Bastion Host의 기본 정보

Bastion Host란 외부의 공격을 방어하기 위한 특수 목적을 가진 네트워크 상의 컴퓨터.

• 대부분 1가지의 역할만 담당함 (ex. 프록시, 로드밸런싱 등) → 안전성 ⬆️
• 방화벽 바깥이나 DMZ에 위치하여 신뢰도 낮고 위험한 접근들을 받게 됨
• 고대역 공격(high-bandwidth attacks; 디도스 같은 것일까욥?)을 견뎌내기 위한 네트워크 인터페이스도 장착

➡️ 아무튼!!
외부의 공격으로부터 보호받지 못하는 위치에 있고,
이를 견뎌내고 방어하기 위한 인터페이스/소프트웨어들이 장착되어
칩입을 최소화시키는 특수한 목적을 수행하는 컴퓨터/서버.

💡 DMZ = 여러개의 방화벽이 있는 경우 그 사이의 공간

What is a Bastion Host?

Bastion [ ˈbæstiən ]
명사
1. (생활 방식·주의 등의) 수호자
2. 보루, 요새

Bastion Host에 대한 aws의 정의

: 외부 네트워크(예. 인터넷)에서 개인 네트워크로의 접근을 도와주는 서버 → 애매모호...

더 자세한 정의

: 호스트에 접근할 때 원치않는 접근들을 걸러내기 위한 게이트 역할을 하는 서버. Public Subnet에 위치하여 접근들을 걸러냄.

• SSH Access 는 Bastion Host의 IP를 통해서만 허용됨
• 지켜야할 인스턴스들은 Private Subnet의 Security Group에 넣어둠

➡️ 유저들은 Bastion Host에 연결해야만 각 인스턴스에 접근 가능

우리의 Instances를 보호하고, security/authentication을 강화!

Bastion Host를 이용하면...

외부에서 공격을 받아 패스워드가 털려도 해당 패스워드로는 Bastion server에 접속될 뿐, 그 안의 서버에는 접근 못합니다.

실제 프로세스 (aws)

1. Bastion Host 만들기

   • Public Subnet에서 배스천 용도로 사용할 인스턴스 만들기
   • Security Group에서 SSH 연결만 허용

2. Private Instances들의 접근 권한 변경하기

   • private instance의 security group 세팅으로 가서
   • Inbound rules의 source를 우리의 bastion host security group으로 변경
   • 얘네는 Public IP가 없어야함! (bastion을 통해서만 접근)

---

출처
https://en.wikipedia.org/wiki/Bastion_host
https://www.youtube.com/watch?v=pNE9J81aYLc&t=25s
https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=pentamkt&logNo=221034903499