1. 관련 법령
2. 개요
- 인터넷 구간에서 내부망(프라이빗 서브넷)에 위치한 인스턴스로 직접 접근을 방지하기 위해, 퍼블릭 서브넷에 Bastion Host를 구축하고 이를 경유하여 내부망 인스턴스에 접속 필요
3. 취약점 판단 기준
- 내부망에 구성된 인스턴스에 접속 시 Bastion Host를 경유하지 않고 직접 접속하는 경우 취약
- 내부망에 구성된 인스턴스에 접속 시 Bastion Host를 경유하여 접속하는 경우 취약하지 않음
4. 취약점 확인 방법
- EC2 서비스에서 [인스턴스] 클릭
- Prod VPC ID로 필터링 → Bastion Host 구성 여부 확인
5. 취약점 조치 방법
- 퍼블릭 서브넷에 Bastion Host 인스턴스 생성
- Bastion Host의 SecurityGroup 인바운드 규칙에 담당자의 IP에서만 SSH 접근을 허용하는 정책 추가
- 프라이빗 서브넷에 위치한 인스턴스의 SecurityGroup 인바운드 규칙에 Bastion Host의 SecurityGroup에서만 SSH 접근을 허용하는 정책 추가
- Bastion Host로 접속 후 담당자의 pem 파일 복사
- pem 파일 권한 변경
chmod 0400 [pem_파일]
- ssh [프라이빗인스턴스계정]@[프라이빗인스턴스사설IP] -i [pem_파일] 명령으로 프라이빗 서브넷의 인스턴스 접속
Security Compliance Engineer