[Cloud Computing] Bastion Server?

Bastion Host?

  보안 접근을 제어하기 위해 사용되는 중간 단계 호스트이다. 일반적으로 클라우드 환경에서는 인터넷을 통해 직접적인 접근을 허용하지 않고, 보안을 강화하기 위해 네트워크의 외부에서 내부 리소스에 접근하는 데에는 추가적인 계층이 필요하다. Bastion은 이러한 보안 계층의 한 예시이다.

AWS Bastion Host

  Bastion 호스트는 인터넷에 직접 노출되는 공용 IP 주소를 가지고 있으며, 사용자는 bastion을 통해 내부 네트워크에 접근할 수 있다. 일반적으로 SSH (Secure Shell)를 통해 bastion에 로그인한 다음, bastion을 통해 내부 리소스로 접근할 수 있다.

  Bastion을 운영하는 방식은 다음과 같은 단계로 이루어진다:

1. Bastion 인스턴스 생성: 클라우드 제공업체의 인스턴스 생성 기능을 사용하여 bastion 인스턴스를 생성한다. 보안을 강화하기 위해 최신 보안 업데이트와 패치가 적용된 운영 체제를 사용하는 것이 좋다.

2. 보안 그룹 설정: bastion 인스턴스에는 보안 그룹을 설정하여 액세스를 제어한다. 인터넷에서의 액세스는 필요한 최소한으로 제한되어야 하며, SSH 포트 등 필요한 포트만 허용해야 한다.

3. SSH 키 관리: bastion 인스턴스에 접속하기 위해 사용되는 SSH 키를 관리한다. 사용자는 개인적으로 생성한 SSH 키를 bastion에 등록한다.

4. 내부 리소스 액세스: bastion 인스턴스에 SSH로 로그인한 후, 내부 리소스에 대한 액세스를 위해 추가적인 SSH 터널링이나 VPN 연결을 설정할 수 있다. bastion 인스턴스를 제외한 외부 대역에서의 인바운드를 제한한다. 이를 통해 bastion을 경유하여 내부 서버나 데이터베이스 등에 접근할 수 있다.

  Bastion은 보안을 강화하고 외부 공격자로부터 내부 리소스를 보호하는 데에 도움을 준다. 또한, 외부에서 내부 리소스에 직접적인 접근을 허용하지 않기 때문에, 접근 권한을 통제하여 보안을 강화할 수 있다.

 

장단점?

Bastion 운영 방식은 보안을 강화하고 클라우드 환경에서의 접근을 통제하는 데에 일부 도움을 주지만. 언제나 새로운 인스턴스 추가를 통한 운영방식은 장단점을 가지고 있다.

장점

보안 강화: Bastion은 외부에서 내부 리소스에 직접적인 접근을 허용하지 않고, 중간 호스트로서 보안을 제공한다. 인터넷을 통해 직접적인 접근을 차단함으로써 내부 리소스에 대한 보안을 강화할 수 있다.

접근 통제: Bastion을 통해 내부 리소스에 접근하는 사용자를 제한함으로써 접근 권한을 통제할 수 있다. 사용자는 bastion에 로그인한 후에만 내부 리소스에 접근할 수 있기 때문에, 보안을 강화할 수 있다.

로그 및 감사 추적: Bastion은 외부 접속의 진입점이므로, 접속 로그를 기록하고 감사 추적을 수행할 수 있다. 이를 통해 보안 이슈를 모니터링하고 이벤트를 추적하는 데에 도움이 된다.

단점

단일 장애점(Single Point of Failure): Bastion은 보안을 강화하기 위해 중간 단계로 사용되기 때문에, bastion 자체의 장애로 인해 내부 리소스에 접근할 수 없게 될 수 있다. bastion host가 다운되는 순간 내부에 있는 모든 자원에 접근할 수 없게 된다. 따라서, bastion 인스턴스의 가용성과 안정성을 유지하는 것이 중요히다.

추가적인 리소스 및 관리 필요: Bastion 인스턴스는 추가적인 리소스를 요구하며, 이를 관리해야 한다. 인스턴스의 보안 패치, 업그레이드, 로그 관리 등을 주기적으로 수행해야 하므로, 이에 대한 추가적인 관리 비용과 작업 부담이 발생할 수 있다.

대역폭 및 성능 제한: Bastion을 통해 내부 리소스에 접근하는 모든 트래픽은 bastion 인스턴스를 통과해야 하므로, 대역폭 및 성능 제한이 발생할 수 있다. 특히, 대규모 시스템에서 동시에 많은 사용자가 bastion을 사용할 경우 성능 저하가 발생할 수 있다.

 

AWS 환경에 적용해보기

AWS 환경에서 bastion 운영 방식을 구축하려면 다음과 같은 단계를 따를 수 있다:

1. VPC(Virtual Private Cloud) 생성: Amazon Virtual Private Cloud (VPC)를 생성한다. VPC는 가상 네트워크를 제공하며, 서브넷, 라우팅 테이블 등을 포함한 네트워크 구성 요소를 관리할 수 있다.

2. Bastion 인스턴스 생성: EC2 (Elastic Compute Cloud)를 사용하여 bastion 호스트를 생성한다. 이를 위해 다음 단계를 수행한다.

         a. EC2 콘솔 또는 AWS CLI를 사용하여 bastion 인스턴스를 생성한다.

         b. 인스턴스 유형, AMI(Amazon Machine Image), 보안 그룹 및 키 페어 등을 구성한다. 보안 그룹은 SSH 포트 및 필요한 포트만 허용하도록 설정해야 한다.

        c. 인스턴스를 VPC의 퍼블릭 서브넷에 배치한다. 이렇게 하면 인터넷에서 bastion 인스턴스에 직접 액세스할 수 있다.

3. SSH 키 관리: bastion 인스턴스에 액세스하기 위해 SSH 키를 생성하고 관리해야 한다. 필요한 경우 AWS에서 제공하는 Key Pair 서비스를 사용하여 키 페어를 생성하거나, 기존의 키 페어를 사용할 수 있다.

4. 보안 그룹 설정: bastion 인스턴스에 대한 보안 그룹을 구성해야 한다. 인터넷을 통한 액세스를 제한하고 필요한 포트만 허용하는 것이 중요하다.

5. 내부 리소스 액세스: bastion을 통해 내부 리소스에 액세스하기 위해 SSH 터널링이나 VPN 연결을 설정해야 한다. 이를 통해 bastion 인스턴스를 경유하여 내부 서버나 데이터베이스 등에 접근할 수 있다.

* 서비스의 운영 방식, 형태에 따라 자유롭게 인스턴스를 구성할 수 있다.