 15분 의 전역 클라이언트 유휴 타임아웃을 구성합니다. 클라이언트 비활성 15분 후 세션이 종료됩니다. 클라우드 고객인 경우 동적 구성을 사용하여 이 설정을 수정해야 합니다. 로그인하여 tctl 관리 도구를 사용합니다: $ tsh login --proxy=myinstance.teleport.sh $ tctl status 기존 cluster_auth_preference 리소스를 가져옵니다: $ tctl get cap > cap.yaml cap.yaml 에 client_idle_timeout 을 포함합니다: kind: cluster_auth_preference metadata: name: cluster-auth-preference spec: options: client_idle_timeout: 30m # 원하는 타임아웃 값 설정 tctl 을 통해 cluster_auth_preference 리소스를 생성합니다: $ tctl create -f cap.yaml 그러면 다음 출력이 표시됩니다: $ cluster auth preference has been created 역할별 구성 (특정 사용자 또는 그룹에 적용) # 역할별로 타임아웃을 지정하여 서로 다른 사용자 또는 그룹이 다른 타임아웃 설정을 가질 수 있