Bastion이란
Bastion이란 중세시대에 성 외곽을 보호하기 위해 돌출된 부분을 의미한다고 한다.
점프서버란
즉, Bastion Host란 적(악성유저)에 대한 보호를 하기위한 접근 제어 기능을 가진 방화벽 호스트라고 할 수 있다.
Bastion Host는 접근 제어 기능과 더불어 내부 네트워크에 접속할 수 있는 게이트 웨이로서 가상서버(proxy server)의 설치, 인증, 로그등을 담당한다.
목적이 리소스에 접속하기 위한 입구 역할을 하는 서버이다.
단순히 다른 리소스에 접근시 거쳐가는 역할 뿐이므로, 성능이 낮아도 되고, 특정 OS를 사용하지 않아도 된다.
private subnet에 위치한 리소스에 대한 접근을 위해, bastion host를 사용하기도 한다.
VPC안의 모든 리소스는 서로 접근이 가능하기 때문에, ssh로 private subnet 리소스에 대한 직접 접근은 불가능하다. 그러나, public subnet에 위치한 bastion host로 접속한 뒤, private subnet에 위치한 리소스로의 접근은 가능하다.
점프서버는 외부로부터 접근이 가능해야하므로 반드시 public subnet에 위치해야한다.
점프서버의 보안그룹 설정은 외부로부터 ssh 접근만을 허용한다.
장단점
아래의 장단점은 리소스에 대한 접근을 반드시 점프서버를 거쳐서하기 때문에 생겼다고 생각된다.
즉, 보안에 대해서 신경써야할 곳이 한 곳으로 몰리는 것이 관리를 하나만 하면 된다는 점에서는 장점으로 작용하지만, bastion host에 대한 보안이 털리면 다른 리소스에 대한 접근제한 또한 풀린다는 단점이 있다는 생각이 든다.
장점
- 네트워크 사용에 관한 로그를 한 곳에서 관리 할 수 있다.
- 점프 서버에서 내부 리소스의 접근이 시작되기에 방화벽 설계를 단순화 할 수 있다.
단점
- 내부 리소스에 대한 접근 제한을 담당하기에 정기적인 점검 및 감시가 뒷받침 되어야한다.
나는 점프서버를 어떻게 사용하였나...
private subnet에 RDS를 생성해, datagrip으로 해당 RDS에 대한 접근을 하기 위해서 점프서버를 사용하고 있다.
Ref
추가
- Session Manager
- 그렇다면 RDS 접근은 어떻게 할까?
