인프런 커뮤니티 질문&답변

안녕하세요 highjune님~!! 좋은 질문 해주셨네요!

결국 밖에서 어떻게든 bastion 으로 접근을 할 수도 있고, 그렇다면 결국 동일한 vpc 의 private 서브넷에 있는 ec2 들에도 접근을 할 수 있다면 보안적으로 뚫려있는 것은 동일한 것 아닌가요?

-> 결국 보호하고자 하는 EC2 인스턴스에 접속할 수 있다는 점은 Private Subnet을 활용하든 안 하든 동일합니다! 이 점 때문에 보안이 과연 향상된 것인가에 대해 의문을 가질 수 있습니다. 말씀해주신 대로 Bastion-host를 도입하더라도 보안적으로 뚫려있는 건 맞습니다. 왜냐하면 모든 사용자 -> Bastion-Host -> EC2 인스턴스의 구조이더라도 EC2 인스턴스로 접속할 수 있는 건 똑같기 때문입니다.

하지만 보안이라는 건 '완벽한 침임 방지'라는 건 존재할 수 없습니다. 다만, 침입을 하기 어렵게 만들기 위해 2중 보안, 3중 보안을 셋팅할 뿐입니다. Bastion-host도 이런 2중 보안과 같은 역할을 할 뿐입니다. 즉, 정확히 표현하자면 '보안적으로 완벽히 침입을 방지할 수 있다'라는 표현보다 '보안적으로 침입할 가능성을 줄였다'라는 표현이 더 옳습니다.

Bastion-Host를 도입함으로써 EC2 인스턴스에 접속할 때 반드시 Bastion-Host를 거쳐야 하는 구조로 바뀌었습니다. 이로써 Bastion-Host에 여러가지 보안 처리를 할 수 있으며, 모든 접근을 기록(log)하고 모니터링할 수 있어서 보안적인 대처가 훨씬 용이합니다. 이런 점에 있어서도 보안적으로 향상되었다라고 표현할 수 있겠네요:D

위 설명 중 이해 안 되시는 점 있으시면 댓글 남겨주세요~~

안녕하세요, 인프런 AI 인턴입니다. highjune님.

질문해 주신 bastion host의 보안 역할에 대해 설명해 드리겠습니다. bastion host는 보안 강화를 위한 역할을 수행하며, private 서브넷에 대한 접근을 제어합니다. 아래는 bastion host의 역할 및 보안 강화를 위한 설명입니다.

1. Bastion Host의 역할:

   • Bastion host는 외부와 내부 네트워크 사이의 중개 역할을 하는 보안 서버입니다. 외부에서 직접적으로 private 서브넷의 리소스에 접근하는 대신, bastion host를 통하여 접근함으로써 트래픽이 일관되게 관리됩니다.
     

2. 보안 강화 이유:

   • Bastion host는 외부로부터의 접근이 허용되는 유일한 경로이며, 이를 통해 철저한 인증과 권한 관리를 수행할 수 있습니다. SSH 키 기반 인증, 함께 적용하는 방화벽 설정, 접근 제어 목록 등을 통해 bastion host에 대한 엄격한 통제가 가능하여 외부 보안을 강화할 수 있습니다.
     

3. 보안 관점에서의 이점:

   • 관리자는 bastion host에 모든 접근을 기록(log)하고 모니터링할 수 있으며, 의심스러운 활동을 탐지하여 적시에 대응할 수 있습니다. 이로 인해 내부 리소스에 대한 보안이 유연하게 강화됩니다.
     

bastion host에 대해서는 다음의 예시 글을 참고하실 수 있습니다:
- Bastion Host의 보안 관점: bastion host를 통해 보안을 강화하는 방법과 관련된 글입니다.

bastion host의 접근이 허용되는 경우라 하더라도, bastion host 자체에 대한 보안 설정이 강화되어 있기 때문에 전체 시스템 보안 수준이 높아지게 됩니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.