Teleport 워크로드 아이덴티티는 워크로드에 단기 암호화 아이덴티티를 안전하게 발급합니다. 인프라 전반의 워크로드 아이덴티티를 위한 유연한 기반으로, 실행 위치에 관계없이 워크로드가 인증하는 방법을 통일합니다.

Teleport 워크로드 아이덴티티의 유연한 특성은 다양한 목적으로 사용할 수 있게 합니다:

• AWS, GCP, Azure와 같은 클라우드 플랫폼에서 써드파티 API에 대한 워크로드 인증.
• Zero Trust 전략의 일환으로 인프라 내 워크로드 간 상호 TLS 인증을 위한 X.509 인증서 제공.
• 인프라 내 서비스 간 워크로드 인증.

Teleport 워크로드 아이덴티티는 오픈소스 SPIFFE (Secure Production Identity Framework For Everyone) 표준과 호환됩니다. 이는 워크로드 아이덴티티 구현 간의 상호 운용성을 가능하게 하고 워크로드와의 통합을 단순화하는 기성 도구와 SDK를 풍부하게 제공합니다.

Teleport 워크로드 아이덴티티를 채택하는 데는 다양한 이점이 있지만 주요 사항은 다음과 같습니다:

• 인프라 내 장기 공유 시크릿 사용을 제거하고 유출 위험과 엔지니어가 이러한 시크릿을 생성 및 교체하는 데 소요되는 시간을 줄입니다.
• 워크로드를 위한 즉시 사용 가능한 범용 아이덴티티 형태를 확립하여 엔지니어가 인증 방법을 생각하지 않고도 새로운 서비스를 구축할 수 있게 합니다.
• 워크로드의 1등급 아이덴티티 형태에 수렴하여 워크로드가 인증하는 다양한 방법의 수를 줄임으로써 인프라를 단순화합니다.

작동 방식#

Teleport 워크로드 아이덴티티는 Teleport 클러스터 내에 루트 인증 기관을 설정하여 워크로드에 단기 JWT와 X509 인증서를 발급하는 역할을 담당합니다.

이러한 아이덴티티는 SPIFFE Verifiable Identity Documents (SVID)라고도 하며 URI로 인코딩된 워크로드의 아이덴티티를 포함합니다. 이것을 SPIFFE ID라고도 합니다. 이 SPIFFE ID의 구조는 사용자가 결정하며 워크로드를 고유하게 식별하는 데 필요한 모든 정보를 인코딩할 수 있습니다.

이러한 아이덴티티를 요청하는 기능은 Teleport의 역할 기반 접근 제어 시스템으로 제어됩니다. 사용자와 Bot은 특정 SPIFFE ID로 아이덴티티를 요청할 수 있는 역할을 부여받습니다.

tbot 에이전트는 아이덴티티가 필요한 워크로드 근처에 설치됩니다. 워크로드를 위한 아이덴티티 요청 및 갱신 프로세스를 관리합니다. tbot 에이전트는 지원되는 조인 방법 중 하나를 사용하여 Teleport 클러스터에 인증하며, 많은 경우 장기 시크릿 사용이 아닌 페더레이션 신뢰를 기반으로 인증할 수 있습니다.

워크로드는 두 가지 방법 중 하나로 아이덴티티를 받을 수 있습니다:

• tbot 에이전트가 이러한 아이덴티티를 로컬 파일시스템의 디렉터리 또는 Kubernetes 시크릿에 쓸 수 있습니다.
• tbot 에이전트가 SPIFFE Workload API를 노출할 수 있습니다. 워크로드가 tbot 에이전트에서 직접 아이덴티티를 요청할 수 있는 표준화된 gRPC API입니다.

Workload API를 사용할 때 tbot 에이전트는 Workload 어테스테이션이라는 추가 프로세스를 수행할 수 있습니다. 이를 통해 아이덴티티 발급을 특정 워크로드로 제한할 수 있습니다. 예를 들어 특정 UID 또는 GID를 가진 Linux 프로세스에만 아이덴티티를 발급하도록 제한하거나 특정 Kubernetes 파드에만 아이덴티티를 발급하도록 제한할 수 있습니다. Workload 어테스테이션 프로세스는 워크로드에 "부트스트래핑" 시크릿을 제공할 필요성을 제거합니다.

워크로드가 아이덴티티를 갖게 되면 다양한 목적으로 사용할 수 있습니다. X.509 인증서는 Mutual TLS를 설정하는 데 사용할 수 있으며 JWT는 다양한 써드파티 API에 인증하는 데 사용할 수 있습니다.

Teleport Zero Trust Access vs 워크로드 아이덴티티#

Zero Trust Access를 위한 Teleport 머신 및 워크로드 아이덴티티는 주로 워크로드에 단기 자격증명을 발급하여 Teleport 클러스터로 보호된 리소스에 접근할 수 있게 합니다. 발급된 자격증명은 Teleport 자체와만 호환되며 리소스에 대한 접근은 Teleport 프록시를 통해야 합니다.

Teleport 워크로드 아이덴티티는 상호 운용 가능한 워크로드 아이덴티티를 위한 인기 있는 SPIFFE 표준과 호환되는 암호화 아이덴티티를 발급합니다. 이러한 아이덴티티는 다양한 목적에 사용할 수 있을 만큼 유연합니다. Teleport 프록시는 워크로드 간 통신을 보호하는 데 사용되지 않습니다.

다음 단계#

Teleport 워크로드 아이덴티티에 대해 자세히 알아보세요:

• SPIFFE: SPIFFE 사양과 Teleport 워크로드 아이덴티티에 의해 구현되는 방법에 대해 알아보세요.
• Federation: 다른 신뢰 도메인의 워크로드를 신뢰할 수 있도록 Federation 사용에 대해 알아보세요.
• JWT SVIDs: 워크로드 아이덴티티가 발급하는 단기 JWT에 대해 알아보세요.
• 모범 사례: 프로덕션에서 워크로드 아이덴티티 사용에 대한 모범 사례.
• 워크로드 아이덴티티 리소스: 워크로드 아이덴티티 리소스의 전체 참조.
• 워크로드 아이덴티티 API 및 Workload 어테스테이션: 워크로드 아이덴티티 API 및 Workload 어테스테이션에 대해 자세히 알아보세요.

특정 사용 사례에 대해 Teleport 워크로드 아이덴티티를 구성하는 방법을 알아보세요:

• 시작하기: 워크로드 아이덴티티를 위한 Teleport 구성 방법.
• TSH 지원: 사용자에게 SVID를 발급하기 위해 워크로드 아이덴티티와 함께 tsh를 사용하는 방법.
• AWS Roles Anywhere: AWS Roles Anywhere를 사용하여 워크로드 아이덴티티 인증서를 인증으로 수락하도록 AWS 구성.
• AWS OIDC Federation: AWS OIDC Federation을 사용하여 워크로드 아이덴티티 JWT를 인증으로 수락하도록 AWS 구성.
• GCP 워크로드 아이덴티티 Federation: GCP 워크로드 아이덴티티 Federation을 사용하여 워크로드 아이덴티티 JWT를 인증으로 수락하도록 GCP 구성.
• Azure Federated Credentials: Azure Federated Credentials를 사용하여 워크로드 아이덴티티 JWT를 인증으로 수락하도록 Azure 구성.

기타 리소스#

• SPIFFE 사양: 공식 SPIFFE 사양. SPIFFE ID 및 SVID 형식 이해에 유용합니다.
• Solving The Bottom Turtle: SPIFFE의 기본 사항 및 세부 사항을 다루는 책.