반응형
Req)
어떤 기업이 최근 신규 App를 배포해서 VPC내의 EC2 Linux인스턴스 그룹에서 운영하고 있습니다.
peer VPC에다 그 기업은 E2C Linux인스턴스를 론칭해서 bastion host로 제공하고 있습니다.
App인스턴스의 Security group은 bastion host의 사설IP TCP port 22번만 접근 허용을 합니다.
bastion host의 Security group은 0.0.0.0/0의 TCP port 22번에 대해 접근 허용이 되어 시스템 administrator는 SSH로 리모드 로그인을 이 App인스턴스에게로 서너 개의 브랜치 오피스로 부터 가능합니다.
OS 로그를 통해 클라우드 엔지니어는 수천 개의 bastion host로의 SSH로그인 실패를 전 세계로부터 발생한 것을 확인합니다. 클라우드 엔지니어는 리모트 접속이 App인스턴스로 허가가 되도록 변경하고, 다음의 요구사항을 만족하기를 원합니다.
- brutce-force SSH 로그인 시도 제거
- 명령어 로그를 SSH세션 동안 유지
- port 포워딩하는 기능을 유지
어떤 솔루션이 App인스턴스로의 리모트 접근에 대한 요구사항을 만족시킬까?
Sol)
| 서너 개의 브랜치 오피스로부터 접근 가능 전 세계로부터의 brutce-force SSH 로그인 시도 제거 |
bastion host의 security group을 브랜치 오피스의 공인ip로부터의 트래픽을 허용하도록 업데이트 |
반응형
'ITPE metacog > Cloud metacog' 카테고리의 다른 글
| [AWS SAP] gp2볼륨 인스턴스의 IOPS 증대 (0) | 2021.04.01 |
|---|---|
| [AWS SAP] 동적 이미지 로딩 느림과 HTTP 타임아웃 에러 (0) | 2021.03.29 |
| [AWS SAP] 실시간의 로그 수집, 저장과 Daily Batch 처리 (0) | 2021.03.29 |
| [AWS SAP] 인증과 권한 (0) | 2021.03.26 |
| k8s Ingress (0) | 2021.03.26 |
