[AWS SAP] bastion host접속을 브랜치 오피스로 한정

Req) 

어떤 기업이 최근 신규 App를 배포해서 VPC내의 EC2 Linux인스턴스 그룹에서 운영하고 있습니다. 

peer VPC에다 그 기업은 E2C Linux인스턴스를 론칭해서 bastion host로 제공하고 있습니다. 

App인스턴스의 Security group은 bastion host의 사설IP TCP port 22번만 접근 허용을 합니다. 

bastion host의 Security group은 0.0.0.0/0의 TCP port 22번에 대해 접근 허용이 되어 시스템 administrator는 SSH로 리모드 로그인을 이 App인스턴스에게로 서너 개의 브랜치 오피스로 부터 가능합니다. 

OS 로그를 통해 클라우드 엔지니어는 수천 개의 bastion host로의 SSH로그인 실패를 전 세계로부터 발생한 것을 확인합니다. 클라우드 엔지니어는 리모트 접속이 App인스턴스로 허가가 되도록 변경하고, 다음의 요구사항을 만족하기를 원합니다. 

 - brutce-force SSH 로그인 시도 제거 

 - 명령어 로그를 SSH세션 동안 유지 

 - port 포워딩하는 기능을 유지 

어떤 솔루션이 App인스턴스로의 리모트 접근에 대한 요구사항을 만족시킬까?

 

Sol)

서너 개의 브랜치 오피스로부터 접근 가능 전 세계로부터의 brutce-force SSH 로그인 시도 제거

bastion host의 security group을 브랜치 오피스의 공인ip로부터의 트래픽을 허용하도록 업데이트