Bastion Host(배스천 호스트) 란?

 

출처: https://harris91.vercel.app/bastion-host

Bastion Host(배스천 호스트)란?

Bastion Host란, 외부에서 내부 네트워크에 접근할 수 있는 유일한 방법인 접근점이다. 보안성이 높은 인프라와 외부 인터넷을 연결하는 중계 서버로 작동하며, 모든 인바운드 트래픽은 Bastion Host를 통과해야 내부 네트워크로 들어갈 수 있다.

 

Bastion Host는 다음과 같은 기능을 수행한다.

• 인터넷과 내부 네트워크 간의 보안 경계 역할

• 인바운드 트래픽의 제어와 모니터링

• SSH 또는 RDP와 같은 안전한 원격 접속을 제공한다.

 

Bastion Host는 보안 강화를 위해 일반적으로 다음과 같은 보안 조치를 취한다.

• 다단계 인증(MFA) 구현

• IP 주소 기반 액세스 제어

• 로그 및 감사 추적

 

Bastion Host는 클라우드 인프라에서 매우 일반적으로 사용되며, AWS에서는 Amazon EC2 인스턴스를 사용하여 Bastion Host를 구현할 수 있다.

 

Bastion Host 사용 예시

Bastion Host는 다른 서버에 대한 원격 접근 제한을 통해 보안성을 유지하는 데 도움이 된다. 다음은 Bastion Host의 일반적인 사용 예시이다.

 

데이터베이스 서버 접속

데이터베이스 서버는 일반적으로 내부 네트워크에서 실행된다. 외부에서 데이터베이스 서버에 접근하기 위해서는 Bastion Host를 통해 접근해야 한다. 이를 통해 데이터베이스 서버에 대한 직접적인 외부 접근을 방지할 수 있다.

 

웹 서버 관리

웹 서버는 일반적으로 인터넷에 노출되어 있다. 따라서 웹 서버에 대한 원격 접속은 보안에 매우 취약하다. 이를 방지하기 위해 Bastion Host를 통해 웹 서버에 접근하며, Bastion Host를 통해 웹 서버에 대한 접근을 제한할 수 있다.

 

클라우드 인프라 관리

클라우드 인프라는 대개 인터넷에서 직접 관리된다. 이 경우, Bastion Host를 사용하여 클라우드 인프라에 대한 안전한 원격 접속을 제공할 수 있다.

 

마무리

Bastion Host는 외부 인터넷과 내부 네트워크 간의 보안 경계 역할을 수행한다. 이를 통해 내부 네트워크에서 실행되는 서버에 대한 보안성을 유지할 수 있다. Bastion Host는 일반적으로 다단계 인증, IP 주소 기반 액세스 제어, 로그 및 감사 추적과 같은 보안 조치를 취하여 보안성을 강화한다.

 

이전에 프로젝트 진행하면서 경험해봤던 Bastion Host를 직접 구축도 해봐야겠다.

 

참고

• Bastion host

• Connect to Linux VMs using a bastion host

• Linux Bastion Hosts on AWS

 

 

출처: https://velog.io/@makeitcloud/%EB%9E%80-Bastion-host-%EB%9E%80

배스천 호스트(Bastion Host)란 침입 차단 소프트웨어가 설치되어 내부와 외부 네트워크 사이에서 일종의 게이트 역할을 수행하는 호스트

배스천 호스트는 내부 네트웍과 외부 네트웍 사이에 위치하는 게이트웨이이다. 보안대책의 일환으로 사용되는 배스천 호스트는, 내부 네트웍을 겨냥한 공격에 대해 방어하도록 설계되었다. 네트웍의 복잡도와 구성에 따라 다르지만, 단일 배스천 호스트 그 자체로서 방어를 할 수도 있으며, 또는 다른 방호 계층과 함께 대형 보안 시스템의 일부가 되기도 한다. 배스천 호스트는 접근 제어 기능과 더불어 게이트웨이로서 가상 서버(Proxy Server)의 설치, 인증, 로그 등을 담당한다. 그만큼 위험에 노출되는 경우가 많기 때문에, 배스천 호스트는 네트워크 보안상 가장 중요한 방화벽 호스트이다. 특히 내부 네트워크 전체의 보안을 담당하기 때문에 관리자의 감시 및 정기적인 점검이 뒷받침되어야 한다. IT 보안 기업에서 제공하는 방화벽 솔루션은 이러한 배스천 호스트를 제공하는 것이 대부분이다.

많은 가게에서 이용하는 Point of Sale(POS) 시스템 운영을 예시로, 만약 배스천 호스트가 없는 경우 외부 네트워크에서 공격을 받아 패스워드가 탈취 당한다면 내부 네트워크인 POS Server에 접근이 가능해진다. 반면 배스천 호스트를 운영하고 있다면 외부 네트워크의 패스워드가 탈취 당하더라도 POS Server까지는 접근할 수 없다.