Bastion Host를 이용한 내부망(Private 서브넷) 인스턴스 접속

ZER0·2022년 9월 20일
1

AWS 보안 설정 가이드

목록 보기
17/47
post-custom-banner

1. 관련 법령


2. 개요

  • 인터넷 구간에서 내부망(프라이빗 서브넷)에 위치한 인스턴스로 직접 접근을 방지하기 위해, 퍼블릭 서브넷에 Bastion Host를 구축하고 이를 경유하여 내부망 인스턴스에 접속 필요

3. 취약점 판단 기준

  • 내부망에 구성된 인스턴스에 접속 시 Bastion Host를 경유하지 않고 직접 접속하는 경우 취약
  • 내부망에 구성된 인스턴스에 접속 시 Bastion Host를 경유하여 접속하는 경우 취약하지 않음

4. 취약점 확인 방법

  • EC2 서비스에서 [인스턴스] 클릭
  • Prod VPC ID로 필터링 Bastion Host 구성 여부 확인

5. 취약점 조치 방법

  • 퍼블릭 서브넷에 Bastion Host 인스턴스 생성
  • Bastion Host의 SecurityGroup 인바운드 규칙에 담당자의 IP에서만 SSH 접근을 허용하는 정책 추가
  • 프라이빗 서브넷에 위치한 인스턴스의 SecurityGroup 인바운드 규칙에 Bastion Host의 SecurityGroup에서만 SSH 접근을 허용하는 정책 추가
  • Bastion Host로 접속 후 담당자의 pem 파일 복사
  • pem 파일 권한 변경
    • chmod 0400 [pem_파일]
  • ssh [프라이빗인스턴스계정]@[프라이빗인스턴스사설IP] -i [pem_파일] 명령으로 프라이빗 서브넷의 인스턴스 접속
profile
Security Compliance Engineer
post-custom-banner

0개의 댓글