문제
한 회사는 최근 프라이빗 서브넷의 Amazon EC2에서 Linux 기반 애플리케이션 인스턴스를 시작하고 VPC의 퍼블릭 서브넷에서 Amazon EC2 인스턴스에서 Linux 기반 배스천 호스트를 시작했습니다. 솔루션 아키텍트는 다음을 통해 온프레미스 네트워크에서 연결해야 합니다. 배스천 호스트 및 애플리케이션 서버에 대한 회사의 인터넷 연결 솔루션 설계자는 모든 EC2 인스턴스의 보안 그룹이 해당 액세스를 허용하는지 확인해야 합니다.
이러한 요구 사항을 충족하기 위해 솔루션 설계자가 취해야 하는 단계는 무엇입니까? (2개 선택)
A. 배스천 호스트의 현재 보안 그룹을 애플리케이션 인스턴스의 인바운드 액세스만 허용하는 보안 그룹으로 교체합니다.
B. 배스천 호스트의 현재 보안 그룹을 회사의 내부 IP 범위에서 인바운드 액세스만 허용하는 보안 그룹으로 교체합니다.
C. 배스천 호스트의 현재 보안 그룹을 회사의 외부 IP 범위에서 인바운드 액세스만 허용하는 보안 그룹으로 교체합니다.
D. 애플리케이션 인스턴스의 현재 보안 그룹을 배스천 호스트의 사설 IP 주소에서만 인바운드 SSH 액세스를 허용하는 보안 그룹으로 교체합니다.
E. 애플리케이션 인스턴스의 현재 보안 그룹을 배스천 호스트의 공용 IP 주소에서만 인바운드 SSH 액세스를 허용하는 보안 그룹으로 교체합니다.
정답
C, D
개념 정리
SSH 에이전트 전달 기능을 사용하면 퍼블릭 서브넷에 있는 배스천 호스트(Bastion Host)를 통해 Amazon VPC 프라이빗 서브넷에 있는 Linux 인스턴스에 안전하게 연결할 수 있다.
- SSH 퍼블릭 키 파일이 있는 컴퓨터에서 퍼블릭 서브넷의 배스천 호스트로 연결
- 배스천 호스트에서 프라이빗 서브넷의 인스턴스에 연결
기본적으로 Linux EC2 인스턴스는 인증을 위해 SSH 키 파일을 사용한다. (AWS의 key pair)
퍼블릭 서브넷(배스천 호스트)의 Amazon EC2 인스턴스에서 프라이빗 서브넷의 EC2 인스턴스로 연결할 때 프라이빗 키 파일이 필요하다.
하지만 보안상 이유로 개인 키 파일을 배스천 호스트에 저장하면 안됨
→ 배스천 호스트에서 Amazon VPC의 다른 인스턴스로 연결할 때 SSH 에이전트 전달 사용
- 퍼블릭 서브넷에 배스천 호스트 역할의 EC2 인스턴스 생성
- 프라이빗 서브넷에 EC2 인스턴스 생성
- 보안 그룹 구성
- 배스천 호스트 보안 그룹: 클라이언트 컴퓨터의 인바운드 SSH, 프라이빗 EC2 인스턴스 보안 그룹으로 아웃바운드 허용
- 프라이빗 EC2 인스턴스 보안 그룹: 배스천 호스트 보안 그룹의 인바운드 SSH 허용
배스천 호스트 (Bastion Host)
침입 차단 소프트웨어가 설치되어 내부와 외부 네트워크 사이에서 일종의 게이트 역할을 수행하는 호스트\
SSH-agent
메모리에 키와 인증서를 보관하는 SSH 용 키 관리자
- 개인 키를 안전하게 보관
- 서버에 연결하는 동안 매번 암호를 입력하지 않아도 된다
SSH (Secure Shell)
보안되지 않은 네트워크를 통해 컴퓨터 운영 체제에 안전하게 연결하는데 사용할 수 있는 암호화 네트워크 프로토콜
'CS > AWS' 카테고리의 다른 글
| [SAA-C03] 덤프 문제 풀이 - Amazon RDS Proxy (0) | 2023.06.21 |
|---|---|
| [SAA-C03] 덤프 문제 풀이 - Amazon Athena의 성능 향상 솔루션 (0) | 2023.06.20 |
| [SAA-C03] 덤프 문제 풀이 - 여러 리전에 자격 증명 및 비밀을 복제 (0) | 2023.06.20 |
| [생활코딩] AWS EC2 (2) (0) | 2023.05.03 |
| [생활코딩] AWS EC2 (1) (0) | 2023.04.25 |
