이전 Azure 관련 글
Azure 시작하기 - IT관리자 생성
Azure Resource Group 생성
Azure Policy 등록
Azure lock - 리소스 변경 방지
Azure Virtual Machine
Azure Virtual Network
📌Azure Bastion 이란?
Azure Bastion은 Azure Virtual Network(VNet) 내의 가상 머신(VM)에 안전하게 접근할 수 있도록 도와주는 PaaS (Platform as a Service) 서비스입니다. Bastion을 사용하면, 가상 머신에 공용 IP 주소 없이도 웹 브라우저를 통해 직접 접속할 수 있으며, 이를 통해 보안 위협을 줄이고 네트워크의 안전성을 높일 수 있습니다.
📌Azure Bastion의 주요 특징
안전한 VM 접근
RDP(원격 데스크톱 프로토콜) 또는 SSH(Secure Shell)를 통해 가상 머신에 접속할 수 있으며, 브라우저 기반으로 접근할 수 있어 별도의 RDP나 SSH 클라이언트를 설치할 필요가 없습니다.
가상 머신에 공용 IP 주소를 할당하지 않기 때문에 외부 공격에 대한 노출이 줄어들어 보안이 강화됩니다.
보안 강화
Azure Bastion은 TLS를 사용하여 모든 접속을 암호화합니다.
네트워크 보안 그룹(NSG) 규칙을 간편하게 구성하여, Azure Bastion 호스트를 통한 트래픽만 허용할 수 있습니다. 이를 통해 RDP/SSH 접근을 위해 사용하던 공용 포트(3389, 22)를 열 필요가 없어 네트워크 공격 표면이 크게 줄어듭니다.
관리 편의성
별도의 VPN 설정이나 점프 서버(jump server)를 구성할 필요 없이 Azure 포털에서 쉽게 설정하고 사용할 수 있습니다.
Azure Bastion은 Azure Virtual Network 내에서 완전히 관리되므로, 복잡한 설정 없이 빠르게 배포 및 관리할 수 있습니다.
클라이언트 없이 접근 가능
RDP와 SSH를 위해 별도의 클라이언트 프로그램을 설치할 필요 없이, Azure 포털을 통해 브라우저로 가상 머신에 연결할 수 있습니다.
다중 플랫폼 지원
Windows 가상 머신의 경우 RDP로, Linux 가상 머신의 경우 SSH를 통해 접근할 수 있습니다.
📌Azure Bastion 사용 예시
보안이 중요한 환경
외부로부터 가상 머신에 직접 접근할 수 없게 하여, 공용 IP 없이 네트워크 내부에서만 접근이 가능한 환경을 구축하려는 경우.
금융 서비스, 정부 기관, 의료 서비스와 같이 민감한 데이터를 다루는 애플리케이션의 서버 관리에 Bastion을 사용하면 외부 공격에 대한 노출을 최소화할 수 있습니다.
클라우드 네이티브 애플리케이션 관리
DevOps 환경에서 Azure 포털을 통해 손쉽게 가상 머신에 접속하고 관리할 수 있습니다.
개발자와 운영 팀이 네트워크 설정을 간단하게 유지하면서 VM에 대한 안전한 접근을 할 수 있습니다.
VPN 설정 없이 안전한 접근
외부에서 VPN을 통해 연결하지 않고도, Azure VNet 내부에 있는 VM에 안전하게 접속이 가능합니다. 이를 통해 별도의 VPN 설정 및 관리 부담을 덜 수 있습니다.
📌Azure Bastion 구성 고려 사항
비용
Bastion은 시간당 요금이 발생하며, 사용 중인 Azure Virtual Network에 대해 트래픽 사용량에 따라 추가 비용이 발생할 수 있습니다. 배포 시 Bastion 호스트의 리소스에 대한 요금이 청구됩니다.
네트워크 보안 그룹(NSG)
가상 머신이 속한 서브넷에 대한 네트워크 보안 그룹 규칙을 Bastion에 맞게 설정해야 합니다. 이를 통해 Bastion을 통한 RDP/SSH 접근만 허용하고 다른 포트에 대한 접근은 차단할 수 있습니다.
지원되는 브라우저
Bastion은 웹 브라우저 기반으로 동작하므로, 최신 버전의 Chrome, Edge 등 주요 브라우저를 지원합니다. 브라우저 호환성도 고려해야 합니다.
📌Azure Bastion의 장점
공용 IP가 필요 없음
VM에 공용 IP를 할당하지 않고도 원격으로 접속할 수 있어, 외부 공격으로부터 안전합니다.
TLS 기반 보안
접속이 암호화되며, 보안 수준이 높습니다.
관리 편의성
복잡한 네트워크 설정이나 유지보수가 필요 없이 간편하게 설정하고 사용할 수 있습니다.
멀티 플랫폼 지원
Windows와 Linux 모두 지원하여 다양한 가상 머신 환경에서 사용 가능합니다.
📌기존 방식과 비교
| 항목 | Azure Bastion | 기존 방식 (Public IP, VPN 등) |
|---|---|---|
| 접속 방식 | 브라우저를 통한 RDP/SSH | RDP 클라이언트 또는 VPN 필요 |
| 보안성 | 공용 IP 불필요, 암호화된 연결 | 공용 IP 또는 VPN 필요, 포트 개방 필요 |
| 설치 및 유지 보수 | Azure에서 관리 (PaaS), 관리가 용이 | 직접 관리 및 구성 필요 |
| 접속 클라이언트 | 브라우저 기반, 클라이언트 불필요 | RDP, SSH 클라이언트 필요 |
📌Azure Bastion 접속
Virtual Macines > dVML (이전에 만든 VM) > Connect > Connect via Bastion 을 선택합니다.
Bastion을 최초 접속시에는 Deploy Bastion을 해줘야 합니다. 버튼 클릭.
Deploy 가 완료되면 아래와 같이 입력 후 Connect 를 클릭합니다.
팝업을 허용하면 브라우저 새 창이 열리면서 VM에 작성한 계정으로 접속된 것을 확인하실 수 있습니다.
📌마무리
Azure Bastion은 공용 IP를 사용하지 않고도 안전하게 Azure VM에 접근할 수 있도록 돕는 강력한 보안 솔루션입니다. 특히 민감한 데이터를 다루는 환경에서 외부 접근을 최소화하고, 보안성을 극대화하려는 경우에 매우 유용합니다. RDP와 SSH에 대한 포트 개방 없이 가상 머신을 관리하고 싶을 때, Azure Bastion은 이상적인 선택입니다.
