InfoGrab Docs

Identity Activity Center 셀프 호스팅

요약

이 가이드에서는 Teleport의 Identity Security 제품에서 Identity Activity Center를 활성화하는 데 필요한 인프라를 설정합니다. Teleport Identity Activity Center is a centralized data platform that enhances visibility, allows to search and analyze activity from both human an...

이 가이드에서는 Teleport의 Identity Security 제품에서 Identity Activity Center를 활성화하는 데 필요한 인프라를 설정합니다. Identity Activity Center를 사용하면 다양한 소스의 감사 로그와 접근 경로를 중앙화하여 가시성과 관리를 향상시킬 수 있습니다.

Teleport Identity Activity Center is a centralized data platform that enhances visibility, allows to search and analyze activity from both human and non-human identities across multiple data sources.

It provides a rich visualization layer that maps access policies across services such as AWS, GitHub, Okta, and Teleport with the real-time activity from those identities.

Built to assist security and operations teams, Identity Activity Center combines activities from the same identity across different platforms improving the correlation of identity-based events across platforms and expedites investigations. Through an intelligent alerting engine that detects irregularities in audit logs, emphasizes odd behavior, and describes the access levels each identity has across corporate services, it offers contextual insights during incident response.

Identity Activity Center는 Teleport Enterprise 고객에게만 제공되는 Teleport Identity Security 제품의 기능입니다.

작동 방식#

Teleport Identity Security는 AWS SQS 큐를 사용하여 감사 로그를 게시하고 소비합니다. 고가용성 모드로 배포되면, Teleport Identity Security는 리더를 선출하여 큐에서 메시지를 소비하고, 위치와 같은 메타데이터로 변환 및 강화한 후 장기 S3 버킷에 Parquet 파일로 작성하는 역할을 담당합니다.

Amazon Athena는 Identity Activity Center의 쿼리 엔진을 지원합니다. 장기 S3 버킷에 보관된 Parquet 파일의 스키마를 지정하고 데이터를 검색하기 위해 Amazon Athena는 AWS Glue 테이블을 사용합니다. 이 구성으로 감사 로그를 효율적으로 쿼리하고 분석할 수 있으며, 아이덴티티 보안을 위한 향상된 인사이트와 간소화된 데이터 관리가 가능합니다.

사전 조건#

  • 실행 중인 Teleport Enterprise 클러스터 v18.0.0 이상.
  • Teleport Identity Security가 활성화된 업데이트된 Teleport Enterprise 라이선스 파일.
  • PostgreSQL 데이터베이스 서버 v14 이상.
    • Access Graph는 데이터를 저장할 전용 데이터베이스가 필요합니다. Access Graph가 데이터베이스에 연결하는 사용자는 이 데이터베이스의 소유자이거나 유사한 광범위한 권한이 있어야 합니다: public 스키마에 대한 최소 CREATE TABLE 권한, CREATE SCHEMA 권한.
    • Amazon RDS for PostgreSQL을 지원합니다.
  • Access Graph 서비스에 대한 TLS 인증서
  • 실행 중인 Access Graph 노드 v1.28.0 이상. Access Graph 설정 방법은 Identity Security 페이지를 참조하세요.
Note

Identity Activity Center는 현재 셀프 호스팅 클러스터에서만 지원됩니다. Teleport Enterprise Cloud 지원은 올해 말 출시 예정입니다.

1단계/4단계. 인프라 설정#

다음 Terraform 스크립트로 Identity Activity Center를 지원하는 데 필요한 인프라를 설정할 수 있습니다.

Terraform 스크립트

아래는 Terraform 스크립트 실행에 필요한 변수 목록과 설명입니다.

  • 은 인프라를 만들 지역 이름입니다.
  • 는 AWS SQS 큐 이름입니다.
  • 는 AWS SQS 데드 레터 큐 이름입니다.
  • 는 S3 버킷 파일과 SQS 메시지를 암호화하는 데 사용되는 AWS KMS 암호화 키 이름입니다.
  • 은 이벤트를 저장하는 데 사용되는 장기 S3 버킷입니다.
  • 은 쿼리 결과 및 대용량 파일과 같은 임시 파일을 저장하는 임시 S3 버킷입니다.
  • 는 AWS Glue 데이터베이스 이름입니다.
  • 은 AWS Glue 테이블 이름입니다.
  • 은 Amazon Athena 워크그룹 이름입니다.
  • 는 AWS 계정 ID입니다.

아래 스크립트를 사용하거나 Teleport IaC 스크립트에서 구성하여 변수를 정의합니다.

cat > variables.auto.tfvars << EOF
aws_region                = ""
iac_sqs_queue_name        = ""
iac_sqs_dlq_name          = ""
iac_kms_key_alias         = ""
iac_long_term_bucket_name = ""
iac_transient_bucket_name = ""
iac_database_name         = ""
iac_table_name            = ""
iac_workgroup             = ""
EOF

다음 Terraform 스크립트를 실행하여 필요한 인프라를 만듭니다.

variables.tf#

variables.tf 파일에는 필요한 Terraform 변수에 대한 설명이 포함되어 있습니다.

<div class="admonition note"><div class="admonition-title">Note</div><p>이 섹션의 내용은 원문 문서를 참조하세요. (<code>variables.tf</code>)</p></div>

identity_activity_center.tf#

identity_activity_center.tf 파일에는 Terraform이 만들고 관리하는 모든 리소스의 선언이 포함되어 있습니다. 여기에는 AWS KMS 키, 임시 및 장기 스토리지용 AWS S3 버킷, AWS Glue 테이블 및 데이터베이스가 포함됩니다.

<div class="admonition note"><div class="admonition-title">Note</div><p>이 섹션의 내용은 원문 문서를 참조하세요. (<code>identity_activity_center.tf</code>)</p></div>

policy.tf#

policy.tf에는 Identity Security 서비스가 실행되는 AWS 아이덴티티에 연결해야 하는 AWS IAM 정책의 선언이 포함되어 있어 리소스에 접근하고 쿼리를 실행할 수 있습니다. Identity Security에 EC2 인스턴스를 사용하는 경우 인스턴스 역할에 정책을 연결합니다. ECS 또는 EKS를 사용하는 경우 태스크 또는 파드 역할에 연결합니다.

<div class="admonition note"><div class="admonition-title">Note</div><p>이 섹션의 내용은 원문 문서를 참조하세요. (<code>policy.tf</code>)</p></div>

Terraform 스크립트는 두 가지 변수를 출력합니다:

  • identity_activity_center_iam_policy: Identity Security가 AWS 리소스에 연결하는 데 필요한 AWS IAM 정책. Identity Security AWS IAM 역할에 정책을 연결하세요.
  • identity_activity_center_yaml: Identity Security 구성 또는 Helm 차트 값에 추가할 YAML 구성.

2단계/4단계. MaxMind GeoIP City 데이터베이스 구성 (선택 사항)#

Note

MaxMind GeoIP 데이터베이스 구성은 선택 사항이지만 지리적 위치 추적을 위해 권장됩니다.

IP 주소를 기반으로 국가, 도시, 지역, 위도, 경도와 같은 GeoIP 세부 정보로 감사 이벤트를 강화하려면 MaxMind GeoIP City 데이터베이스를 사용하는 것을 강력히 권장합니다.

MaxMind는 무료 및 유료 버전의 GeoIP City 데이터베이스를 모두 제공합니다. 무료 버전은 유료 버전에 비해 정확도가 낮고 업데이트 빈도가 낮습니다. 무료 버전 다운로드 또는 유료 버전 구매 방법은 MaxMind Developer 웹사이트에서 확인할 수 있습니다.

셀프 호스팅 클러스터에서 향상된 위치 세부 정보를 구성하려면 Identity Security가 실행되는 머신에 데이터베이스 파일을 업로드합니다. 아래 구성 파일에서 해당 위치를 지정합니다.

Helm 차트를 사용하여 설치된 셀프 호스팅 클러스터에서 향상된 위치 세부 정보를 구성하려면 먼저 IP 데이터베이스가 포함된 시크릿을 만듭니다:

$ kubectl create secret generic maxmind-geoip-city-db --from-file=GeoLite2-City.mmdb

3단계/4단계. Identity Security 구성 수정#

셀프 호스팅 클러스터를 구성하려면 Identity Security 구성을 업데이트하고 다음 섹션을 추가합니다:

# Teleport Access Graph 서비스 구성.
# 예: /etc/access_graph/config.yaml
# Identity Activity Center를 활성화하려면 다음 섹션을 추가하세요.
# ...
identity_activity_center:
  region:  name="eu-central-1"/>
  database:  name="example-db"/>
  table:  name="example-table"/>
  s3: s3:// name="example-long-term-bucket"/>/data/
  s3_results: s3:// name="example-transient-bucket"/>/results/
  s3_large_files: s3:// name="example-transient-bucket"/>/large_files
  workgroup:  name="example-workgroup"/>
  sqs_queue_url: https://sqs. name="eu-central-1"/>.amazonaws.com/ name="aws-account-id"/>/ name="example-sqs-queue"/>
  maxmind_geoip_city_db_path: /path/to/geoIp-city.mmdb # 선택 사항
# ...

Helm 차트를 사용하여 설치된 셀프 호스팅 클러스터를 구성하려면 다음 세부 정보로 Helm 차트 값을 업데이트합니다:


# 선택 사항
 volumes:
 - name: maxmind-geoip-city-db
   secret:
     secretName: maxmind-geoip-city-db
     optional: false

# 선택 사항
 volumeMounts:
 - name: maxmind-geoip-city-db
   mountPath: "/etc/maxmindGeoIP/"
   readOnly: true

identity_activity_center:
  enabled: true
  region:  name="eu-central-1"/>
  database:  name="example-db"/>
  table:  name="example-table"/>
  s3: s3:// name="example-long-term-bucket"/>/data/
  s3_results: s3:// name="example-transient-bucket"/>/results/
  s3_large_files: s3:// name="example-transient-bucket"/>/large_files
  workgroup:  name="example-workgroup"/>
  sqs_queue_url: https://sqs. name="eu-central-1"/>.amazonaws.com/ name="aws-account-id"/>/ name="example-sqs-queue"/>
  maxmind_geoip_city_db_path: "/etc/maxmindGeoIP/GeoLite2-City.mmdb" # 선택 사항

helm upgrade를 실행하여 Identity Security를 재배포합니다.

4단계/4단계. Identity Security 재시작#

마지막 단계는 최신 구성을 다시 로드할 수 있도록 Identity Security Docker 프로세스를 재시작하거나 프로세스를 다시 시작하는 것입니다.

마지막 단계는 Identity Security 배포가 새 복제본의 롤아웃을 완료할 때까지 기다리는 것입니다.

Identity Activity Center 셀프 호스팅

원문 보기
요약

이 가이드에서는 Teleport의 Identity Security 제품에서 Identity Activity Center를 활성화하는 데 필요한 인프라를 설정합니다. Teleport Identity Activity Center is a centralized data platform that enhances visibility, allows to search and analyze activity from both human an...

이 가이드에서는 Teleport의 Identity Security 제품에서 Identity Activity Center를 활성화하는 데 필요한 인프라를 설정합니다. Identity Activity Center를 사용하면 다양한 소스의 감사 로그와 접근 경로를 중앙화하여 가시성과 관리를 향상시킬 수 있습니다.

Teleport Identity Activity Center is a centralized data platform that enhances visibility, allows to search and analyze activity from both human and non-human identities across multiple data sources.

It provides a rich visualization layer that maps access policies across services such as AWS, GitHub, Okta, and Teleport with the real-time activity from those identities.

Built to assist security and operations teams, Identity Activity Center combines activities from the same identity across different platforms improving the correlation of identity-based events across platforms and expedites investigations. Through an intelligent alerting engine that detects irregularities in audit logs, emphasizes odd behavior, and describes the access levels each identity has across corporate services, it offers contextual insights during incident response.

Identity Activity Center는 Teleport Enterprise 고객에게만 제공되는 Teleport Identity Security 제품의 기능입니다.

작동 방식#

Teleport Identity Security는 AWS SQS 큐를 사용하여 감사 로그를 게시하고 소비합니다. 고가용성 모드로 배포되면, Teleport Identity Security는 리더를 선출하여 큐에서 메시지를 소비하고, 위치와 같은 메타데이터로 변환 및 강화한 후 장기 S3 버킷에 Parquet 파일로 작성하는 역할을 담당합니다.

Amazon Athena는 Identity Activity Center의 쿼리 엔진을 지원합니다. 장기 S3 버킷에 보관된 Parquet 파일의 스키마를 지정하고 데이터를 검색하기 위해 Amazon Athena는 AWS Glue 테이블을 사용합니다. 이 구성으로 감사 로그를 효율적으로 쿼리하고 분석할 수 있으며, 아이덴티티 보안을 위한 향상된 인사이트와 간소화된 데이터 관리가 가능합니다.

사전 조건#

  • 실행 중인 Teleport Enterprise 클러스터 v18.0.0 이상.
  • Teleport Identity Security가 활성화된 업데이트된 Teleport Enterprise 라이선스 파일.
  • PostgreSQL 데이터베이스 서버 v14 이상.
    • Access Graph는 데이터를 저장할 전용 데이터베이스가 필요합니다. Access Graph가 데이터베이스에 연결하는 사용자는 이 데이터베이스의 소유자이거나 유사한 광범위한 권한이 있어야 합니다: public 스키마에 대한 최소 CREATE TABLE 권한, CREATE SCHEMA 권한.
    • Amazon RDS for PostgreSQL을 지원합니다.
  • Access Graph 서비스에 대한 TLS 인증서
  • 실행 중인 Access Graph 노드 v1.28.0 이상. Access Graph 설정 방법은 Identity Security 페이지를 참조하세요.
Note

Identity Activity Center는 현재 셀프 호스팅 클러스터에서만 지원됩니다. Teleport Enterprise Cloud 지원은 올해 말 출시 예정입니다.

1단계/4단계. 인프라 설정#

다음 Terraform 스크립트로 Identity Activity Center를 지원하는 데 필요한 인프라를 설정할 수 있습니다.

Terraform 스크립트

아래는 Terraform 스크립트 실행에 필요한 변수 목록과 설명입니다.

  • 은 인프라를 만들 지역 이름입니다.
  • 는 AWS SQS 큐 이름입니다.
  • 는 AWS SQS 데드 레터 큐 이름입니다.
  • 는 S3 버킷 파일과 SQS 메시지를 암호화하는 데 사용되는 AWS KMS 암호화 키 이름입니다.
  • 은 이벤트를 저장하는 데 사용되는 장기 S3 버킷입니다.
  • 은 쿼리 결과 및 대용량 파일과 같은 임시 파일을 저장하는 임시 S3 버킷입니다.
  • 는 AWS Glue 데이터베이스 이름입니다.
  • 은 AWS Glue 테이블 이름입니다.
  • 은 Amazon Athena 워크그룹 이름입니다.
  • 는 AWS 계정 ID입니다.

아래 스크립트를 사용하거나 Teleport IaC 스크립트에서 구성하여 변수를 정의합니다.

cat > variables.auto.tfvars << EOF
aws_region                = ""
iac_sqs_queue_name        = ""
iac_sqs_dlq_name          = ""
iac_kms_key_alias         = ""
iac_long_term_bucket_name = ""
iac_transient_bucket_name = ""
iac_database_name         = ""
iac_table_name            = ""
iac_workgroup             = ""
EOF

다음 Terraform 스크립트를 실행하여 필요한 인프라를 만듭니다.

variables.tf#

variables.tf 파일에는 필요한 Terraform 변수에 대한 설명이 포함되어 있습니다.

<div class="admonition note"><div class="admonition-title">Note</div><p>이 섹션의 내용은 원문 문서를 참조하세요. (<code>variables.tf</code>)</p></div>

identity_activity_center.tf#

identity_activity_center.tf 파일에는 Terraform이 만들고 관리하는 모든 리소스의 선언이 포함되어 있습니다. 여기에는 AWS KMS 키, 임시 및 장기 스토리지용 AWS S3 버킷, AWS Glue 테이블 및 데이터베이스가 포함됩니다.

<div class="admonition note"><div class="admonition-title">Note</div><p>이 섹션의 내용은 원문 문서를 참조하세요. (<code>identity_activity_center.tf</code>)</p></div>

policy.tf#

policy.tf에는 Identity Security 서비스가 실행되는 AWS 아이덴티티에 연결해야 하는 AWS IAM 정책의 선언이 포함되어 있어 리소스에 접근하고 쿼리를 실행할 수 있습니다. Identity Security에 EC2 인스턴스를 사용하는 경우 인스턴스 역할에 정책을 연결합니다. ECS 또는 EKS를 사용하는 경우 태스크 또는 파드 역할에 연결합니다.

<div class="admonition note"><div class="admonition-title">Note</div><p>이 섹션의 내용은 원문 문서를 참조하세요. (<code>policy.tf</code>)</p></div>

Terraform 스크립트는 두 가지 변수를 출력합니다:

  • identity_activity_center_iam_policy: Identity Security가 AWS 리소스에 연결하는 데 필요한 AWS IAM 정책. Identity Security AWS IAM 역할에 정책을 연결하세요.
  • identity_activity_center_yaml: Identity Security 구성 또는 Helm 차트 값에 추가할 YAML 구성.

2단계/4단계. MaxMind GeoIP City 데이터베이스 구성 (선택 사항)#

Note

MaxMind GeoIP 데이터베이스 구성은 선택 사항이지만 지리적 위치 추적을 위해 권장됩니다.

IP 주소를 기반으로 국가, 도시, 지역, 위도, 경도와 같은 GeoIP 세부 정보로 감사 이벤트를 강화하려면 MaxMind GeoIP City 데이터베이스를 사용하는 것을 강력히 권장합니다.

MaxMind는 무료 및 유료 버전의 GeoIP City 데이터베이스를 모두 제공합니다. 무료 버전은 유료 버전에 비해 정확도가 낮고 업데이트 빈도가 낮습니다. 무료 버전 다운로드 또는 유료 버전 구매 방법은 MaxMind Developer 웹사이트에서 확인할 수 있습니다.

셀프 호스팅 클러스터에서 향상된 위치 세부 정보를 구성하려면 Identity Security가 실행되는 머신에 데이터베이스 파일을 업로드합니다. 아래 구성 파일에서 해당 위치를 지정합니다.

Helm 차트를 사용하여 설치된 셀프 호스팅 클러스터에서 향상된 위치 세부 정보를 구성하려면 먼저 IP 데이터베이스가 포함된 시크릿을 만듭니다:

$ kubectl create secret generic maxmind-geoip-city-db --from-file=GeoLite2-City.mmdb

3단계/4단계. Identity Security 구성 수정#

셀프 호스팅 클러스터를 구성하려면 Identity Security 구성을 업데이트하고 다음 섹션을 추가합니다:

# Teleport Access Graph 서비스 구성.
# 예: /etc/access_graph/config.yaml
# Identity Activity Center를 활성화하려면 다음 섹션을 추가하세요.
# ...
identity_activity_center:
  region:  name="eu-central-1"/>
  database:  name="example-db"/>
  table:  name="example-table"/>
  s3: s3:// name="example-long-term-bucket"/>/data/
  s3_results: s3:// name="example-transient-bucket"/>/results/
  s3_large_files: s3:// name="example-transient-bucket"/>/large_files
  workgroup:  name="example-workgroup"/>
  sqs_queue_url: https://sqs. name="eu-central-1"/>.amazonaws.com/ name="aws-account-id"/>/ name="example-sqs-queue"/>
  maxmind_geoip_city_db_path: /path/to/geoIp-city.mmdb # 선택 사항
# ...

Helm 차트를 사용하여 설치된 셀프 호스팅 클러스터를 구성하려면 다음 세부 정보로 Helm 차트 값을 업데이트합니다:


# 선택 사항
 volumes:
 - name: maxmind-geoip-city-db
   secret:
     secretName: maxmind-geoip-city-db
     optional: false

# 선택 사항
 volumeMounts:
 - name: maxmind-geoip-city-db
   mountPath: "/etc/maxmindGeoIP/"
   readOnly: true

identity_activity_center:
  enabled: true
  region:  name="eu-central-1"/>
  database:  name="example-db"/>
  table:  name="example-table"/>
  s3: s3:// name="example-long-term-bucket"/>/data/
  s3_results: s3:// name="example-transient-bucket"/>/results/
  s3_large_files: s3:// name="example-transient-bucket"/>/large_files
  workgroup:  name="example-workgroup"/>
  sqs_queue_url: https://sqs. name="eu-central-1"/>.amazonaws.com/ name="aws-account-id"/>/ name="example-sqs-queue"/>
  maxmind_geoip_city_db_path: "/etc/maxmindGeoIP/GeoLite2-City.mmdb" # 선택 사항

helm upgrade를 실행하여 Identity Security를 재배포합니다.

4단계/4단계. Identity Security 재시작#

마지막 단계는 최신 구성을 다시 로드할 수 있도록 Identity Security Docker 프로세스를 재시작하거나 프로세스를 다시 시작하는 것입니다.

마지막 단계는 Identity Security 배포가 새 복제본의 롤아웃을 완료할 때까지 기다리는 것입니다.