Bastion Host를 왜 ? 써야할까 ?
일반적으로 클라우드 서비스를 이용한 시스템 아키텍처를 보면 항상 등장하는 것이 Bastion Host이다.
Bastion Host는 이름에서도 알 수 있듯이 시스템의 맨 앞단에서 "요새"의 역할을 수행한다.
그렇다면 왜 ? Bastion Host를 써야할까 ?
간단하게 생각나는 이유가 있지만 스스로 왜 그런가에 대해 자세히 설명해보려고 하면 설명할 수 없었다.
이번 기회에 Bastion Host의 사용 이유에 대해 정리해보려고 한다.
외부 노출 최소화
Bastion Host는 일종의 "점프 서버"로 작동한다.
외부 네트워크(인터넷)와 내부 네트워크(사내 프라이빗 클라우드 or 기업 내부 네트워크)간의 단일 진입점을 제공한다.
이를 통해 모든 외부 트래픽은 먼저 Bastion Host를 거쳐야 한다.
이를 통해 얻는 이점은 무엇이 있을까 ?
이러한 구조는 내부 네트워크의 다른 시스템들을 직접적인 외부 접근으로부터 보호한다.
공격자가 내부 네트워크에 접근하려면 먼저 고도로 보안된 Bastion Host를 통과해야 하므로 보안 위험이 크게 줄어든다.
공인 IP 절약
모든 외부 연결이 Bastion Host를 통해 이뤄지므로, 내부 네트워크에 있는 다른 서버나 장치들은 공인 IP 주소를 가질 필요가 없다.
대신, 이들은 프라이빗 IP 주소를 사용할 수 있으며, Bastion Host 공인 IP 주소를 사용해 외부와의 통신을 중개한다.
이를 통해 얻는 이점은 무엇일까 ?
공인 IP 주소는 유한한 자원이며, 때로는 비용이 발생할 수도 있다.
Bastion Host를 사용함으로써 기업은 공인 IP 주소를 절약할 수 있으며, IP 주소 관리가 더 간단해질 수 있다.
접근 로그 수집
Bastion Host는 모든 외부에서 접근 시도와 내부 네트워크로의 통신을 중개하므로, 이 서버에서 모든 접근 로그를 수집하고 분석할 수 있다.
이를 통해 얻는 이점은 무엇일까 ?
이러한 로그 데이터는 보안 사고 대응, 감사 및 모니터링에 매우 중요하다.
보안팀은 로그를 분석하여 의심스러운 활동을 강화하고, 자원을 효율적으로 관리하며, 보안 관련 데이터를 수집하는데 중요한 역할을 한다.
이런 이점 때문에 Bastion Host를 네트워크의 주요 보안 구성 요소로 활용한다.
정리
이 글에서 Bastion Host를 이용하는 주요 이유 세가지에 대해 정리해보았다.
외부 노출 최소화라는 이점은 기존에 알고있던 내용이지만 나머지 두개의 이점에 대해서는 제대로 생각해보지 않았다.
실제로 2024년부터 AWS에서 공인 IP에 대한 요금 부과를 시작하겠다고 선언했다.
AWS에서 퍼블릭(Public) IPv4 주소에 대한 새로운 요금이 도입됩니다. 2024년 2월 1일부터 서비스 연결 여부에 관계없이 모든 퍼블릭 IPv4 주소에 대해 시간당 IP당 0.005 USD의 요금이 부과됩니다.
https://aws.amazon.com/ko/blogs/korea/new-aws-public-ipv4-address-charge-public-ip-insights/
따라서, 공인 IP 절약에 대한 이점도 충분히 납득 가능하고 인프라 운영자의 입장에서 접근 로그를 단일점을 통해 관리할 수 있다는 것도 충분히 이점이 될 수 있을 것 같다.