개발자라면 aws에 대해, 가상 서버인 ec2에 대해 들어봤을 것이다.
짧게 ec2에 대해 설명하자면 우리의 컴퓨터가 아닌 aws란 기업의 컴퓨터를 사용하는 것이다.
그렇다면 여기서 당연히 떠오르는 물음이 있다. 내 컴퓨터가 아닌 다른 컴퓨터를 원격으로 접속한다면 누구나 접속 가능해질거고, 그럴거면 이를 악용하는 사람이 분명히 나타날텐데 이를 사전에 방지하는 방법이 무엇일까?
원격 서버의 보안을 높이는 방법은 여러가지가 있겠지만, 그 중 하나인 Bastion서버에 대해 설명해보자 한다.
아까 누구나 접속 가능해지면 보안상의 위험이 생긴다는 문제가 있다고 했다. 그렇다면 근본적으로는 누구도 접속 가능하지 못하게하고
접속하고자 하는 원격 서버를 따로 접속 가능한 서버를 두는 구조는 어떨까?
이런 구조를 띈다면
- Bastion 서버를 통해 원격 액세스를 허용하면 외부 공격자의 접근을 어렵게 만들 수 있고
- 원격 액세스가 필요한 사용자만 Bastion 서버로 접속할 수 있으며, 내부 서버로의 접근 권한을 관리할 수 있다.
- 또한 Bastion 서버는 사용자 활동을 로그에 기록하고 감사 추적을 제공하여 보안 사건을 모니터링하고 조치를 취할 수 있도록 도와준다.
- 내부 서버의 위치를 숨기므로 외부 공격자가 내부 네트워크에 직접 접속하기 어려워진다.
이게 바로 Bastion 서버의 개념이다. 특정 네트워크/서버에 접속 하기 전 필터를 하나 설치해 사용자들을 거른다는 컨셉이다.
그렇다면 Bastion 서버는 마냥 장점만 있는걸까?
- 우선 비용적인 문제가 발생한다. 내부 서버가 이미 하나있는데 보안만을 위한 서버니까 해당 서버 비용이 증가하는 셈이다.
- 이러한 비용문제는 관리 문제와도 관련이 있는데 해당 비용도 고려해야한다.(데브옵스가 필요해짐)
- 또한 시스템 구성의 복잡성도 증가한다.
이러한 문제들은 비단 Bastion서버만의 문제라기보단 모든 보안 강화에서 고려되는 문제다. 그럼에도 털리고 나서의 비용보단 미리 대비할때의 기회비용이 더 낮으니 잘 고려해서 선택해야한다.
추가로 읽어보면 좋을 글
Bastion서버가 필요 없다? EC2 Instance Connect Endpoint 추천 포인트(1)
AWS를 사용할 때 인터넷에서 격리된 환경의 EC2 인스턴스(서버)에 로그인하는 방법은 여러 가지가 있지만, 그 중에서도 EC2 Instance Connect Endpoint는 쉽고 비용을 절감할 수 있는 수단입니다.
medium.com
댓글