[AWS SCS] Bastion Host

AWS 배스천 호스트 (Bastion Host)란?

AWS 환경에서 프라이빗 서브넷에 배치된 EC2 인스턴스는 인터넷에서 직접 접근할 수 없습니다. 이러한 제한은 보안 강화를 위해 유리하지만, 관리자가 이 인스턴스에 접속해야 하는 경우에는 제약이 될 수 있습니다. 이를 해결하기 위해 배스천 호스트를 사용합니다.

---

배스천 호스트의 개념 및 역할

배스천 호스트는 퍼블릭 서브넷에 위치한 EC2 인스턴스로, 퍼블릭 인터넷과 프라이빗 서브넷의 EC2 인스턴스 간에 안전한 브릿지 역할을 합니다.

배스천 호스트의 주요 특징:

1. 퍼블릭 서브넷에 배치: 인터넷에서 접근 가능하도록 퍼블릭 IP를 가집니다.
2. 프라이빗 서브넷 인스턴스 접근: 프라이빗 서브넷의 EC2 인스턴스와 통신이 가능하며, 이를 통해 간접적으로 접근할 수 있습니다.
3. 보안 강화: 배스천 호스트를 통해 프라이빗 서브넷 인스턴스의 직접 노출을 방지합니다.

---

배스천 호스트를 활용한 SSH 연결

배스천 호스트를 사용하는 과정은 다음과 같습니다:

1. 사용자는 자신의 로컬 컴퓨터에서 배스천 호스트로 SSH를 통해 접속합니다.
2. 배스천 호스트에 접속한 후, 다시 SSH를 이용해 프라이빗 서브넷의 EC2 인스턴스에 연결합니다.
3. 이 과정은 다수의 EC2 인스턴스에도 적용될 수 있어, 프라이빗 네트워크 전체에 걸친 보안 접속이 가능합니다.

---

보안 그룹 설정

AWS에서 배스천 호스트와 프라이빗 서브넷의 EC2 인스턴스는 각각 고유한 보안 그룹(Security Group) 규칙을 적용받습니다. 이를 올바르게 설정해야 보안이 유지됩니다.

1. 배스천 호스트 보안 그룹

• 인터넷 접근 허용: 퍼블릭 IP를 통해 인터넷에서 SSH 접근이 가능해야 합니다.
• IP 제한: 특정 IP(CIDR)만 접근을 허용해 보안을 강화합니다. 예를 들어, 회사 네트워크의 퍼블릭 IP만 허용하는 방식입니다.
• 주의점: 배스천 호스트가 악의적인 접근에 노출되면 전체 네트워크에 위협이 될 수 있으므로 신뢰할 수 있는 IP만 허용해야 합니다.

2. 프라이빗 서브넷 EC2 인스턴스 보안 그룹

• SSH 접근 제한: 배스천 호스트의 프라이빗 IP 또는 보안 그룹만 SSH 접근이 가능하도록 설정합니다.
• 포트 22 허용: SSH 트래픽이 허용되도록 설정합니다.

---

배스천 호스트를 사용할 때의 이점

1. 보안 강화: 프라이빗 서브넷의 EC2 인스턴스를 직접 노출하지 않아 보안 위협을 최소화합니다.
2. 효율성: 하나의 배스천 호스트를 통해 다수의 프라이빗 서브넷 리소스에 접근 가능합니다.
3. 유연성: 필요에 따라 IP 제한을 조정하거나, 추가적인 인증 방법을 적용할 수 있습니다.

---

구현 아키텍처 예시

1. 퍼블릭 서브넷에 배스천 호스트 배치.
2. 사용자는 인터넷에서 배스천 호스트로 SSH 접속.
3. 배스천 호스트에서 프라이빗 서브넷의 EC2 인스턴스에 SSH 접속.
4. 모든 보안 그룹 설정은 최소 권한 원칙(Least Privilege)에 따라 구성.

---

마무리

배스천 호스트는 AWS 환경에서 프라이빗 서브넷 리소스의 보안 접속을 보장하는 중요한 역할을 합니다. 하지만, 이를 안전하게 운영하려면 적절한 보안 그룹 설정과 네트워크 제한을 통해 보안을 강화해야 합니다.