콘텐츠로 이동

2021 04 28 배포1단계

2021-04-28

접근 통제

  • Bastion - 보안 설정을 구성할 때 모든 서버에 동일 수준 보안 설정은 X - 관리 포인트 투 머치 - 22번 포트로 우리가 AWS 인스턴스에 접근하자나? - 22번 포트 보안이 뚫리면 ㄹㅇ 큰일 남 - Bastion Server만 두고, 악성 루트킷, 랜섬웨어 등으로 피해봐도 Bastion Server 만 재구성하면 됨 - 서비스에 영향 최소화 - 서비스 정상 트래픽과 관리자용 트래픽 구분 - DDoS 공격으로 대역폭 차지하고 있다면, 일반적인 서비스용 서버에 접속 불가능 - 이때 바스티온 경로로 접근할 수 있음 - 22번 Port 접속을 Bastion 서버에 오픈하고, 그 서버에 보안을 집중하자 shell script ubuntu@ip-192-168-0-119:~$ ssh-keygen -t rsa //키 생성 ubuntu@ip-192-168-0-119:~$ cat ~/.ssh/id_rsa.pub //키 조회 ssh-rsa VWd/RzRH4JZsErvNGQJrIEGdgO05o29hR1Ox ubuntu@ip-192-168-0-119

    - Bastion Server는 자신의 IP에서만 22번 포트로 접근 가능하도록 설정 - 서비스용 서버에 22번 포트로 접근하는 것은 Bastion에서만 가능하도록 설정 - 나 --Port22--> Bastion --Port22--> Service - 음 그니까, 서비스를 제어하는 우분투 서버에 접근하는 방법은 22번 포트를 통한 ssh 연결인데, - 이말은 곧 22번 포트가 뚫리면 서비스의 모든 제어가 뚫린다는 것이지 - 그러면 서비스의 22번 포트를 베스쳔 서버에게만 열어주자. 베스쳔에서만 22번으로 진입가능토록 - 또한 배스쳔과 서비스는 같은 사설망을 사용하기에, 나만 아는 Private IP로 접근을 해야한다. - 이 역시 보안 강화??!! - 베스쳔의 22번 포트는 나의 IP에서만 접근이 가능토록 하자 - 그러면 결국 내 컴퓨터, 베스쳔 컴퓨터까지 털려야 서비스 컴퓨터 제어가능하네 굿

  • 실습 질문 - sudo apt-get update? - OS에서 사용 가능한 패키지들과 그 버전들의 리스트를 업데이트 하는 명령어 - 설치되어 있는 패키지를 최신으로 업데이트 X - 설치 가능한 리스트를 업데이트 O - EC2란? - 쉽게 생각해서 한 대의 컴퓨터를 임대해 주는 것 - 선호하는 OS/웹서버/DB 설치 뚝딱 - 참고: https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/concepts.html - AWS 클라우드에서 확장 가능 컴퓨팅 용량 제공 - HW에 선투자할 필요 없어 빠르게 애플리케이션 개발/배포 가능 - 원하는 만큼 가상 서버 구축하고, 보안 및 네트워크 구성과 스토리지 관리 가능 - 손쉽게 트래픽에 대응할 수 있음 (필요하면 더 만들어!) - Private IP vs Public IP - 참고: https://velog.io/@hidaehyunlee/%EA%B3%B5%EC%9D%B8Public-%EC%82%AC%EC%84%A4Private-IP%EC%9D%98-%EC%B0%A8%EC%9D%B4%EC%A0%90 - Public IP: ISP가 제공하는 IP 주소 - 공용 IP 주소로, 외부에 공개된 IP 주소 - 전세계에서 유일한 IP 주소 - 다른 PC로 부터 접근이 가능 - 방화벽 등의 보안 프로그램 설치 필요 있음 - Private IP: 일반 가정이나 회사 내 등에 할당된 네트워크의 IP 주소 - IPv4의 부족으로인해 서브넷팅된 IP - 라우터에 의해 로컬 네트워크 상의 PC나 장치에 할당 - 사설 IP 주소 대역 - Class A: 10.0.0.0 ~ 10.255.255.255 - Class B: 172.16.0.0 ~ 172.31.255.255 - Class C: 192.168.0.0 ~ 192.168.255.255 - 내 예시 - Bastion - Public: 15.164.212.226 - Private: 192.168.0.119 - Service - Public: 52.79.228.55 - Private: 192.168.0.38 - 탄력적 IP 주소? - 동적 클라우드 컴퓨팅을 위해 고안된 정적 IPv4 주소 - EC2 생성하여 서버 실행시키면, 고정 IP 말고 동적 IP 할당 받음 - 고정 IP: 컴퓨터에 한번 부여되면 IP 반납까지 다른 장비에 부여할 수 없는 IP - 동적 IP: 컴퓨터를 사용할 때 남아있는 IP 중에서 돌아가면서 부여하는 IP - 인터넷에서 서버 운영하고자 하려면, 공인 IP를 고정 IP로 부여하자 - 공인 IP를 부여받아야 다른 사람이 내 서버로 접속가능 - 근데 이 동적 IP는 인스턴스 중지하고 재실행하면 IP 바뀜 - 이러면 공인 IP로의 가치가 없음 - 탄력적 IP를 발급받아, 정적인 IP를, 즉 고정된 IP를 할당 받자!