핵심 개념

Alpacon을 이해하고 효과적으로 사용하기 위해 알아야 할 핵심 개념들입니다.

Workspace (워크스페이스)

워크스페이스는 인프라와 팀을 관리하는 독립된 환경입니다.

주요 특징:

• 전용 URL: 각 워크스페이스는 고유한 서브도메인을 가집니다 (<workspace>.<region>.alpacon.io)
• 완전한 격리: 데이터, 사용자, 서버가 워크스페이스 간에 완전히 격리됩니다
• 팀 협업: 팀원을 초대하고 워크스페이스 내에서 접근 권한을 관리합니다
• 지역별 데이터 저장: 데이터 지역을 선택할 수 있습니다 (AP1 서울, US1 출시 예정)

관련 문서:

• 워크스페이스 관리
• 데이터 보안

Alpamon 에이전트

Alpamon은 서버에서 실행되어 Alpacon과 안전한 연결을 설정하는 경량 에이전트입니다.

작동 방식:

• 에이전트 기반 아키텍처: 기존 SSH와 달리 서버가 인바운드 포트를 노출하지 않습니다
• 아웃바운드 전용 연결: 에이전트가 Alpacon Gateway로 안전한 WebSocket(WSS) 연결을 시작합니다
• 열린 포트 없음: 네트워크 스캐닝, SSH 무차별 대입 공격, 직접적인 서버 공격을 차단합니다
• 자동 재연결: 지수 백오프 재시도 로직으로 안정적인 연결을 유지합니다

주요 이점:

• 향상된 보안: 노출된 포트가 없어 공격 표면이 없습니다
• 방화벽 친화적: 기업 방화벽과 프록시 뒤에서도 작동합니다
• 간단한 배포: 모든 Linux 서버에 단일 명령으로 설치 가능합니다
• 경량: 20MB 미만의 메모리 사용량

관련 문서:

• 네트워크 보안
• 에이전트 설치

Alpacon Gateway

Alpacon Gateway는 사용자와 서버 간 모든 연결을 라우팅하는 중앙 허브입니다.

아키텍처:

사용자 (브라우저/CLI) → Alpacon Gateway → Alpamon 에이전트 → 서버

게이트웨이 기반 아키텍처를 사용하는 이유는?

기존의 종단간 암호화(직접 SSH 같은)와 달리, Alpacon의 게이트웨이 방식은 다음을 가능하게 합니다:

• 완전한 감사 추적: 모든 명령과 작업이 포렌식 분석을 위해 기록됩니다
• 실시간 모니터링: 보안 팀이 의심스러운 활동에 대해 세션을 모니터링할 수 있습니다
• 정책 시행: 위험한 명령 차단, 승인 요구, 보안 정책 시행이 가능합니다
• 세션 기록: 컴플라이언스를 위한 세션 기록 (SOC 2, HIPAA, PCI-DSS)
• 중앙 집중식 접근 제어: 모든 서버에 대한 즉각적인 접근 권한 취소

전송 중 데이터: 게이트웨이를 통과하는 모든 데이터는 TLS 1.3을 사용하여 암호화됩니다.

관련 문서:

• 보안 개요
• 데이터 보안

Websh 프로토콜

Websh는 WebSocket을 통한 안전한 터미널 세션을 위한 Alpacon의 독자적인 프로토콜입니다.

프로토콜 스택:

터미널 데이터 (Websh)
  ↓
WebSocket 프레임 (WSS)
  ↓
TLS 1.3 암호화
  ↓
TCP/IP

기능:

• WebSocket Secure (WSS) 기반: 업계 표준 전송 프로토콜
• 터미널 최적화: 낮은 지연 시간, 실시간 양방향 통신
• 브라우저 네이티브: 플러그인 없이 모든 최신 브라우저에서 작동
• 명령 감사: 게이트웨이가 컴플라이언스를 위해 명령을 검사하고 기록할 수 있습니다

관련 문서:

• 네트워크 보안
• Websh 사용하기

IAM (Identity and Access Management)

Alpacon은 **역할 기반 접근 제어(RBAC)**를 사용하여 사용자 권한을 관리합니다.

사용자 역할

1. User (일반 사용자)

• 할당된 서버에만 접근 가능
• 워크스페이스 설정 변경이나 사용자 초대 불가
• 터미널 세션 생성 및 할당된 기능 사용 가능

2. Staff (스태프)

• 일상적인 운영을 위한 관리 권한
• 서버 관리, 사용자 초대, 사용자 그룹 구성 가능
• 감사 로그 조회 가능
• 결제 변경이나 워크스페이스 삭제 불가

3. Superuser (슈퍼유저)

• 전체 관리자 접근 권한
• 모든 워크스페이스 설정 및 보안 정책 변경 가능
• 결제 및 구독 관리 가능
• 워크스페이스 삭제 가능

사용자 그룹

사용자 그룹을 통해 효율적인 권한 관리가 가능합니다:

• 여러 사용자에게 한 번에 권한 할당
• 팀, 부서, 역할별로 사용자 구성
• 동적 접근 제어 (그룹에 사용자 추가 → 즉시 접근 가능)
• 와일드카드 서버 매칭 지원 (production-*, web-*)

접근 제어 수준

서버 접근 수준:

1. 접근 불가: 사용자가 서버를 보거나 접근할 수 없음
2. 읽기 전용: 서버 정보와 메트릭만 조회 가능
3. 터미널 접근: 명령 실행 가능 (sudo 제외)
4. 전체 접근: sudo를 포함한 터미널, WebFTP, Deploy Shell 사용 가능

관련 문서:

• 인증 및 접근 제어
• IAM 관리
• 사용자 그룹

Servers (서버)

서버는 Alpacon을 통해 관리하는 인프라 리소스입니다.

서버 등록:

1. 서버에 Alpamon 에이전트 설치
2. 에이전트가 Alpacon에 연결하여 서버 등록
3. 서버가 워크스페이스에 즉시 표시됨

서버 메타데이터:

• 이름: 사용자 지정 서버 이름 (예: web-01, db-prod)
• 플랫폼: 감지된 OS 및 버전 (Ubuntu, CentOS 등)
• 그룹: 용도, 환경 또는 팀별로 서버 구성
• 태그: 필터링 및 구성을 위한 추가 메타데이터
• 상태: 온라인/오프라인 상태 및 상태 메트릭

서버 그룹:

서버를 논리적 그룹으로 구성:

• 환경별: production, staging, development
• 기능별: web, database, cache, worker
• 팀별: backend, frontend, devops, data

관련 문서:

• 서버 관리
• 서버 연결

Sessions (세션)

세션은 사용자와 서버 간의 활성 연결을 나타냅니다.

터미널 세션

터미널 세션은 서버에 대한 명령줄 접근을 제공합니다:

• 웹 기반: SSH 클라이언트 없이 모든 브라우저에서 접근
• 다중 동시 세션: 여러 터미널을 동시에 열 수 있음
• 세션 지속성: 네트워크 연결이 끊어져도 세션이 유지됨
• 세션 공유: 팀원과 터미널 세션 공유 가능 (Enterprise)

세션 기록

모든 터미널 세션이 보안 및 컴플라이언스를 위해 기록됩니다:

플랜별 보관 기간:

• Essentials 플랜: 1년
• Enterprise 플랜: 5년

사용 사례:

• 컴플라이언스 감사 (SOC 2, HIPAA, PCI-DSS)
• 보안 포렌식 및 사고 조사
• 교육 및 지식 공유
• 문제 해결 및 디버깅

관련 문서:

• Websh 사용하기
• 세션 관리
• 데이터 보안

WebFTP

WebFTP는 브라우저 기반 파일 전송 기능을 제공합니다.

기능:

• 드래그 앤 드롭 업로드: 브라우저에서 직접 파일 업로드
• 디렉토리 탐색: 시각적으로 서버 파일시스템 탐색
• 파일 다운로드: 서버에서 파일 및 폴더 다운로드
• 권한 인식: 파일 시스템 권한 및 IAM 접근 수준 준수

접근 제어:

• 서버에 대한 전체 접근 권한 필요
• 사용자 역할 및 그룹에 따라 제한 가능
• 모든 파일 작업이 감사 추적에 기록됨

관련 문서:

• WebFTP 사용하기

Deploy Shell

Deploy Shell을 통해 서버에서 사전 정의된 배포 스크립트를 실행할 수 있습니다.

주요 기능:

• 원클릭 배포: 복잡한 배포 워크플로를 클릭 한 번으로 실행
• 스크립트 템플릿: 일반적인 배포 작업을 위한 사전 구성 스크립트
• 환경 변수: 배포 스크립트에 동적 값 전달
• 실행 로그: 배포 실행 및 출력의 전체 로그
• 롤백 지원: 이전 배포로 쉽게 롤백

사용 사례:

• 애플리케이션 배포
• 데이터베이스 마이그레이션
• 서비스 재시작
• 구성 업데이트
• 백업 작업

관련 문서:

• Deploy Shell 개요

인증 및 MFA

Alpacon은 엔터프라이즈급 보안을 제공하기 위해 Auth0 by Okta를 인증에 사용합니다.

인증 방법

기본 인증:

• 이메일 및 비밀번호: 강력한 비밀번호 요구사항을 갖춘 기존 로그인
• Google 로그인: Google 계정으로 더 빠른 인증
• SSO (Enterprise): 조직의 identity provider와 SAML 2.0 및 OAuth 2.0 통합

다중 인증 (MFA)

지원되는 MFA 방법 (보안 수준 순):

1. 하드웨어 보안 키: YubiKey, Titan Key (FIDO2/WebAuthn)
2. 생체 인증: TouchID, FaceID, Windows Hello
3. TOTP 앱: Google Authenticator, Authy, 1Password
4. 이메일 기반 OTP: 이메일을 통한 일회용 코드
5. SMS 기반 OTP: SMS를 통한 일회용 코드 (백업 전용)
6. 복구 코드: 긴급 접근을 위한 일회용 백업 코드

MFA 시행:

• 워크스페이스 슈퍼유저는 모든 사용자에게 MFA를 요구할 수 있음
• 하드웨어 기반 방법만 사용하도록 제한 가능 (하드웨어 키 또는 생체 인증)
• 권한이 필요한 작업에 대한 단계별 인증 (Enterprise 플랜)

관련 문서:

• 인증 및 접근 제어
• 보안 FAQ

API 및 CLI

Alpacon은 프로그래밍 방식 접근을 위해 API와 CLI를 모두 제공합니다.

Personal Access Token (PAT)

PAT를 통해 API 및 CLI 접근이 가능합니다:

• 범위 지정 권한: 읽기 전용, 쓰기 또는 관리자 접근
• 만료 날짜: 30일, 90일, 1년 또는 만료 없음
• 취소 가능: 언제든지 취소 가능
• 감사 추적: PAT 식별자와 함께 모든 API 호출 기록

Service accounts (서비스 계정)

서비스 계정 (Essentials 플랜 이상)은 자동화를 위한 전용 계정입니다:

• 개별 사용자와 연결되지 않음
• 특정 권한 범위
• 서비스 계정 작업에 대한 감사 추적
• CI/CD 파이프라인 및 통합에 이상적

관련 문서:

• API 레퍼런스
• CLI 레퍼런스

감사 로그

감사 로그는 워크스페이스의 모든 활동에 대한 완전한 추적을 제공합니다.

기록되는 이벤트:

• 인증: 로그인/로그아웃, MFA 검증, 비밀번호 변경
• 권한 부여: 권한 변경, 역할 할당, 접근 거부
• 리소스 접근: 서버 연결, 터미널 세션, 파일 작업
• 구성: 워크스페이스 설정, 보안 정책 변경

로그 보관 기간:

• 기본: 90일
• Enterprise: 최대 5년
• 불변: 로그는 변조 방지되어 수정할 수 없음

사용 사례:

• 보안 모니터링 및 위협 탐지
• 컴플라이언스 감사 (SOC 2, HIPAA, PCI-DSS)
• 포렌식 조사
• 사용자 활동 추적

관련 문서:

• 감사 로깅
• 감사 로그 조회

다음 단계

핵심 개념을 이해했다면 다음 가이드를 살펴보세요:

• 빠른 시작 가이드 - 5분 만에 Alpacon 시작하기
• 보안 개요 - Alpacon의 보안 아키텍처 이해하기
• 인프라 구성 - Alpacon 사용을 위해 인프라 구성하기
• IAM 설정 - 사용자 접근 및 권한 구성하기