InfoGrab Docs

Teleport Identity Security로 Azure 접근 패턴 탐색

요약

Identity Security는 전체 인프라에 걸친 접근 관리를 간소화하고 중앙화합니다. Access Graph를 사용하는 Identity Security는 Azure 구독 내 접근 패턴에 대한 인사이트를 제공합니다.

Identity Security는 전체 인프라에 걸친 접근 관리를 간소화하고 중앙화합니다. 모든 사용자, 그룹, 컴퓨팅 리소스 간의 통합되고 최신 관계 및 정책을 확인하여 몇 초 만에 접근 관계를 파악할 수 있습니다.

Access Graph를 사용하는 Identity Security는 Azure 구독 내 접근 패턴에 대한 인사이트를 제공합니다. 사용자, 그룹, 서비스 주체, 역할 정의를 스캔하여 시각적 표현을 제공하고 Azure 환경 내 권한 모델을 개선하는 데 도움을 줍니다. 이 기능을 통해 다음과 같은 질문에 답할 수 있습니다:

  • Azure 사용자와 역할이 접근할 수 있는 리소스는 무엇인가?
  • 어떤 그룹이 다른 그룹에 속하며 이것이 리소스 접근에 어떤 영향을 미치는가?
  • 사용자와 그룹에 역할을 할당할 때 구독 전반의 범위가 얼마나 넓거나 좁은가?

Azure 구독 내 권한을 분석하기 위해 Access Graph를 활용하려면 Access Graph 서비스, Discovery Service를 설정하고 Azure 구독과 통합해야 합니다.

Access Graph is a feature of the Teleport Identity Security product available to Teleport Enterprise edition customers.

To verify that Access Graph is set up correctly for your cluster, sign in to the Teleport Web UI, click the Identity Security sidebar button, and then the Browse menu item. Identities, resources, etc. should be listed.

작동 방식#

Access Graph는 Azure 접근 패턴을 탐색하고 사용자, 그룹, 서비스 주체, 역할 정의를 포함한 다양한 Azure 리소스를 동기화합니다. 이러한 리소스는 Identity Security 사용 페이지에서 자세히 설명된 그래프 표현을 사용하여 시각화됩니다.

가져오기 과정은 두 가지 주요 단계로 이루어집니다:

클라우드 API 폴링#

Teleport Discovery Service는 구성된 Azure 구독을 지속적으로 스캔합니다. 최소 15분의 구성 가능한 간격으로 Azure 계정에서 다음 리소스를 검색합니다:

  • 사용자
  • 그룹
  • 서비스 주체
  • 역할 정의
  • 역할 할당
  • 가상 머신

필요한 모든 리소스를 가져오면 Teleport Discovery Service는 이를 Access Graph에 푸시하여 Azure 환경의 최신 정보로 업데이트된 상태를 유지합니다.

리소스 가져오기#

Identity Security의 Access Graph 기능은 Azure 구독에서 검색한 리소스를 시각화합니다.

사전 조건#

  • 실행 중인 Teleport Enterprise 클러스터 v17.2.1 이상.
  • 계정에 Identity Security가 활성화되어 있어야 합니다.
  • 셀프 호스팅 클러스터의 경우:
    • Auth Service 구성에 최신 license.pem이 사용되고 있는지 확인합니다.
    • 실행 중인 Access Graph 노드 v1.27.0 이상. Access Graph 설정 방법은 Identity Security 페이지를 참조하세요.
    • Access Graph 서비스를 실행하는 노드는 Teleport Auth Service에서 접근할 수 있어야 합니다.
Warning

클라우드 호스팅 Teleport Enterprise 클러스터가 있는 경우 이 단계를 무시하면 됩니다. 클라우드 호스팅 Teleport Enterprise는 이미 클러스터 내에 적절히 구성된 Discovery Service를 운영하고 있습니다.

1단계/4단계. Discovery Service 설치#

Tip

이미 다른 Teleport 서비스(Auth 또는 Proxy 등)를 실행 중인 호스트에서 Discovery Service를 실행할 계획이라면 이 단계를 건너뛸 수 있습니다.

Discovery Service를 실행할 Azure 가상 머신에 Teleport를 설치합니다. 이렇게 하면 VM에 연결된 관리 아이덴티티가 필요한 Azure 소스를 가져오는 데 올바른 권한을 할당받을 수 있습니다. 또는 Teleport는 Azure OIDC 통합으로 구성된 Auth 서비스에 연결된 다른 환경에 설치할 수도 있습니다. 아래에 1) Azure 가상 머신 사용 또는 2) Entra ID 통합을 통한 Azure OIDC 자격 증명 사용의 두 가지 옵션이 제공됩니다.

To install a Teleport Agent on your Linux server:

The recommended installation method is the cluster install script. It will select the correct version, edition, and installation mode for your cluster.

  1. Assign to your Teleport cluster hostname and port, but not the scheme (https://).

  2. Run your cluster's install script:

    $ curl "https:///scripts/install.sh" | sudo bash

2단계/4단계. Discovery Service 구성#

Teleport Discovery Service를 활성화하려면 teleport.yaml 구성 파일에 최상위 discovery_service 섹션을 추가합니다. 이 서비스는 discovery_group 매칭으로 설정된 동적 discovery_config 리소스를 모니터링합니다.

.

discovery_service:
  enabled: true
  discovery_group: 






이 옵션에서 얻은 관리 아이덴티티 ID를 통합 명령의 2단계에서 주체 ID로 사용합니다.

이 옵션은 Azure 외부에서 Discovery Service를 실행하는 경우에 사용합니다. Entra OIDC 자격 증명이 Entra ID 통합을 통해 구성되어야 합니다. Entra ID 통합이 구성되면 Azure 애플리케이션에 ./teleport integration configure access-graph azure 명령을 사용하여 역할을 할당합니다.

<div class="admonition tip"><div class="admonition-title">Tip</div>

통합 명령의 2단계에서 주체 ID로 애플리케이션 객체 ID를 사용합니다.

마지막으로 구성에  이름을 추가합니다. 일반적으로 `entra-id`입니다:

```yaml
discovery_service:
  access_graph:
    azure:
    - subscription_id: 
      integration: 
```

4단계/4단계. Access Graph Azure Sync 설정#

Teleport Discovery Service를 구성하려면 Azure 내에서 Discovery Service를 실행하는 Azure 관리 아이덴티티에 Azure 리소스를 가져오는 데 필요한 올바른 권한을 부여해야 합니다. Azure Cloud Shell 내에서 Teleport 바이너리.tar.gz 형식으로 다운로드하고 통합 명령을 실행하는 데 사용합니다.

아래 명령/구성에서 다음을 지정해야 합니다:

Teleport 바이너리 다운로드 및 압축 해제:

curl -L https://cdn.teleport.dev/teleport-v-linux-amd64-bin.tar.gz | tar xz

통합 명령 실행:

./teleport integration configure access-graph azure --principal-id  --role-name  --subscription-id

Teleport Identity Security로 Azure 접근 패턴 탐색

원문 보기
요약

Identity Security는 전체 인프라에 걸친 접근 관리를 간소화하고 중앙화합니다. Access Graph를 사용하는 Identity Security는 Azure 구독 내 접근 패턴에 대한 인사이트를 제공합니다.

Identity Security는 전체 인프라에 걸친 접근 관리를 간소화하고 중앙화합니다. 모든 사용자, 그룹, 컴퓨팅 리소스 간의 통합되고 최신 관계 및 정책을 확인하여 몇 초 만에 접근 관계를 파악할 수 있습니다.

Access Graph를 사용하는 Identity Security는 Azure 구독 내 접근 패턴에 대한 인사이트를 제공합니다. 사용자, 그룹, 서비스 주체, 역할 정의를 스캔하여 시각적 표현을 제공하고 Azure 환경 내 권한 모델을 개선하는 데 도움을 줍니다. 이 기능을 통해 다음과 같은 질문에 답할 수 있습니다:

  • Azure 사용자와 역할이 접근할 수 있는 리소스는 무엇인가?
  • 어떤 그룹이 다른 그룹에 속하며 이것이 리소스 접근에 어떤 영향을 미치는가?
  • 사용자와 그룹에 역할을 할당할 때 구독 전반의 범위가 얼마나 넓거나 좁은가?

Azure 구독 내 권한을 분석하기 위해 Access Graph를 활용하려면 Access Graph 서비스, Discovery Service를 설정하고 Azure 구독과 통합해야 합니다.

Access Graph is a feature of the Teleport Identity Security product available to Teleport Enterprise edition customers.

To verify that Access Graph is set up correctly for your cluster, sign in to the Teleport Web UI, click the Identity Security sidebar button, and then the Browse menu item. Identities, resources, etc. should be listed.

작동 방식#

Access Graph는 Azure 접근 패턴을 탐색하고 사용자, 그룹, 서비스 주체, 역할 정의를 포함한 다양한 Azure 리소스를 동기화합니다. 이러한 리소스는 Identity Security 사용 페이지에서 자세히 설명된 그래프 표현을 사용하여 시각화됩니다.

가져오기 과정은 두 가지 주요 단계로 이루어집니다:

클라우드 API 폴링#

Teleport Discovery Service는 구성된 Azure 구독을 지속적으로 스캔합니다. 최소 15분의 구성 가능한 간격으로 Azure 계정에서 다음 리소스를 검색합니다:

  • 사용자
  • 그룹
  • 서비스 주체
  • 역할 정의
  • 역할 할당
  • 가상 머신

필요한 모든 리소스를 가져오면 Teleport Discovery Service는 이를 Access Graph에 푸시하여 Azure 환경의 최신 정보로 업데이트된 상태를 유지합니다.

리소스 가져오기#

Identity Security의 Access Graph 기능은 Azure 구독에서 검색한 리소스를 시각화합니다.

사전 조건#

  • 실행 중인 Teleport Enterprise 클러스터 v17.2.1 이상.
  • 계정에 Identity Security가 활성화되어 있어야 합니다.
  • 셀프 호스팅 클러스터의 경우:
    • Auth Service 구성에 최신 license.pem이 사용되고 있는지 확인합니다.
    • 실행 중인 Access Graph 노드 v1.27.0 이상. Access Graph 설정 방법은 Identity Security 페이지를 참조하세요.
    • Access Graph 서비스를 실행하는 노드는 Teleport Auth Service에서 접근할 수 있어야 합니다.
Warning

클라우드 호스팅 Teleport Enterprise 클러스터가 있는 경우 이 단계를 무시하면 됩니다. 클라우드 호스팅 Teleport Enterprise는 이미 클러스터 내에 적절히 구성된 Discovery Service를 운영하고 있습니다.

1단계/4단계. Discovery Service 설치#

Tip

이미 다른 Teleport 서비스(Auth 또는 Proxy 등)를 실행 중인 호스트에서 Discovery Service를 실행할 계획이라면 이 단계를 건너뛸 수 있습니다.

Discovery Service를 실행할 Azure 가상 머신에 Teleport를 설치합니다. 이렇게 하면 VM에 연결된 관리 아이덴티티가 필요한 Azure 소스를 가져오는 데 올바른 권한을 할당받을 수 있습니다. 또는 Teleport는 Azure OIDC 통합으로 구성된 Auth 서비스에 연결된 다른 환경에 설치할 수도 있습니다. 아래에 1) Azure 가상 머신 사용 또는 2) Entra ID 통합을 통한 Azure OIDC 자격 증명 사용의 두 가지 옵션이 제공됩니다.

To install a Teleport Agent on your Linux server:

The recommended installation method is the cluster install script. It will select the correct version, edition, and installation mode for your cluster.

  1. Assign to your Teleport cluster hostname and port, but not the scheme (https://).

  2. Run your cluster's install script:

    $ curl "https:///scripts/install.sh" | sudo bash

2단계/4단계. Discovery Service 구성#

Teleport Discovery Service를 활성화하려면 teleport.yaml 구성 파일에 최상위 discovery_service 섹션을 추가합니다. 이 서비스는 discovery_group 매칭으로 설정된 동적 discovery_config 리소스를 모니터링합니다.

.

discovery_service:
  enabled: true
  discovery_group: 






이 옵션에서 얻은 관리 아이덴티티 ID를 통합 명령의 2단계에서 주체 ID로 사용합니다.

이 옵션은 Azure 외부에서 Discovery Service를 실행하는 경우에 사용합니다. Entra OIDC 자격 증명이 Entra ID 통합을 통해 구성되어야 합니다. Entra ID 통합이 구성되면 Azure 애플리케이션에 ./teleport integration configure access-graph azure 명령을 사용하여 역할을 할당합니다.

<div class="admonition tip"><div class="admonition-title">Tip</div>

통합 명령의 2단계에서 주체 ID로 애플리케이션 객체 ID를 사용합니다.

마지막으로 구성에  이름을 추가합니다. 일반적으로 `entra-id`입니다:

```yaml
discovery_service:
  access_graph:
    azure:
    - subscription_id: 
      integration: 
```

4단계/4단계. Access Graph Azure Sync 설정#

Teleport Discovery Service를 구성하려면 Azure 내에서 Discovery Service를 실행하는 Azure 관리 아이덴티티에 Azure 리소스를 가져오는 데 필요한 올바른 권한을 부여해야 합니다. Azure Cloud Shell 내에서 Teleport 바이너리.tar.gz 형식으로 다운로드하고 통합 명령을 실행하는 데 사용합니다.

아래 명령/구성에서 다음을 지정해야 합니다:

  • - 통합 명령을 실행할 Teleport 버전
  • - 리소스를 가져올 Azure 구독의 ID
  • - Discovery Service를 실행할 관리 아이덴티티(VM 할당 자격 증명의 경우) 또는 애플리케이션 객체 ID(OIDC 자격 증명의 경우)
  • - Azure 리소스를 가져오는 권한을 위해 위 주체(관리 아이덴티티 또는 애플리케이션)에 연결할 새 역할 이름

Teleport 바이너리 다운로드 및 압축 해제:

curl -L https://cdn.teleport.dev/teleport-v-linux-amd64-bin.tar.gz | tar xz

통합 명령 실행:

./teleport integration configure access-graph azure --principal-id  --role-name  --subscription-id