Bastion Host(배스천 호스트) 란?

date

Mar 6, 2023

thumbnail

gsc

Done

public

slug

bastion-host

author

Introdution

Bastion Host(배스천 호스트)에 대해서 간략하게 살펴보자

Bastion Host(배스천 호스트)란?

Bastion Host는 외부에서 내부 네트워크로 들어올 수 있는 유일한 관문(Access Point) 이다. 보안이 강화된 인프라와 외부 인터넷 사이에서 중계 서버(bridge) 역할을 수행하며, 내부망으로 향하는 모든 인바운드 트래픽은 반드시 Bastion Host를 통과해야 한다.

쉽게 말해, 내부 서버로 직접 접속하는 대신 ‘보안 게이트’를 하나 두는 개념이다.

Bastion Host는 일반적으로 다음과 같은 역할을 수행한다.

외부 인터넷과 내부망 사이의 보안 경계선 역할

인바운드 트래픽의 접근 제어 및 모니터링

SSH, RDP 등 안전한 원격 접속 환경 제공

보안을 강화하기 위해 보통 아래와 같은 설정이 함께 적용된다.

MFA(다단계 인증) 으로 사용자 인증 강화

허용된 IP만 접근 가능한 화이트리스트 정책

접속 로그와 세션 기록을 저장해 감사 추적 가능

이러한 구조 덕분에 Bastion Host는 클라우드 인프라 환경에서 거의 필수적으로 사용된다. 예를 들어 AWS에서는 EC2 인스턴스를 Bastion Host로 구성해 내부 VPC의 서버들을 간접적으로 관리하는 형태가 일반적이다.

Bastion Host 일반적인 사용 예

Bastion Host는 다른 서버에 대한 원격 접근 제한을 통해 보안성을 유지하는 데 도움이 된다. 실제 운영 환경에서 다음과 같은 상황에 유용하게 쓰인다.

1) 데이터베이스 서버 접속

데이터베이스 서버는 보통 내부망에만 존재한다. 외부에서 직접 DB에 접속하는 것은 보안상 매우 위험하므로, Bastion Host를 통해서만 접근하도록 설정한다. 이를 통해 DB 서버에 대한 직접적인 외부 접근을 완전히 차단할 수 있다.

2) 웹 서버 관리

웹 서버는 인터넷에 노출되어 있기 때문에 해킹이나 공격 위험이 높다. 이때 관리자는 웹 서버에 직접 접속하지 않고, Bastion Host를 거쳐 들어간다. 즉, 운영자는 Bastion Host로 먼저 SSH 접속 → 내부망 웹 서버로 이동하는 방식으로 관리한다.

3) 클라우드 인프라 관리

AWS, GCP, Azure 같은 클라우드 환경에서는 Bastion Host가 거의 표준처럼 쓰인다. 보안 그룹(Security Group)에서 22번 포트를 열어두는 대신, 특정 Bastion 인스턴스만 내부 리소스에 접근할 수 있도록 제한 하면 훨씬 안전하다.

Bastion Host vs VPN

Bastion Host와 VPN은 자주 헷갈린다. 둘 다 외부에서 내부로 들어가는 통로처럼 보이기 때문이다. 하지만 접근 방식이 다르다. VPN(Virtual Private Network) 은 사용자 기기와 내부 네트워크 전체를 잇는 암호화된 터널을 만들어준다. 즉, 한 번 VPN에 접속하면 내부망의 모든 리소스에 접근할 수 있다. 반면 Bastion Host는 특정 서버나 서비스로의 접속을 중계하고 감시하는 역할을 한다. 즉, VPN이 ‘내부망 전체로 들어오는 길’이라면, Bastion Host는 ‘내부 서버 앞에 서 있는 문지기’에 가깝다.

마무리

Bastion Host는 보안을 위해 외부와 내부 네트워크 사이에 둔 일종의 문지기이다. 모든 접속은 Bastion Host를 거치며, 이를 통해 접근 제어·모니터링·감사 추적이 가능하다.

이전에 프로젝트 진행하면서 경험해봤던 Bastion Host를 직접 구축도 해봐야겠다.

참고

[Wiki] Bastion host

[GCP] Connect to Linux VMs using a bastion host

[AWS] Linux Bastion Host

아래로 당겨서 새로고침