InfoGrab Docs

Graph Explorer로 접근 제어 시각화

요약

Teleport Access Graph의 Graph Explorer 뷰는 인프라 내 접근 패턴을 보여줍니다. Graph Explorer는 Teleport 역할, 클라우드 공급자, 코드 저장소, 기타 통합의 접근 제어를 포함한 여러 시스템의 접근 제어를 단일 뷰에 표시합니다.

Teleport Access Graph의 Graph Explorer 뷰는 인프라 내 접근 패턴을 보여줍니다. 다양한 아이덴티티가 어떤 인프라 리소스에 접근할 수 있는지, 그리고 어떤 아이덴티티가 단일 리소스에 접근할 수 있는지 확인할 수 있습니다. 과도한 권한을 가진 아이덴티티와 예상치 못한 접근 출처를 가진 리소스를 식별하여 아이덴티티 기반 공격으로부터 인프라를 보호할 수 있습니다.

Graph Explorer는 Teleport 역할, 클라우드 공급자, 코드 저장소, 기타 통합의 접근 제어를 포함한 여러 시스템의 접근 제어를 단일 뷰에 표시합니다.

Graph Explorer 사용#

Graph Explorer 사용을 시작하려면:

  1. 왼쪽 사이드바에서 Identity Security > Graph Explorer로 이동합니다.
  2. 메인 드롭다운 메뉴에서 보려는 아이덴티티, 역할 또는 리소스를 선택합니다.

Show Access Path Resource

그 후 접근 경로에 대한 추가 정보를 보거나 검색창을 사용하여 계속 탐색할 수 있습니다.

접근 경로 드릴다운#

Graph Explorer에서 노드의 접근 경로는 해당 노드가 접근할 수 있는 모든 리소스를 표시합니다.

접근 경로를 볼 때 그래프를 필터링하여 관심 있는 노드만 표시할 수 있습니다.

예를 들어 사용자의 접근 경로를 보고 특정 역할을 통해 해당 사용자에게 부여된 접근을 확인하려면 역할을 마우스 오른쪽 버튼으로 클릭하고 "Add to search"를 선택합니다.

Add to search

이렇게 하면 해당 역할이 포함된 접근 경로만 표시되도록 그래프가 좁혀집니다.

Filtered access path

검색창 사용#

그래프 노드를 검색하려면 페이지 상단의 검색창을 사용하거나 /를 누릅니다.

그러면 노드, 페이지 및 접근 경로를 검색할 수 있는 전역 검색이 표시됩니다.

Search

노드를 클릭하면 해당 노드에 대한 자세한 정보가 표시된 드로어가 열립니다.

Node Information

노드의 접근 경로를 보면 선택한 노드가 포함된 graph explorer 뷰가 열립니다.

Access Path

그래프 노드#

Access Graph는 인프라를 여섯 가지 주요 구성 요소로 나눕니다:

아이덴티티#

Identity Node

아이덴티티는 인프라에 접근할 수 있는 행위자입니다. 예를 들어 AI 에이전트, 직원, 계약자, 머신 또는 봇이 될 수 있습니다.

사용자는 Teleport user 리소스의 인스턴스로부터 생성됩니다. 로컬 사용자는 생성되는 즉시 임포트됩니다. SSO 사용자(GitHub, SAML 등의 인증 커넥터에서 생성됨)는 처음 로그인할 때 임포트됩니다.

오른쪽의 숫자는 standing privileges를 나타냅니다. standing privileges 메트릭은 Access Request를 생성하지 않고 아이덴티티가 접근할 수 있는 리소스 수를 나타냅니다.

사용자 그룹#

Identity Group Node

아이덴티티 그룹은 아이덴티티의 컬렉션입니다. 역할이나 팀을 기반으로 사용자를 구성하는 데 사용할 수 있으며 중첩될 수 있습니다.

사용자 그룹은 Teleport 역할과 Access Requests에서 생성됩니다. 역할은 해당 역할을 가진 사용자가 멤버인 사용자 그룹을 생성합니다. Access requests는 수락된 Access Request를 통해 접근을 얻은 사용자가 멤버인 임시 사용자 그룹을 생성합니다.

작업#

Action Node

작업은 아이덴티티가 할 수 있거나 할 수 없는 것들입니다. 작업은 리소스와 관련이 있습니다. 예를 들어 사용자가 노드에 SSH로 접근할 수 있습니다.

허용 경로는 아이덴티티와 리소스를 연결합니다. 아이덴티티가 접근할 수 있는 항목과 수행할 수 있는 작업을 보여줍니다.

Allow Path

거부 작업#

Deny Action Node

거부 작업은 아이덴티티가 할 수 없는 것들입니다. 거부 작업은 리소스와 관련이 있습니다. 예를 들어 사용자가 노드에 SSH로 접근할 수 없습니다.

거부 경로는 아이덴티티와 리소스를 연결합니다. 아이덴티티가 접근할 수 없는 항목과 수행할 수 없는 작업을 보여줍니다. 거부 경로는 허용 경로보다 우선합니다.

Deny Path

임시 작업#

임시 작업은 사용자에게 리소스에 대한 임시 접근이 부여될 때 생성됩니다. 사용자의 접근이 만료되면 자동으로 삭제됩니다. 임시 작업은 Temporary: true 속성을 가짐으로써 식별할 수 있습니다.

리소스 그룹#

Resource Group Node

리소스 그룹은 리소스의 컬렉션입니다. 역할이나 팀을 기반으로 리소스를 구성하는 데 사용할 수 있습니다.

오른쪽의 숫자는 리소스 그룹에 포함된 리소스 수를 나타냅니다.

리소스#

Resource Node

리소스는 사용자가 접근할 수 있거나 없는 것들입니다. 서버, 데이터베이스 또는 Kubernetes 클러스터가 될 수 있습니다.

데이터베이스 접근 제어#

Teleport는 특정 데이터베이스 프로토콜에 대해 객체 수준 권한을 지원합니다.

데이터베이스 객체 수준 접근 정보는 Identity Security에 자동으로 동기화되어 데이터베이스의 다양한 부분에 대해 누가 어떤 수준의 접근을 가지고 있는지 확인할 수 있습니다.

특정 사용자의 접근을 검사할 때 Teleport Access Graph는 해당 사용자가 접근할 수 있는 데이터베이스 객체를 자동으로 표시합니다.

Overview of access including individual database objects

특정 데이터베이스 객체에 대한 자세한 정보를 보려면 해당 객체를 선택합니다.

Details of an individual database object

그래프에서 데이터베이스 객체는 여러 엣지로 연결됩니다:

  1. 객체와 상위 데이터베이스 리소스를 연결하는 정확히 하나의 엣지가 있습니다. 이 엣지에는 "contains" 레이블이 있습니다.

    Database object and parent database resource

  2. INSERT, SELECT, UPDATE와 같이 객체와 관련된 권한을 보여주는 엣지가 하나 이상 있습니다. 여러 역할이 동일한 객체에 권한을 부여하는 경우 이 유형의 추가 엣지가 있을 수 있습니다. 권한은 엣지 레이블로 표시됩니다.

    Specific object permissions

Graph Explorer로 접근 제어 시각화

원문 보기
요약

Teleport Access Graph의 Graph Explorer 뷰는 인프라 내 접근 패턴을 보여줍니다. Graph Explorer는 Teleport 역할, 클라우드 공급자, 코드 저장소, 기타 통합의 접근 제어를 포함한 여러 시스템의 접근 제어를 단일 뷰에 표시합니다.

Teleport Access Graph의 Graph Explorer 뷰는 인프라 내 접근 패턴을 보여줍니다. 다양한 아이덴티티가 어떤 인프라 리소스에 접근할 수 있는지, 그리고 어떤 아이덴티티가 단일 리소스에 접근할 수 있는지 확인할 수 있습니다. 과도한 권한을 가진 아이덴티티와 예상치 못한 접근 출처를 가진 리소스를 식별하여 아이덴티티 기반 공격으로부터 인프라를 보호할 수 있습니다.

Graph Explorer는 Teleport 역할, 클라우드 공급자, 코드 저장소, 기타 통합의 접근 제어를 포함한 여러 시스템의 접근 제어를 단일 뷰에 표시합니다.

Graph Explorer 사용#

Graph Explorer 사용을 시작하려면:

  1. 왼쪽 사이드바에서 Identity Security > Graph Explorer로 이동합니다.
  2. 메인 드롭다운 메뉴에서 보려는 아이덴티티, 역할 또는 리소스를 선택합니다.

Show Access Path Resource

그 후 접근 경로에 대한 추가 정보를 보거나 검색창을 사용하여 계속 탐색할 수 있습니다.

접근 경로 드릴다운#

Graph Explorer에서 노드의 접근 경로는 해당 노드가 접근할 수 있는 모든 리소스를 표시합니다.

접근 경로를 볼 때 그래프를 필터링하여 관심 있는 노드만 표시할 수 있습니다.

예를 들어 사용자의 접근 경로를 보고 특정 역할을 통해 해당 사용자에게 부여된 접근을 확인하려면 역할을 마우스 오른쪽 버튼으로 클릭하고 "Add to search"를 선택합니다.

Add to search

이렇게 하면 해당 역할이 포함된 접근 경로만 표시되도록 그래프가 좁혀집니다.

Filtered access path

검색창 사용#

그래프 노드를 검색하려면 페이지 상단의 검색창을 사용하거나 /를 누릅니다.

그러면 노드, 페이지 및 접근 경로를 검색할 수 있는 전역 검색이 표시됩니다.

Search

노드를 클릭하면 해당 노드에 대한 자세한 정보가 표시된 드로어가 열립니다.

Node Information

노드의 접근 경로를 보면 선택한 노드가 포함된 graph explorer 뷰가 열립니다.

Access Path

그래프 노드#

Access Graph는 인프라를 여섯 가지 주요 구성 요소로 나눕니다:

아이덴티티#

Identity Node

아이덴티티는 인프라에 접근할 수 있는 행위자입니다. 예를 들어 AI 에이전트, 직원, 계약자, 머신 또는 봇이 될 수 있습니다.

사용자는 Teleport user 리소스의 인스턴스로부터 생성됩니다. 로컬 사용자는 생성되는 즉시 임포트됩니다. SSO 사용자(GitHub, SAML 등의 인증 커넥터에서 생성됨)는 처음 로그인할 때 임포트됩니다.

오른쪽의 숫자는 standing privileges를 나타냅니다. standing privileges 메트릭은 Access Request를 생성하지 않고 아이덴티티가 접근할 수 있는 리소스 수를 나타냅니다.

사용자 그룹#

Identity Group Node

아이덴티티 그룹은 아이덴티티의 컬렉션입니다. 역할이나 팀을 기반으로 사용자를 구성하는 데 사용할 수 있으며 중첩될 수 있습니다.

사용자 그룹은 Teleport 역할과 Access Requests에서 생성됩니다. 역할은 해당 역할을 가진 사용자가 멤버인 사용자 그룹을 생성합니다. Access requests는 수락된 Access Request를 통해 접근을 얻은 사용자가 멤버인 임시 사용자 그룹을 생성합니다.

작업#

Action Node

작업은 아이덴티티가 할 수 있거나 할 수 없는 것들입니다. 작업은 리소스와 관련이 있습니다. 예를 들어 사용자가 노드에 SSH로 접근할 수 있습니다.

허용 경로는 아이덴티티와 리소스를 연결합니다. 아이덴티티가 접근할 수 있는 항목과 수행할 수 있는 작업을 보여줍니다.

Allow Path

거부 작업#

Deny Action Node

거부 작업은 아이덴티티가 할 수 없는 것들입니다. 거부 작업은 리소스와 관련이 있습니다. 예를 들어 사용자가 노드에 SSH로 접근할 수 없습니다.

거부 경로는 아이덴티티와 리소스를 연결합니다. 아이덴티티가 접근할 수 없는 항목과 수행할 수 없는 작업을 보여줍니다. 거부 경로는 허용 경로보다 우선합니다.

Deny Path

임시 작업#

임시 작업은 사용자에게 리소스에 대한 임시 접근이 부여될 때 생성됩니다. 사용자의 접근이 만료되면 자동으로 삭제됩니다. 임시 작업은 Temporary: true 속성을 가짐으로써 식별할 수 있습니다.

리소스 그룹#

Resource Group Node

리소스 그룹은 리소스의 컬렉션입니다. 역할이나 팀을 기반으로 리소스를 구성하는 데 사용할 수 있습니다.

오른쪽의 숫자는 리소스 그룹에 포함된 리소스 수를 나타냅니다.

리소스#

Resource Node

리소스는 사용자가 접근할 수 있거나 없는 것들입니다. 서버, 데이터베이스 또는 Kubernetes 클러스터가 될 수 있습니다.

데이터베이스 접근 제어#

Teleport는 특정 데이터베이스 프로토콜에 대해 객체 수준 권한을 지원합니다.

데이터베이스 객체 수준 접근 정보는 Identity Security에 자동으로 동기화되어 데이터베이스의 다양한 부분에 대해 누가 어떤 수준의 접근을 가지고 있는지 확인할 수 있습니다.

특정 사용자의 접근을 검사할 때 Teleport Access Graph는 해당 사용자가 접근할 수 있는 데이터베이스 객체를 자동으로 표시합니다.

Overview of access including individual database objects

특정 데이터베이스 객체에 대한 자세한 정보를 보려면 해당 객체를 선택합니다.

Details of an individual database object

그래프에서 데이터베이스 객체는 여러 엣지로 연결됩니다:

  1. 객체와 상위 데이터베이스 리소스를 연결하는 정확히 하나의 엣지가 있습니다. 이 엣지에는 "contains" 레이블이 있습니다.

    Database object and parent database resource

  2. INSERT, SELECT, UPDATE와 같이 객체와 관련된 권한을 보여주는 엣지가 하나 이상 있습니다. 여러 역할이 동일한 객체에 권한을 부여하는 경우 이 유형의 추가 엣지가 있을 수 있습니다. 권한은 엣지 레이블로 표시됩니다.

    Specific object permissions