AWS Bastion Host
- Bastion은 뒤에 있는 보호해야할 무언가를 지키기 위한 요새의 구조물을 의미한다.
- Bastion Host를 이용하여 개인 서브넷 내의 인스턴스에 안전하게 접근할 수 있다.
- Public 서브넷에서 시작된 Bastion 호스트는 인터넷에서 기본 액세스 지점으로 작동하며 다른 인스턴스에 대한 프록시 역할을 한다.
Key Points
- Bastion 호스트는 공용 서브넷에 배포되며 사용자와 인스턴스 간의 프록시 또는 게이트웨이 역할을 한다.
- Bastion 호스트는 인프라에 대한 공격을 줄이는 데 도움이 되는 보안 수단이므로 단일 계층 강화에 집중해야 한다.
- Bastion 호스트를 사용하면 개인 키를 Bastion 호스트에 저장하지 않고도 개인 서브넷의 인스턴스에 안전하게 로그인할 수 있다.(SSH-Agent Relay 또는 RDP Gateway 사용)
- Basion 호스트 보안을 더 강화하여 특정 신뢰할 수 있는 IP 또는 기업 IP 범위에서 SSH/RDP 접근을 허용할 수 있다.
- AWS 인프라용 Bastion 호스트는 불필요한 보안 구멍이 발생할 수 있으므로 다른 용도로 사용해서는 안된다.
- 개인 서브넷의 모든 인스턴스에 대한 보안은 Bastion 호스트에서만 SSH/RDP 연결을 허용하도록 강화되어야 한다.
- 각 HA 가용성 영역 내에 Bastion 호스트를 배포한다. Bastion 인스턴스 또는 Bastion 서버를 호스팅하는 AZ(가용영역)가 중단되면 개인 인스턴스에 대한 연결 기능이 완전히 손실된다.
반응형
'Security > Cloud Computing' 카테고리의 다른 글
| [AWS SAA-C03] AWS CloudFront 정리 1 (0) | 2023.02.11 |
|---|---|
| [AWS SAA-C03] AWS 데이터 전송 서비스 정리 (0) | 2023.02.04 |
| [AWS] Solutions Architect – Associate SAA-C03 (VPC) (0) | 2023.01.14 |
| [AWS] IAM 취약점, 권한 평가 도구 분석 (0) | 2021.10.03 |
| [AWS] 특정 IAM 사용자에게 EC2에 권한 부여하기 (0) | 2021.08.19 |