Bastion Host란? aws public ec2 -> private ec2로 터널링

**Bastion Host(배스천 호스트)**는 프라이빗 네트워크에 위치한 리소스(예: 서버, 데이터베이스)에 접근하기 위한 중간 지점 역할을 하는 보안 강화된 서버입니다. 일반적으로, 외부의 관리자가 내부 네트워크에 있는 서버에 접근할 때, 직접 접속하지 않고 Bastion Host를 통해 접근하는 방식으로 보안성을 높입니다.

Bastion Host의 주요 개념:

1. 역할:
   • Bastion Host는 외부 인터넷과 프라이빗 네트워크 사이의 게이트웨이 역할을 합니다. 외부에서 프라이빗 서브넷의 리소스에 직접 접근하는 것을 막고, 대신 Bastion Host를 통해 간접적으로 접근하게 합니다.
   • 관리자가 원격으로 SSH(리눅스) 또는 RDP(윈도우)를 통해 Bastion Host에 접속한 다음, 거기서 다시 프라이빗 서브넷 내의 서버들로 연결합니다.
2. 보안 강화:
   • Bastion Host는 매우 제한된 인바운드 트래픽만 허용하도록 설정됩니다. 예를 들어, 특정 관리자의 IP 주소에서만 SSH 접속이 허용되도록 설정하여, 불필요한 접근 시도를 차단합니다.
   • 보통 퍼블릭 서브넷에 위치하며, 공인 IP 주소를 가지고 있어서 인터넷에서 접근할 수 있습니다. 하지만, 실제 중요한 데이터나 애플리케이션은 퍼블릭 서브넷에 위치하지 않고 프라이빗 서브넷에 위치시켜 보안을 강화합니다.
3. 작동 방식:
   • 외부 사용자는 먼저 Bastion Host에 SSH를 통해 접속합니다.
   • 그 후, Bastion Host에서 프라이빗 서브넷의 서버나 데이터베이스에 SSH 또는 다른 방식으로 접속합니다. 이렇게 Bastion Host를 거치면 프라이빗 리소스가 직접 인터넷에 노출되지 않아 보안 위험이 줄어듭니다.
4. 사용 시나리오:
   • AWS와 같은 클라우드 환경: AWS에서 EC2 인스턴스가 프라이빗 서브넷에 있을 때, Bastion Host를 통해 관리자가 이 인스턴스에 접근합니다. 이 경우 Bastion Host는 퍼블릭 서브넷에 배치되어 인터넷과 통신할 수 있는 공인 IP를 가지고 있으며, 프라이빗 서브넷의 리소스와는 내부 IP를 통해 통신합니다.
   • 온프레미스 환경: 데이터센터나 온프레미스 네트워크에서도 내부 서버에 대한 직접 접근을 방지하고자 Bastion Host를 사용해 네트워크 보안을 강화할 수 있습니다.

Bastion Host의 장점:

• 접근 제어: 모든 외부 접근을 Bastion Host를 통해서만 가능하도록 제한하여 접근 통제를 강화합니다.
• 로깅 및 모니터링: Bastion Host를 통해 접근하는 모든 활동을 로깅할 수 있어, 누가 언제 프라이빗 리소스에 접근했는지 추적할 수 있습니다.
• 네트워크 보호: Bastion Host를 통해 프라이빗 리소스가 직접적으로 인터넷에 노출되지 않도록 함으로써 보안 공격의 위험을 줄입니다.

예시:

프라이빗 서브넷에 있는 데이터베이스 서버를 관리하려고 할 때, 이 데이터베이스는 인터넷에 직접 노출되지 않으므로 관리자도 인터넷을 통해 직접 접근할 수 없습니다. 이 경우, Bastion Host를 퍼블릭 서브넷에 배치하고, 관리자는 먼저 Bastion Host에 접속한 후 데이터베이스 서버에 접근합니다. 이렇게 하면 데이터베이스 서버를 외부로부터 보호하면서도 안전하게 접근할 수 있는 통로를 제공합니다.