공격의 영향 범위 줄이기

보안 침해의 범위를 최소화하도록 Teleport를 구성하는 방법

Teleport는 사용자에게 심층 방어를 실천하도록 권장하여 공격자가 부분적으로 성공하더라도 인프라의 모든 구성 요소가 공격에 안전하도록 합니다. 사용자가 인증하거나 상승된 권한을 요청할 때 클러스터에 보호 계층을 추가하도록 Teleport를 구성할 수 있습니다. 이 가이드에서는 다음을 수행하는 방법을 보여줍니다: 리소스에 접근하는 모든 시도에 대해 MFA 챌린지 제시 역할 요청에 대한 이중 승인 요구 일부 역할이 다른 역할을 요청하는 것을 자동으로 방지 사용자 트레이트에 기반한 역할 요청 제한 관리자 역할 없이 RBAC 설정 To check that you can connect to your Teleport cluster, sign in with tsh login , then verify that you can run tctl commands using your current credentials. For example, run the following command, assigning to the domain name of the Teleport Proxy Service in your cluster and to your Teleport username: $ tsh login --proxy= --user= $ tctl status # Cluster (=teleport.url=) # Version (=teleport.version=) # CA pin (=presets.ca_pin=) If you can connect to the cluster and run the tctl status command, you can use your current credentials to run subsequent tctl commands from your workstation. If you host your own Teleport cluster, you can also run tctl commands on the computer that hosts the Teleport Auth Service for full permissions. 리소스에 접근하는 모든 시도에 대해 MFA 챌린지 제시 # 사용자가 Teleport 클러스터에 로그인한 후 노드, 데이터베이스, 애플리케이션 또는 Kubernetes 클러스터와 같은 특정 리소스에 대한 접근을 요청할 수 있습니다. 이 경우 Teleport Auth Service는 해당 리소스에 접근하기 위한 일회용 인증서를 발급합니다. 세션별 MFA를 활성화하면 침해된 인증서로 공격자가 피해를 입히는 것을 방지할 수 있습니다. 이 설정으로 사용자가 리소스에 접근하기 위한 일회용 인증서를 요청할 때마다 Teleport Auth Service는 사용자가 이미 tsh login 을 통해 Teleport 세션을 시작했더라도 MFA 챌린지를 발행합니다. Teleport 환경에 따라 모든 사용자에 대해 세션별 MFA를 활성화하려면 다음을 수행합니다: Self-hosted Cloud-Hosted Teleport 구성 파일에 다음 변경 사