[aws] Bastion Hub 만들기
이전 내용
[aws] Xshell8 에서 톰캣 설치하기
이전 내용 [aws] VPC, 서브넷, 인스턴스 등 삭제하기이전 내용 [aws] 로드 밸런서 생성 및 서브넷 연결하기이전 내용 [aws] 리눅스 서버 연결 및 nginx 설치이전 내용 [aws] 인스턴스 생성하기이전 내
puppy-foot-it.tistory.com
Bastion Hub 란?
[Bastion Hub 개요]
Bastion Hub는 클라우드 환경에서 보안과 관리의 편의성을 높이기 위해 설계된 플랫폼으로, 주로 클라우드 애플리케이션과 서비스의 보안 접근성을 지원한다. 이를 통해 사용자와 관리자 모두에게 통합된 접근 방식과 사용자 경험을 제공한다.
[주요 기능]
- 보안 접속 관리: Bastion Hub는 다양한 클라우드 리소스에 대한 안전한 원격 접속을 지원. Multi-Factor Authentication (MFA) 기능을 통해 보안을 증가시킨다.
- 로그 관리 및 모니터링: 모든 접속 기록을 기록하여 보안 감사와 추적이 용이. 이상 징후 탐지 및 경고 기능을 통해 보안 사고를 사전에 방지한다.
- 접근 권한 제어: 사용자의 역할에 따라 접근 권한을 세밀하게 조정. Least Privilege Access 원칙을 적용하여 안전성을 더욱 강화한다.
- 사용자 친화적인 인터페이스: 직관적인 대시보드를 제공하여 사용자와 관리자가 쉽게 사용할 수 있도록 돕는다. 다양한 통계 및 보고서 기능으로 효율적인 관리가 가능하다.
[활용 사례]
- 클라우드 개발 및 운영 환경: 개발자들이 각자의 환경에 안전하게 접속할 수 있도록 지원하여 생산성을 높임.
- 보안 감사 및 규정 준수: 모든 접속 기록이 관리되므로, 보안 감사 및 법적 요구사항을 충족하는 데 도움.
◆ Bastion Hub를 만들어야 하는 이유
1. 보안 강화
- 안전한 접근: Bastion Hub는 클라우드 리소스에 안전하게 접근할 수 있도록 도와준다. 이를 통해 외부의 위협으로부터 시스템을 보호할 수 있다.
- 다단계 인증: 사용자 인증을 두 단계로 진행할 수 있어, 각 계정의 보안성이 더욱 강화된다.
2. 중앙 집중 관리
- 통합 관리: 여러 클라우드 자원을 한 곳에서 관리할 수 있어, 관리가 용이하다. 이를 통해 리소스 사용 현황, 접근 기록 등을 쉽게 파악할 수 있다.
- 일관된 정책 적용: Bastion Hub를 통해 모든 사용자의 접근 권한과 보안 정책을 일관되게 적용할 수 있다.
3. 규정 준수
- 감사 및 보고: 모든 접속 기록이 자동으로 기록되어, 보안 감사나 규정 준수에 필요한 자료를 쉽게 마련할 수 있다.
- 법적 요구사항 충족: 다양한 법적 요구사항에 맞춰 보안 관리가 가능하여, 기업의 신뢰성을 높이는 데 기여한다.
4. 생산성 향상
- 원활한 협업: 개발자 및 팀원이 안전하게 클라우드 리소스에 접근할 수 있어, 협업이 더욱 원활하게 진행된다.
- 신속한 문제 해결: 로그 및 모니터링 기능 덕분에 문제를 빠르게 식별하고 해결할 수 있는 환경이 조성된다.
즉, Bastion Hub는 개발자들이 서버에 접속하는 데 보안을 위해 별도의 서버를 만들어주는 것으로, 키 페어를 가지고 서버에 접속 가능하다. Bastion Hub를 여러 개 만들면 보안이 취약해지므로, 하나만 만들어도 충분하다.
aws console에서 Bastion Hub 생성하기
Bastion Hub를 생성하는 것은 인스턴스를 만드는 과정과 매우 유사하다.
먼저 [EC2] - [인스턴스]에서 '인스턴스 시작' 클릭
네트워크 설정에서 VPC, 서브넷을 선택해주고 (서브넷은 퍼블릭이라면 아무데나 상관없다. 현재 두 개의 퍼블릿 서브넷 존재)
퍼블릭 IP 자동할당 활성화를 선택하고, 보안그룹의 경우 Bastion Hub를 위한 보안그룹을 따로 생성해줘야 한다.
그리고나서 Xshell8 에 들어가서 Bastion Hub에 대한 세션을 생성해야 한다.
(세션에서 호스트 란에는 Bation Hub 인스턴스의 퍼블릭 IPv4 주소를 복사 붙여넣기 한다.)
그다음 Bastion-2a 세션에서 아래의 'v' 체크가 되어 있는 버튼 (XTFP 8) 을 실행해준다.
그리고나서 오른쪽 세션의 경로가 'home/유저명' 으로 되어 있는지 확인한 후, 키 페어 파일(pem)이 들어 있는 경로를 찾아
해당 파일을 오른쪽 마우스로 클릭하고 '전송'을 눌러준다.
만약 경로가 home/유저명으로 되어 있지 않은 경우에는
Xftp 8을 실행 전에 사용자 계정이 있는 경로로 옮겨놓으면 좋다. 생성한 계정 이름이 'ec2-user' 일 경우, cd /home/ec2-user 입력하고 enter
서버에 연결을 위해서는 Xshell 창에서
chmod 400 키 파일 이름.pem을 입력 후
ssh -i 키파일 유저명@프라이빗IPv4주소를 입력해주면 된다.
이렇게 하면 Bastion Hub가 생성되고 서버에 잘 연결된다.
[읽어보면 좋은 글]
https://harris91.vercel.app/bastion-host
https://musma.github.io/2019/11/29/about-aws-ssm.html
다음 내용
[aws] 프라이빗 서브넷 생성하기(feat. NAT 게이트웨이)
이전 내용 프라이빗 서브넷 생성하기 이전에 만들었던 서브넷은 퍼블릭으로 외부 사용자를 위한 서버이다.[aws] VPC, 서브넷, IGW, 라우팅 테이블 설정하기 프라이빗 서브넷은 외부 사용자를 위
puppy-foot-it.tistory.com