배스천 호스트(Bastion Host)란 침입 차단 소프트웨어가 설치되어 내부와 외부 네트워크 사이에서 일종의 게이트 역할을 수행하는 호스트
배스천 호스트는 내부 네트웍과 외부 네트웍 사이에 위치하는 게이트웨이이다. 보안대책의 일환으로 사용되는 배스천 호스트는, 내부 네트웍을 겨냥한 공격에 대해 방어하도록 설계되었다. 네트웍의 복잡도와 구성에 따라 다르지만, 단일 배스천 호스트 그 자체로서 방어를 할 수도 있으며, 또는 다른 방호 계층과 함께 대형 보안 시스템의 일부가 되기도 한다. 배스천 호스트는 접근 제어 기능과 더불어 게이트웨이로서 가상 서버(Proxy Server)의 설치, 인증, 로그 등을 담당한다. 그만큼 위험에 노출되는 경우가 많기 때문에, 배스천 호스트는 네트워크 보안상 가장 중요한 방화벽 호스트이다. 특히 내부 네트워크 전체의 보안을 담당하기 때문에 관리자의 감시 및 정기적인 점검이 뒷받침되어야 한다. IT 보안 기업에서 제공하는 방화벽 솔루션은 이러한 배스천 호스트를 제공하는 것이 대부분이다.
많은 가게에서 이용하는 Point of Sale(POS) 시스템 운영을 예시로, 만약 배스천 호스트가 없는 경우 외부 네트워크에서 공격을 받아 패스워드가 탈취 당한다면 내부 네트워크인 POS Server에 접근이 가능해진다. 반면 배스천 호스트를 운영하고 있다면 외부 네트워크의 패스워드가 탈취 당하더라도 POS Server까지는 접근할 수 없다.
배스천 호스트 생성 AWS setting
VPC
서브넷 생성 (public 2개, private 2개)
라우팅 테이블 생성 (public 1개, private 2개)
인터넷 게이트웨이 생성
보안그룹
public 인바운드 규칙 생성
private 인바운드 규칙 생성(ssh > bastion private ip 지정)
인스턴스
bastion 서버 생성(EIP 활성화)
private 서버 생성
public EC2(bastion) 접속 후 private EC2 접속
키페어 bastion 서버 복사 (scp [키페어][계정]@[ip]:[복사할경로])
ssh 키페어 [계정]@private ip 접속
Bastion Host Best Practice
기본적으로, Bastion Host와 Private 인스턴스는 SSH 접근 인증에 개인 키를 사용한다.
Bastion Host 에서 다른 인스턴스로 연결하는 경우에도 개인 키를 필요로 하는데, 여기에는 크게 2 가지 방법이 있다.
Bastion Host에 사용자 Local PC의 개인키를 복사하는 것
Bastion Host에서 SSH agent forwarding 을 사용하는 것
Advantages & Disadvantages of Bastion Host
장점
단일 로그인 포인트를 설정하고 관리하기 때문에 방화벽 설계를 단순화 할 수 있다.
네트워크 사용에 관련한 로그를 한 곳에서 관리할 수 있다.
중소규모의 팀에서 매우 유용하게 사용할 수 있다.
단점
이 방법은 오직 SSH 프로토콜만을 이용하기 때문에 HTTP와 같은 어플리케이션 서비스에 사용할 수 없다.
