Bastion Host는 네트워크 안에서 특정 서비스에 대한 접근을 제어하고 모니터링하는 보안 시스템입니다. 이 블로그에서는 Bastion Host의 개념과 역할, 장점, 설정 방법, 그리고 보안적 측면에 대해 알아보겠습니다. 이 강력한 보안 장치를 통해 내부 시스템의 안전성을 높이고 외부 침입으로부터 보호하는 방법을 살펴보도록 하겠습니다.

1. 주요역할

보호된 접근 경로 제공: Bastion Host는 외부 사용자들이 내부 시스템에 직접 접근하는 것을 막기 위해 사용됩니다. 외부 사용자들은 Bastion Host를 통해 먼저 접속하고, 그 이후에 필요한 인증과 권한 부여를 거쳐서 내부 시스템으로의 접근이 허용됩니다. 이를 통해 내부 시스템에 대한 보안이 강화됩니다.

외부 침입 방지: Bastion Host를 통해 내부 시스템에 직접적으로 연결되지 않으므로, 외부 공격자들의 공격 대상이 줄어듭니다. Bastion Host는 외부에서 내부로의 트래픽을 감시하고 제어함으로써, 외부 침입을 예방하거나 최소화할 수 있습니다.

모니터링과 로그 기록: Bastion Host는 외부 사용자들의 접속 시도를 모니터링하고, 이에 대한 로그를 기록합니다. 이를 통해 잠재적인 보안 위협이나 악의적인 시도를 식별하고 대응할 수 있습니다.

다단계 인증(Multi-Factor Authentication, MFA) 지원: Bastion Host는 다단계 인증을 통해 추가적인 보안 층을 제공할 수 있습니다. 외부 사용자가 Bastion Host에 접속할 때, 추가적인 인증 요소를 입력하도록 함으로써 보안성을 더욱 강화할 수 있습니다.

보안 정책 적용: Bastion Host를 통해 접근 권한을 관리하고, 정책에 맞지 않는 접근을 차단할 수 있습니다. 필요에 따라 특정 사용자들에게만 접근 권한을 부여하거나 특정 서비스에 대한 접근을 제한할 수 있습니다.

Bastion Host는 주로 SSH(Secure Shell)를 통해 접근할 수 있으며, 보통 시스템 관리자나 보안 담당자들이 접속할 수 있는 권한을 가지고 있습니다. 이를 통해 보안 강화와 관리가 용이해지며, 내부 시스템에 대한 안전한 접근을 보장할 수 있습니다.

2. Bastion Host의 위치

Bastion Host는 주로 방화벽 뒤에 위치하며, 외부 네트워크와 내부 네트워크 사이에 위치합니다. 이 위치로 인해 외부 사용자들이 내부 시스템에 직접 접근하는 것을 막고, 보호된 접근 경로를 통해 내부 시스템에 접근할 수 있도록 합니다.

일반적으로 네트워크 구성에서 Bastion Host는 DMZ(데모ilit리즈 영역) 라고 불리는 영역에 배치됩니다. DMZ는 내부 네트워크와 외부 네트워크 사이에 있는 보안 구역으로서, 외부에서 내부로 직접 접근할 수 없도록 막아주는 역할을 합니다. Bastion Host는 이 DMZ 영역에 배치되어 있으며, 외부 사용자들이 Bastion Host를 통해서만 내부 시스템으로 접근할 수 있도록 되어 있습니다.

Bastion Host를 DMZ에 위치시킴으로써 다음과 같은 장점을 얻을 수 있습니다:

외부에서 내부 시스템으로의 직접 접근을 차단하여 내부 시스템에 대한 추가적인 보호를 제공합니다.
외부 침입자들이 바로 내부 시스템에 접근하는 것을 방지하고, Bastion Host를 통해 접근 권한을 관리할 수 있습니다.
DMZ는 외부 네트워크와 내부 네트워크 사이에 있는 중간 영역이므로, 내부 시스템의 보안에 대한 중요한 보호층이 됩니다.
따라서 Bastion Host는 DMZ에 위치함으로써 내부 시스템의 보안을 강화하고, 외부로부터의 침입을 막는 중요한 보안 장치로 사용됩니다.

3. 대표적인 사례

Bastion Host는 다양한 환경에서 보안을 강화하고, 외부에서 내부 시스템에 안전한 접근을 제공하는데 사용됩니다. 대표적인 사례로는 다음과 같은 상황들이 있습니다:

기업 내부 시스템 접근 제어: 기업은 보통 내부 네트워크에 중요한 데이터와 시스템을 보유하고 있습니다. 외부 사용자나 직원들이 내부 시스템에 직접 접근하는 것을 막기 위해 Bastion Host를 사용합니다. 외부에서는 Bastion Host에만 접속 가능하고, Bastion Host를 통해 인증과 권한 확인 후에 내부 시스템으로 접근이 가능하도록 설정합니다.

클라우드 환경 보안: 클라우드 서비스를 사용하는 기업들은 인터넷을 통해 클라우드 인프라에 접근해야 합니다. 이때, 클라우드 환경에 Bastion Host를 배치하여 외부에서 직접 클라우드 리소스에 접근하는 것을 방지합니다. 클라우드 리소스에 접근하려는 사용자는 먼저 Bastion Host에 접속한 후, 인증과 권한 부여를 거쳐서 클라우드 리소스에 접근할 수 있습니다.

리모트 워킹 보안: 원격으로 작업하는 직원들은 인터넷을 통해 회사의 리소스에 접근해야 할 수 있습니다. 이때, 직원들에게 직접적인 접근 권한을 주는 것보다 Bastion Host를 통해 접속하도록 하여 보안을 강화할 수 있습니다. 직원들은 먼저 Bastion Host에 접속한 후, 인증 절차를 거쳐 회사의 리소스에 접근할 수 있습니다.

외부 공급자 접근 제어: 외부 공급자나 업무 파트너들이 내부 시스템에 접근해야 할 필요가 있을 수 있습니다. 이때, 외부 공급자들이 직접 내부 시스템에 접근하는 것을 막고, Bastion Host를 통해 안전하게 접속하도록 합니다. 이를 통해 외부 공급자와의 접근을 관리하고 보안을 유지할 수 있습니다.

이 외에도 Bastion Host는 보안 강화와 접근 제어를 필요로 하는 다양한 상황에서 사용됩니다. Bastion Host의 주요 목적은 외부에서 내부로의 접근을 제한하고, 안전한 접근 경로를 제공하여 내부 시스템을 보호하는 것입니다. 따라서 보안이 중요한 시스템이나 네트워크에서 많이 사용되고 있습니다.

4.장점 및 단점

장점:

보안 강화: Bastion Host를 통해 외부 사용자들이 직접 내부 시스템에 접근하는 것을 막을 수 있습니다. 외부 사용자들은 먼저 Bastion Host에 접속한 후, 추가적인 인증과 권한 부여를 거쳐서 내부 시스템에 접근할 수 있도록 됩니다. 이를 통해 내부 시스템의 보안을 강화할 수 있습니다.

접근 제어: Bastion Host는 내부 시스템으로의 접근을 엄격히 제어할 수 있습니다. 필요한 사용자들만 Bastion Host에 접속하여 내부 시스템으로의 접근이 허용되기 때문에 무단 접근을 방지할 수 있습니다.

모니터링과 로그 기록: Bastion Host를 통해 외부 사용자들의 접속 시도를 모니터링하고, 이에 대한 로그를 기록할 수 있습니다. 이를 통해 잠재적인 보안 위협이나 악의적인 시도를 식별하고 대응할 수 있습니다.

다단계 인증(Multi-Factor Authentication, MFA) 지원: Bastion Host를 통해 다단계 인증을 사용할 수 있습니다. 추가적인 인증 요소를 요구하여 보안성을 더욱 강화할 수 있습니다.

단점:

단일 장애 지점(Single Point of Failure): Bastion Host 자체가 단일 장애 지점이 될 수 있습니다. 만약 Bastion Host가 다운되면 외부에서 내부 시스템으로의 접근이 불가능해지는 문제가 발생할 수 있습니다. 따라서 Bastion Host의 가용성을 보장하기 위해 고려해야 합니다.

추가적인 설정과 관리 필요: Bastion Host를 구성하고 관리하는 것은 추가적인 작업을 필요로 합니다. Bastion Host에 대한 보안 정책과 접근 권한을 관리하고, 시스템을 업데이트하고 유지보수하는데 비용과 시간이 소요될 수 있습니다.

복잡성 증가: Bastion Host를 도입하면 시스템 구성이 복잡해질 수 있습니다. Bastion Host를 포함하여 모든 구성 요소가 잘 동작하도록 관리해야 하며, 이로 인해 복잡성이 증가할 수 있습니다.

요약하자면, Bastion Host는 보안 강화와 접근 제어에 매우 유용한 도구이지만, 단일 장애 지점과 추가적인 설정과 관리 부담을 고려해야 하는 단점이 있습니다. 따라서 Bastion Host를 도입하기 전에 조직의 요구사항과 환경을 고려하여 적절하게 구성해야 합니다.

5.Bastion Host와 VPN(Virtual Private Network)의 차이점

Bastion Host와 VPN(Virtual Private Network)은 둘 다 보안을 강화하고, 외부로부터의 접근을 제어하는데 사용되는 보안 기술이지만, 기능과 용도에서 차이가 있습니다.

Bastion Host의 특징:

접근 제어 및 보호: Bastion Host는 외부 사용자들이 내부 시스템에 직접 접근하는 것을 막고, 보호된 접근 경로를 제공합니다. 외부 사용자들은 먼저 Bastion Host에 접속한 후, 추가적인 인증과 권한 부여를 거쳐서 내부 시스템으로의 접근이 허용됩니다.

단일 포인트로의 접근: Bastion Host는 단일 포인트로서, 외부에서 내부 시스템으로 접근하는 유일한 경로입니다. 따라서 단일 장애 지점(Single Point of Failure)이 될 수 있습니다.

다단계 인증(MFA) 지원: Bastion Host를 통해 다단계 인증을 사용할 수 있습니다. 추가적인 인증 요소를 요구하여 보안성을 더욱 강화할 수 있습니다.

VPN의 특징:

원격 네트워크 연결: VPN은 원격 사용자나 지사(브랜치 오피스)와 같이 다른 위치에 있는 네트워크를 안전하게 연결하는 기술입니다. 이를 통해 원격 사용자나 지사에서도 회사의 내부 네트워크에 접근할 수 있게 됩니다.

암호화된 터널: VPN은 인터넷 상의 공개적인 네트워크를 암호화된 터널로 만들어서 데이터의 안전한 전송을 보장합니다. 이로 인해 데이터의 기밀성과 무결성을 보호합니다.

사용자-사이트 VPN과 사이트-사이트 VPN: 사용자-사이트 VPN은 개별 사용자가 회사의 내부 네트워크에 접근하는 경우에 사용되며, 사이트-사이트 VPN은 두 개의 네트워크를 안전하게 연결하는 경우에 사용됩니다.

요약하면, Bastion Host는 외부 사용자들이 내부 시스템에 접근하는 것을 제어하고 보호하는데 사용되며, 단일 포인트로서의 한계가 있습니다. 반면에 VPN은 원격 네트워크를 안전하게 연결하여 원격 사용자나 지사에서도 내부 네트워크에 접근할 수 있게 하며, 데이터의 안전한 전송을 보장합니다. 두 기술은 각자의 용도와 특징에 따라 적절하게 사용됩니다.

1.   로그인

전달 받은 접속정보로 접속 후 처음 보게 되는 화면

계정 / 사용자 이름 / 암호를 입력 후 로그인 버튼을 클릭하여 로그인 합니다.

2.   AWS 대시보드

대시보드 화면에서 S3를 클릭합니다.

3.   S3 버킷 접속과 신규 생성

생성된 버킷(폴더)이 없을 경우 버킷을 생성합니다.
(image13.도메인명으로 버킷이 생성되어있는 경우 3번 항목은 생략 하셔도 됩니다. 대부분의 경우 생성이 되어 있습니다.)

-       상단의 Actions 클릭후 Create Bucket 클릭

-       Create Bucket 클릭 후 버킷 이름을 작성 한 후 Create를 클릭합니다.

4.   디렉토리 만들기

-       생성된 버킷을 클릭하여 버킷에 접속 합니다.

-       sample_dir 디렉토리가 없는경우 생성합니다.

-       Create Folder 클릭

폴더 이름을 작성 한 후  

 를 클릭하여 완료 합니다.

5.   파일 업로드(대리점 로고파일 업로드하기)

-       파일업로드하기

Action을 클릭하여 Upload를 선택

를 클릭하여 업로드 할 이미지를 선택 

이미지 선택 후 하단의  

 클릭 

다음화면에서  

 클릭

다음 화면에서 Make everything public 을 선택 후  

를 선택합니다.

테스트파일 k-5.jpg가 완료된 상태

업로드 된 파일 URL 확인 하기

좌측 파일목록에서 파일을 선택 한 후 우측 상단의 Properties 클릭 후 해당 파일에 대한링크 및 상세정보를 확인 할 수 있습니다.

왜 이런걸 문서로 작성해야하는지  납득이 안되지만

작성했다.

내용은 첨부파일 참조

AWS 사용금액 확인 방법.docx

Create Security Credentials(Access Key,Secret Key 생성)

AWS를 사용하려면 콘솔에 접속하는 계정과는 별도로 인증을 위한 Key가 존재한다.

이 Key는 S3, RDS, EC2등을 이용할때 아이디와 패스워드 처럼 사용된다. 이 키를 생성하는 법을 알아보도록 하겠다.

1. Manager Console에 접속한다.  접속후 우측상단에 보면 본인 계정 명이 써있는 곳에 클릭을하면 아래와 같은 레이어가 열리는걸 확인 할 수 있다. 예상한대로 빨간색 표시된 부분 클릭

2. 다음의 그림과 같은 팝업창이 당신을 반길것이다. 역시나 빨간색 부분 클릭

3. 그림대로 한다

4. Access Keys를 펼치면  아래 그림과 같이 나온다 키를 생성한 적이 없다면 아무것도 없을 것이다. 

    아래의 Create New Access Key를 눌러서 키를 생성한다. 

    키를 잘못 만들었다면 Actions 항목에서 Delete를 하면 아래의 그림처럼 삭제됨이라고 표시가되고 이력이 남는다.

※주의 아래의 Create New Access Key 버튼을 누르는 순간 키가 생성된다. 

5. Show Access Key를 눌러서 본인이 생성한 키를 볼수 있다. 

    Download Key File을 눌러서 다운로드해서 보관하는게 좋다. 

    이유는 Secret Key는 한번밖에 볼수가 없다. 

     즉 생성할떄 한번 보고나면 저장을 하지 않을경우 따로 다시 확인할 수 없는것이다.

6. 보안에 주의하여 잘 사용하도록 한다. 저장시 CSV 파일로 저장해 준다. 

AWS CLI(Amazon Command-Line) 환경설정

이 메뉴얼은 Windows를 기준으로 작성되었음을 알립니다.

그지같은 AWS를 사용하다보면 Management Console로만으로는 부족한 기능이 많다.

그래서 AWS를 보다 세밀하게 사용하기 위해 CLI를 통해서 작업해야하는 상황이 발생하게 되어있다.

1.준비물 : JAVA, AWS CLI(AWSCLI32.msi)

- java는 오라클 사이트 가서 알아서 받는다.

- http://aws.amazon.com/ko/cli/에 가면 아래의 붉은색 표시된곳에서 각자의 환경에 맞게 설치한다.

2. 해당 파일을 다 설치한 후 Cmd 명령창에서 AWS를 입력할 경우 

    『응용프로그램의 Side by Side 구성이 잘못되어 응용프로그램을 시작하지 못했습니다.』 를 만날경우가 있다. 

    이 경우 다음의 링크를 따라가서 해결하고 다시 여기로 온다. (http://cheezred.tistory.com/24)

3. 자 2번의 상태가 아니라면 또는 2번을 해결하고 난 뒤라면  Cmd 명령창에서 AWS를 입력할 경우 다음과 같은 메세지를 볼수 있다면 설치는 성공한 것이다.

4. 이제 본격적인(본격적이랄것도 없다) 환경설정을 한다.

- 아래 그림과 같이 aws configure 라고 입력할 경우  아래와 같은 메세지를 만날 수 있는데 빨간색 줄에 각 항목의 값을 입력해준다.

- Access Key, Secret Key, region, output format을 본인의 환경에 맞게 설정해준다.

- Access Key, Secret Key는 Manager Console에서 생성 할 수 있다.

5. 기본적인 사용을 윙한 설정이 끝났다.

CloudBerryExplorerSetup_v3.8.7.19_netv4.0.exe

How to sync local folder with Amazon S3 bucket with CloudBerry S3 Explorer.docx

오라클이 무료가 아니어서 그런가 죄다 MySQL로 가이드가 나와있어서 ORACLE 가이드륵 작성하였다.

MS- WORD BLOG 형식의 문서로 작성되어 있음

최대한 무료를 지향하도록 작성되어 있음.

무료로 쓸수 있을정도의 설정값으로 작성된 메뉴얼이다.