2026-05-08 Bastion Host(배스천 호스트)
회사에서 보안을 강화한다고 서버 유일하게 접근 가능한 PC를 만든다고 하더라구요. 그래서 관련된 기술을 찾아봤습니다...
(물론 우리 회사에서 적용하는건 배스천 호스트는 아닐겁니다..)
Bastion Host(배스천 호스트)란?
배스천 호스트(Bastion Host)는 외부 인터넷과 내부 서버망 사이에서 보안 게이트 역할을 하는 서버입니다.
쉽게 말하면, 운영 서버(DB, Kubernetes, Redis 등)에 직접 접속하지 않고 반드시 거쳐 가는 중간 관문 서버라고 보면 됩니다.
보통 다음과 같은 구조로 사용합니다.
- 외부 사용자는 배스천 호스트에만 접근 가능
- 내부 서버들은 외부 IP 접근 차단
- 관리자는 SSH로 배스천 호스트 접속 후 내부 서버 이동
즉, 내부 인프라를 인터넷에 직접 노출하지 않기 위한 핵심 보안 관문입니다.
왜 사용하는가?
1. 내부 서버 보호
운영 서버를 외부에 직접 공개하면 해킹 위험이 커집니다.
배스천 호스트를 사용하면:
- 내부 서버는 Private Network에 숨김
- 외부에서는 배스천 서버만 접근 가능
- 공격 표면 최소화
2. 접근 통제 및 감사
누가 언제 어떤 서버에 접속했는지 추적하기 쉽습니다.
예:
- SSH 로그 기록
- MFA 적용
- 접속 권한 중앙 관리
- 세션 기록
기업에서는 보안 감사 때문에 거의 필수로 사용합니다.
3. 운영 환경 표준화
AWS, GCP, Azure 같은 클라우드 환경에서도 매우 흔하게 사용됩니다.
특히:
- Kubernetes 운영
- Production DB 접근
- 금융권 망 분리
- 사내 VPN 환경
등에서 기본 아키텍처처럼 사용됩니다.
일반적인 구조
인터넷
↓
[Bastion Host]
↓
내부 서버망
├─ Web Server
├─ API Server
├─ Database
└─ Kubernetes Cluster
대표적인 구성 예시
AWS
- Public Subnet → Bastion Host
- Private Subnet → 운영 서버들
보안 그룹(Security Group)으로:
- 외부 → Bastion만 허용
- 내부 서버 → Bastion IP만 허용
실무 팁
권장 사항
- Root 로그인 금지
- SSH Key 기반 인증
- MFA 적용
- Fail2Ban 적용
- 특정 IP만 허용
- Session Logging 활성화
대체 기술
최근에는 다음 기술로 일부 대체되기도 합니다.
- AWS Systems Manager Session Manager
- Tailscale
- Zero Trust Network
- Teleport
- Cloudflare Tunnel
하지만 아직도 많은 기업은 전통적인 배스천 호스트 구조를 사용합니다.
한 줄 요약
배스천 호스트는 외부와 내부 서버망 사이에서 보안을 담당하는 “중간 관문 서버”이다.
그리고 이런 느낌의 구조로 이해하면 됩니다:
Upvoted! Thank you for supporting witness @jswit.