EC2 인스턴스 웹서버에 베스천 호스트(Bastion Host) 적용해보기

출처 : bastion 위키피디아

📌 베스천(Bastion)이 뭐임?

• 중세시대에 성의 외곽에 돌출된 부분을 의미한다.
• 베스천을 통해 적으로부터 효과적으로 성을 보호할 수 있다.

 

📌 그럼 베스천 호스트(Bastion Host)는?

• 보호된 네트워크에서 유일하게 외부에 노출되어 있다.(Basiton)
• 외부 네트워크와 내부 네트워크를 연결하는 호스트이다.
• 보호된 네트워크에 안전하게 접근하기 위해 사용한다.

 

💡 베스천 호스트 개념을 AWS EC2에 적용시킨다면?
 프로젝트 배포를 위해 AWS를 사용할 때 VPC, AZ, Subnet의 개념을 알고 있다면 보안에 대해서 생각하지 않을 수 없다. 기본적인 개발 서버 배포를 위해 필요한 AWS 리소스는 EC2와 RDS. 이중에 RDS는 당연히 Private Subnet에 들어가야 할 것이다. 데이터베이스니까. 그렇다면 EC2는 어떨까? EC2는 Public Subnet에 포함시켜야 할까? Private Subnet에 포함시켜야 할까?

 단순하게 생각해보면 Public Subnet에 포함시켜야 한다고 생각할 수 있다. 개발자가 리소스에 접근해야 하기 때문이다. 그런데 Public Subnet은 PEM키만 있다면 SSH를 이용해 어디서든지 EC2 인스턴스 내로 원격 접속이 가능하다. 애플리케이션 서버 역할을 하는 인스턴스가 외부에 그대로 노출되어버리는 것이다. 뭔가 찜찜하다. 

📍 문제를 간단히 정리해 보자.
1. 애플리케이션 서버 역할을 하는 EC2 인스턴스를 Public Subnet에 포함시키면 인스턴스가 외부에 노출되는 문제가 있다.
2. 그렇다고 단순히 Private Subnet에 포함시키면 외부에서 접근이 불가능하다.
3. EC2 인스턴스를 2개 생성하여 하나는 Public Subnet에, 다른 하나는 Private Subnet에 포함시켜 로컬에서 리소스에 접근하는 방식이 필요할 것 같다. 

즉, 외부 네트워크와 내부 네트워크 사이에 문지기 역할을 할 무언가가 필요해 보인다...

두둥.. Bastion Host 등장..!

 

🚨 들어가기 전에
 1. AWS 프리티어 사용자는 EC2 인스턴스 2개를 생성, 사용하게 된다면 월 750시간의 무료 플랜이 인스턴스 2개 생성으로 인해 산술적으로 375시간으로 줄어들게 된다. 이 외에도 생각하지 못한 곳에서 과금이 발생할 수 있다.

2. 이 실습은 Bastion Host를 공부하기 위해 진행한 것이므로 아래의 내용만 가지고 실제 서비스에 적용하기에는 다소 무리가 있다.
3. 따라서 가볍게 보는 걸 추천한다. 실제 구현은 다른 블로그를 참고!

 

 

📝 아키텍처

• 위와 같은 구성을 통해서 외부에서 접근하는 해킹이나 탈취 등으로부터 웹서버를 보호할 수 있다.

 

📌  VPC & 인터넷 게이트웨이 & 서브넷 설정

VPC 생성

테스트용 VPC 생성

• 테스트할 VPC를 생성한다.
• IPv4 CIDR을 지정해줘야 하는데, 특별한 이유가 없다면 사설망 대역 범위 내에서 지정하면 된다고 한다.
  • 10.0.0.0 ~ 10.255.255.255 -> A 클래스 (10.0.0.0/8)
  • 172.16.0.0 ~ 172.31.255.255 -> B 클래스 (172.16.0.0/12)
  • 192.168.0.0 ~ 192.168.255.255 -> C 클래스 (192.168.0.0/16)

 

 

인터넷 게이트웨이 

• 외부 인터넷과 VPC 간의 통신을 활성화 역할을 한다.

 

 

서브넷

• Public Subnet과 Private Subnet을 생성
• 라우팅 테이블
  • 서브넷 또는 게이트웨이의 네트워크 트래픽이 전송되는 위치를 결정하는 테이블
  • Public의 경우 로컬과 게이트웨이를 통해서만 허용
  • Private의 경우 로컬을 통해서만 허용

 

보안그룹

bastionHost-Public

• 베스천 호스트 역할을 하는 EC2 인스턴스의 보안그룹으로 SSH를 통해서만 인스턴스 내부로 접속 허용

bastionHost-Private

• 웹서버 역할을 하는 EC2 인스턴스의 보안그룹으로 SSH를 통해서만 인스턴스 내부로 접속 허용
• ICMP 포트는 PING을 통해 연결 확인용

 

베스천 호스트용와 웹서버용 EC2 생성

public - Bastion Host / private - Web Server

 

Bastion Host용 EC2 인스턴스에 접속

 

 

ping 명령어를 통해 연결 확인

 

정리

• 실제로 서비스를 구현할 때는 더 많은 사항을 고려해야 한다. (내가 아직 잘 모르는 내용)
  
  • BastionHost용 EC2 인스턴스 안에 애플리케이션 서버용 인스턴스의 PEM키를 저장하는건가?(FTP를 이용해서?)
  • 다른 AWS 리소스와의 연결이 필요하다면?(ex. 여러 개의 인스턴스가 존재할 때)
  • 복수의 AZ에 걸쳐 생성할 때는?
  • 등등
• 결론
  • 실제 서비스에 적용하기에는 아직 무리가 있지만, Bastion Host를 이해하고 공부하기에 좋은 실습이었다.