[AWS] Bastion Host의 개념
✔︎ Bastion Host 란?
Bastion Host란 침입 차단 소프트웨어가 설치되어 내부, 외부 네트워크 사이에서 일종의 방화벽, 게이트 역할을 수행하는 호스트를 뜻한다.
Bastion Host는 접근 제어와 응용 시스템, 게이트웨이로서 가상 서버(proxy sever)의 설치, 인증, 로그 등을 담당한다.
내부 네트워크 전면에서 내부 네트워크 전체의 보안을 책임지기 때문에 보안 침해자의 공격 목표가 되기 쉽다.
따라서 일반 사용자의 계정을 만들지 않고 해킹의 대상이 될 만한 어떠한 조건도 두지 않는 가장 완벽한 시스템으로서 운영되어야 한다.
✔︎ Bastion Host key 인증 방법
기본적으로 Bastion Host와 Private 인스턴스는 SSH 접근 인증에 개인키를 사용한다.
Bastion Host에서 다른 인스턴스로 연결하는 경우에도 개인키를 필요로 하는데 여기에는 크게 2가지 방법이 있다.
1. Bastion Host에 사용자 Local PC의 개인키를 복사하는 것
2. Bastion Host에서 SSH agent forwarding(ssh-agent 전달)을 사용하는 것
1. 방법은 Bastion Host에 문제가 생길 경우 모든 사용자의 개인키가 손상될 가능성이 있기 때문에 추천하지 않는다.
대신 SSH agent forwarding을 사용하는 것을 추천하며 추가로 Bastion Host의 보안에 각별히 신경써야 하기 때문에 불필요한 패키지들은 모조리 삭제하는 것이 좋다.
✔︎ Bastion Host의 장/단점
장점
- 단일 로그인 포인트를 설정하고 관리하기 때문에 방화벽 설계를 단순화 할 수 있다.
- 네트워크 사용에 관련한 로그를 한 곳에서 관리할 수 있다.
- 중, 소규모의 팀에서 매우 유용하게 사용할 수 있다.
단점
- 이 방법은 오직 SSH 프로토콜만을 이용하기 때문에 HTTP와 같은 어플리케이션 서비스에 사용할 수 없다.
추가적으로 Bastion Host 외에도 방화벽 보안 시스템의 구성 형태로는 스크린드 호스트(Screened Host), 듀얼 홈드 호스트(Dual Homed Host), 스크린드 서브넷(Screend Subnet), 멀티 홈드 호스트(Multi Homed Host)등이 있다.
참고