IdP 침해에 대비한 클러스터 강화

클러스터 전반의 강화 조치를 구현합니다.

클러스터 전반 WebAuthn 설정

사전 요구 사항

Cluster (=teleport.url=)

Version (=teleport.version=)

CA pin (=presets.ca_pin=)

1/3단계. WebAuthn 지원 활성화

`webauthn` 필드 정의

2/3단계. 사용자로서 WebAuthn 장치 등록

Choose device type [TOTP, WEBAUTHN]: webauthn

Enter device name: desktop yubikey

Tap any registered security key or enter a code from a registered OTP device:

Tap your new security key

MFA device "desktop yubikey" added.

3/3단계. WebAuthn으로 로그인

Enter password for Teleport user codingllama:

Tap any security key or enter a code from a OTP device:

> Profile URL: https://example.teleport.sh

Logged in as: codingllama

Cluster: example.teleport.sh

Roles: access, editor, reviewer

Logins: codingllama

Kubernetes: enabled

Valid until: 2021-10-04 23:32:29 -0700 PDT [valid for 12h0m0s]

Extensions: permit-agent-forwarding, permit-port-forwarding, permit-pty

세션별 MFA 구성

역할별

클러스터 전반 Device Trust 구현

사전 요구 사항

1/3단계. 신뢰할 수 있는 장치 등록

2/3단계. 장치 등록 토큰 생성

3/3단계. 신뢰할 수 있는 장치 등록

자동 등록

1/2단계. 클러스터 설정에서 자동 등록 활성화

2/2단계. 로그아웃 후 다시 로그인

관리 작업에 MFA 요구

사전 요구 사항

Cluster (=teleport.url=)

Version (=teleport.version=)

CA pin (=presets.ca_pin=)

1/2단계. 리소스 편집

다음 단계

이 가이드는 아이덴티티 인프라를 강화하고 IdP 취약점과 관련된 위험을 완화하는 데 도움을 줍니다. IdP 침해는 공격자가 아이덴티티 관리 시스템에 무단으로 접근하여 합법적인 사용자를 가장하거나, 권한을 에스컬레이션하거나, 민감한 정보에 접근할 수 있게 될 때 발생합니다. 이는 소프트웨어 취약점 악용, 자격 증명 도용, 사회 공학 공격 등 다양한 방법으로 발생할 수 있습니다. 많은 조직에서 SSO(Single Sign-On) 및 MFA(Multi-Factor Authentication)와 같은 기본 보안 조치를 구현했지만, 이것만으로는 IdP를 대상으로 하는 정교한 공격으로부터 보호하기에 충분하지 않을 수 있습니다. 공격자들은 지속적으로 기술을 발전시키고 있으며, 기존 보안 조치에는 악용될 수 있는 한계나 취약점이 있을 수 있습니다. IdP 침해에 대한 방어를 강화하기 위해 다음과 같은 포괄적인 보안 조치를 구현하는 것을 권장합니다. 클러스터 전반 WebAuthn 설정 # WebAuthn 표준을 사용하여 전체 인프라에 강력한 피싱 저항 인증을 구현합니다. W3C 표준이자 FIDO2의 일부인 WebAuthn은 웹 인증을 위한 공개 키 암호화를 사용합니다. Teleport는 Teleport에 로그인(tsh login 또는 Web UI를 통해)하고 SSH 노드 또는 Kubernetes 클러스터에 접근하기 위한 다중 요소로 WebAuthn을 지원합니다. YubiKey, SoloKey와 같은 하드웨어 키와 Touch ID, Windows Hello와 같은 생체 인증기와 호환됩니다. 사전 요구 사항 # 실행 중인 Teleport 클러스터 또는 Teleport Cloud. Teleport를 시작하려면 무료 체험에 가입 하세요. tctl 관리 도구와 tsh 클라이언트 도구. tctl 과 tsh 다운로드 지침은 설치 를 방문하세요. YubiKey 또는 SoloKey와 같은 WebAuthn 하드웨어 장치 WebAuthn을 지원하는 웹 브라우저 To check that you can connect to your Teleport cluster, sign in with tsh login , then verify that you can run tctl commands using your current credentials. For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username: $ tsh login --proxy= --user= $ tctl status # Cluster (=teleport.url=) # Version (=teleport.version=) # CA pin (=presets.ca_pin=) If you can connect to the cluster and run the tctl status command, you can use your curr