베스천 호스트(Bastion Host)

보호된 네트워크(Private)에 접근하기 위해 유일하게 외부에 노출(Public)되는 호스트

 

이를 AWS Instance에 적용하면 다음과 같다.

User가 WebServer에 접속하기 위해서는 Public Subnet에 존재하는 Bastion Host IP로 접속하게 되고,

Bastion Host에서 WebServer로 접속하게 된다.

 

이러한 귀찮은 행위를 왜 하는것일까?

 

WebServer Instance를 Public Subnet에 배치할 경우, 수 많은 계정 탈취 공격을 받게 된다.

Password가 외부 네트워크에 의해 탈취 또는 노출이 당한다면 POS Server까지 접근이 가능하게 되고,

이는 외부에서 내 서버를 제어할 권한을 갖게 된다는 의미이다.

 

반면 Bastion Host를 운영하여 WebServer에 직접적으로 접속할 방법을 제어하게 된다면,

Password가 외부에 노출되더라도 Private Subnet에 존재하는 WebServer Instance의 제어 권한을 가질 수 없다.