Security > NHN Bastion > 콘솔 사용 가이드

NHN Bastion을 이용해 NHN Cloud의 인스턴스에 대한 접근을 제어할 수 있습니다. 이 문서에서는 NHN Cloud 콘솔에서 NHN Bastion을 생성하고 접근이 필요한 인스턴스에 연결하는 방법과 사용자 및 정책, 자원, 이력을 관리하는 방법을 설명합니다.

시작하기

  1. NHN Bastion을 사용하기 위해서는 가장 먼저 NHN Bastion 서비스를 활성화합니다.
  2. NHN Bastion은 서비스 제공을 위하여 API 연동을 통해 사용자의 자원에 접근할 수 있는 권한이 필요합니다.

NHN Bastion 생성

image

  1. Security > NHN Bastion으로 이동합니다.
  2. 각 항목을 설정하고 하단의 웹 터미널 생성을 클릭합니다.
    • 이름(필수): 여러 개의 웹 터미널을 이용할 경우 웹 터미널들을 구분하기 위한 이름
    • 가용성 영역(필수): 웹 터미널에서 사용할 가용성 영역
    • 타입(필수): 웹 터미널의 인스턴스 성능
      • 성능은 웹 터미널이 동시에 생성할 수 있는 SSH 세션 수를 의미
    • VPC(필수): 웹 터미널에서 사용할 VPC
    • 서브넷(필수): 웹 터미널에서 사용할 서브넷
    • 플로팅 IP(필수): 웹 터미널에서 사용할 플로팅 IP 사용 유무
      • Public Network: 플로팅 IP로 공인 IP를 사용합니다.
      • VPN Network: 플로팅 IP로 SSL VPN으로 접근 가능한 IP를 사용합니다.
    • 암호화(필수): 로그 암호화 저장 유무
      • 대칭 키 ID: Secure Key Manager 서비스에서 관리하는 대칭 키 ID
      • 암호화 설정을 위해서는 사전에 Secure Key Manager 서비스에서 대칭 키를 생성해야 합니다.

[참고] * 최초로 생성된 웹 터미널은 서비스 비활성화 시까지 스펙을 변경하거나 삭제할 수 없습니다. * 인터넷 게이트웨이가 연결된 VPC에 한하여 플로팅 IP를 연결할 수 있습니다. * 웹 터미널에서 접속 대상과의 SSH 통신을 허용해야 접속 대상에 접근할 수 있습니다. (예: Security Groups 등) * 로그 암호화 대상: 사용자 ID, 이메일, 명령어

[주의] * Secure Key Manager 서비스에서 로그 암호화에 설정한 대칭 키를 회전하는 경우, 이전 버전의 키를 즉시 삭제하지 않도록 주의가 필요합니다. * Secure Key Manager 서비스에서 로그 암호화에 설정한 대칭 키를 삭제하면 암호화된 로그를 복호화할 수 없습니다. 대칭 키를 실수로 삭제하지 않도록 주의하여 관리해야 합니다.

인스턴스 연결

정책 관리에서 사용자에게 접근이 허용된 인스턴스 목록만 표시되며 접근이 허용된 인스턴스에 접근할 수 있습니다.

image

인스턴스 접근

  1. 접근이 필요한 인스턴스에서 연결을 클릭합니다.
  2. 인스턴스 접근에 이용할 웹 터미널을 선택합니다.
  3. 접근할 인스턴스의 IP가 복수일 경우 접근 가능한 IP를 선택합니다.
  4. 인증 방식을 선택합니다.
    • SSH 키 인증
      • 인스턴스의 운영체제 계정을 입력합니다.
      • 인스턴스 생성 시 설정한 키를 업로드합니다.
    • 비밀번호 인증
      • 인스턴스의 운영체제 계정을 입력합니다.
      • 인스턴스의 비밀번호를 입력합니다.
    • 임시 SSH 키 인증
      • 인스턴스의 운영체제 계정을 입력합니다.

[주의] * 인스턴스와 SSH 통신이 가능한 웹 터미널을 선택해야 합니다. * 비밀번호 인증은 운영체제에서 비밀번호 접근이 가능하도록 설정해야 합니다. * 임시 SSH 키 인증은 스크립트를 복사한 웹 터미널을 통해서만 접근할 수 있습니다.

스크립트 배포

스크립트 배포 기능을 통해 복수의 인스턴스에 명령어/스크립트를 실행할 수 있습니다.

  1. 스크립트/명령어를 배포할 인스턴스들을 선택합니다.
  2. 스크립트 배포를 클릭합니다.
  3. 웹 터미널, 인증 정보 입력 방식을 선택한 뒤 인증 정보를 입력합니다.
  4. 전체: 배포 대상 인스턴스들의 인증 정보가 모두 동일할 경우 사용합니다.
  5. 개별: 배포 대상 인스턴스들의 인증 정보가 다를 경우 사용합니다.
  6. 배포를 클릭합니다.
  7. 스크립트 배포 현황에서 실행 결과 및 배포 결과를 확인할 수 있습니다.
  8. 배포 종료를 통해 배포를 중단할 수 있습니다.
  9. 배포 현황을 클릭하여 진행 중인 배포 현황 및 결과를 볼 수 있습니다.

사용자 관리

NHN Bastion 서비스에 권한이 있는 사용자 목록을 확인하고 사용자 그룹을 생성 및 관리할 수 있습니다.

사용자 목록

image

NHN Bastion 서비스 이용 권한을 가진 사용자 목록입니다. 사용자의 권한 및 마지막으로 인스턴스에 접근한 일시를 확인할 수 있습니다. 관리 기능을 통해 사용자의 계정을 잠그거나 잠금 해제할 수 있습니다.

[참고] 관리자가 직접 계정을 잠금 처리하는 경우에는 환경 설정의 계정 잠금 시간과 상관없이 무기한 잠깁니다.

그룹

image

사용자 그룹을 생성 및 관리할 수 있으며, 생성한 그룹은 정책 관리 탭에서 접근 주체로 등록할 수 있습니다.

  • + 그룹 생성: NHN Bastion 서비스에 권한이 있는 사용자를 추가하거나 삭제하여 그룹을 생성할 수 있습니다.
  • 복사: 생성된 사용자 그룹을 복사할 수 있습니다.
  • 수정: 생성된 사용자 그룹을 수정할 수 있습니다.
  • 삭제: 선택한 사용자 그룹을 삭제할 수 있습니다.

정책 관리

image

연결 대상에 등록된 인스턴스를 대상으로 접근 통제 정책 및 명령어 통제 정책을 설정할 수 있습니다. 각 정책에는 우선순위가 있으며 우선순위가 높은 순서대로 정책이 적용됩니다.

[예시] 아래의 [표]와 같이 정책이 적용되어 있는 경우, * user A는 Instance A 접근 가능, shutdown 명령어만 사용 불가, 그 외 명령어 사용 가능 * user A는 Instance B 접근 가능, cd 명령어만 사용 가능, 그 외 명령어 사용 불가 * user B는 Instance A 접근 가능, reboot 명령어만 사용 불가, 그 외 명령어 사용 가능 * user B는 Instance B 접근 불가

우선순위 사용자 접근 대상 명령어 정책
#1 user A Instance A [금지] shutdown
#2 user A Instance A, Instance B [허용] cd
#3 user B Instance A [금지] reboot

정책 생성

image

  • 이름: 정책의 이름을 입력할 수 있습니다.
  • 설명: 정책에 대한 설명을 입력할 수 있습니다.
  • 사용자 및 그룹: 사용자 및 사용자 그룹을 접근 주체로 등록할 수 있습니다.
  • 자원 및 자원 그룹
    • 모든 자원: 연결 대상에 추가된 자원을 모두 접근 대상으로 등록합니다.
    • 자원 선택: 인스턴스, 오토스케일링 그룹, 자원 그룹을 접근 대상으로 등록할 수 있습니다.
  • 명령어 통제 정책
    • 허용: 등록된 명령어만 사용할 수 있습니다. (화이트리스트 방식)
    • 금지: 등록된 명령어의 사용을 차단합니다. (블랙리스트 방식)

[주의] 아래의 명령어에 대해서는 명령어 정책 등록 유무와 관계없이 모두 차단됩니다. * 우회 차단 명령어: SSH, TELNET, SFTP, RCP, SCP, FTP, RSAP, RLOGIN 등

정책 순서 변경

image

정책의 우선순위를 변경할 수 있습니다. 1. 선택한 정책의 순서를 원하는 우선순위로 변경하고, 수정을 클릭합니다. 2. 순서 변경 후에서 수정한 우선순위의 미리 보기를 확인합니다. 미리 보기는 수정한 정책을 기준으로 앞, 뒤 순서의 정책이 함께 표시됩니다. 3. 저장을 클릭하여 정책의 우선순위를 변경합니다.

정책 관리

  • 수정: 선택한 정책의 내용을 수정할 수 있습니다.
  • 복사: 선택한 정책을 복사할 수 있습니다.
  • 삭제: 선택한 정책을 삭제할 수 있습니다.
  • 상세 보기: 선택한 정책의 세부 내용을 확인할 수 있습니다.

일괄 등록

image

제공되는 템플릿을 이용하여 정책을 일괄 등록할 수 있으며, 생성되어 있는 정책을 다운로드하여 백업할 수 있습니다. * 일괄 등록: 템플릿을 이용하여 정책을 일괄적으로 업로드 제공 * 정책 일괄 다운로드: 현재 적용되어 있는 정책 목록의 다운로드 제공

자원 관리

인스턴스 관리

image

자원 관리 > 인스턴스 관리 탭에서는 프로젝트 내에 등록되어 있는 인스턴스를 연결 대상으로 추가할 수 있습니다. 등록된 인스턴스를 대상으로 접근 통제 정책 및 명령어 통제 정책 기능을 제공합니다.

  • + 추가: 프로젝트 내에 존재하는 인스턴스를 선택하여 연결 대상으로 추가할 수 있습니다.
  • 삭제: 선택한 인스턴스를 연결 대상에서 삭제할 수 있습니다.

  • 전체 삭제: 등록된 모든 인스턴스를 연결 대상에서 삭제할 수 있습니다.

  • 연결 설정

    • 선택한 인스턴스의 세션 타임아웃을 변경할 수 있습니다.
      • 기본 설정: 환경 설정에 적용되어 있는 세션 타임아웃
    • 선택한 인스턴스의 접속 포트를 변경할 수 있습니다.
      • 기본 설정: 환경 설정에 적용되어 있는 접속 포트

  • 외부 자원

    • 등록: 레거시 환경의 서버나 타 프로젝트의 인스턴스 등을 수동으로 등록할 수 있습니다. image

    • 일괄 등록: 외부 자원을 템플릿을 이용하여 일괄 등록할 수 있습니다. image

[주의] 등록된 외부 자원에 대해서는 IP를 기준으로 웹 터미널에서 SSH 통신을 시도합니다. 웹 터미널에서 목적지 서버까지 통신이 가능한 환경에서만 서비스를 이용할 수 있습니다.

  • 자동 등록: 프로젝트 내에 존재하는 모든 인스턴스가 자동으로 연결 대상에 추가됩니다. 인스턴스 생성/삭제 시에도 자동으로 반영되어 연결 대상으로 추가됩니다.

[주의] 인스턴스 생성 또는 삭제에 대한 변경 사항은 최대 5분이 지난 뒤 반영될 수 있습니다.

  • 서비스 이용현황 다운로드: 현재 등록되어 있는 서비스 대상의 목록을 다운로드할 수 있습니다.

웹 터미널 관리

image

자원 관리 > 웹 터미널 관리에서 인스턴스 접근에 필요한 터미널과 배스천을 제공하는 웹 터미널 인스턴스를 생성/관리할 수 있습니다.

  • + 생성
    • 이름(필수): 복수의 웹 터미널을 이용하는 경우 웹 터미널을 구분하기 위한 이름
    • 타입(필수): 웹 터미널의 인스턴스 성능
      • 성능: 성능별 차이는 웹 터미널이 동시에 생성할 수 있는 SSH 세션 수
    • VPC(필수): 웹 터미널에서 사용할 VPC
    • 서브넷(필수): 웹 터미널에서 사용할 서브넷
    • 플로팅 IP(선택): 웹 터미널에서 사용할 플로팅 IP 사용 여부
  • 삭제: 선택한 웹 터미널을 삭제할 수 있습니다.

[주의] 서비스 활성화 시 최초로 생성된 웹 터미널은 삭제할 수 없습니다. 삭제하려면 서비스를 비활성화해야 합니다.

  • 플로팅 IP

    image * 웹 터미널의 플로팅 IP 사용 여부를 설정할 수 있습니다. * Network Firewall 서비스를 이용하는 고객이 DNAT 기능을 이용하여 웹 터미널에 퍼블릭 IP를 할당하는 경우 리다이렉션 기능을 사용으로 설정하여 웹 터미널의 퍼블릭 IP를 입력할 수 있습니다. * 사내 DNS를 이용하는 고객은 리다이렉션 기능을 사용으로 설정하여 웹 터미널의 도메인 주소를 입력할 수 있습니다.

  • IP 접근 제어

    image

    • 웹 터미널에 접근이 필요한 CIDR을 입력할 수 있습니다.

[참고] IP 접근 제어는 화이트리스트 방식으로 제공됩니다.

  • 정적 라우팅 갱신

  • 서브넷에 적용된 정적 라우팅 정책을 웹 터미널에 적용합니다.

  • 스크립트

    image * 임시 SSH 키를 이용한 접근 방식을 이용하기 위하여 대상 인스턴스에서 실행해야 하는 스크립트를 제공합니다.

[주의] * 임시 SSH 키 접근 방식은 선택한 웹 터미널에서만 적용되며, 다른 경로를 통해 접근할 때에는 제공되지 않습니다. * 웹 터미널의 IP 접근 제어에 접속 대상 인스턴스 IP가 추가되어 있어야 합니다. * 접속 대상 인스턴스의 Security Groups에서 웹 터미널 IP로 443 포트 아웃바운드 정책이 추가되어 있어야 합니다.

자원 그룹

자원 관리 > 자원 그룹 탭에서는 연결 대상에 등록되어 있는 인스턴스 그룹을 생성 및 관리할 수 있습니다.

image * + 그룹 생성: 연결 대상에 등록되어 있는 인스턴스를 추가하거나 삭제하여 그룹을 생성할 수 있습니다. * 복사: 자원 그룹을 선택해 복사할 수 있습니다. * 수정: 자원 그룹을 수정할 수 있습니다. * 삭제: 자원 그룹을 선택해 삭제할 수 있습니다.

이력 관리

NHN Bastion 서비스를 이용해 인스턴스에 접근한 이력을 관리할 수 있습니다. 로그 조회 기간은 최대 일주일까지 설정할 수 있습니다. 이력은 최대 6개월간 보관되며, 6개월 이상 보관이 필요할 경우 환경 설정 > 로그 관리에서 Object Storage에 백업할 수 있습니다.

실시간 세션

image

실시간으로 인스턴스와 연결되어 있는 세션을 확인할 수 있으며, 연결을 차단할 수 있습니다.

  • 상세 보기: 연결되어 있는 사용자 세션의 상세 정보를 확인할 수 있습니다.
  • 세션 차단: 연결되어 있는 사용자 세션을 차단합니다.

사용자 접근 이력

image

사용자가 인스턴스에 접근한 이력을 확인할 수 있으며, 검색 조건과 접속 시간을 이용하여 원하는 이력을 조회할 수 있습니다.

  • 상세 보기
    • 기본 정보: 선택한 이력의 세션 정보를 확인할 수 있습니다.
    • 로그: 선택한 이력의 세션에서 사용한 명령어 이력을 확인할 수 있습니다.

명령어 사용 이력

image

사용자가 사용한 명령어를 확인할 수 있으며, 검색 조건과 접속 시간을 이용하여 원하는 명령어 사용 이력을 조회할 수 있습니다.

  • + 명령어 등록: 주요한 명령어를 등록하여 편리하게 해당 명령어 사용 이력을 조회할 수 있습니다.
  • 명령어 선택: 등록한 명령어들을 선택하여 검색 조건에 추가할 수 있습니다.
  • 상세 보기
    • 기본 정보: 선택한 이력의 세션 정보를 확인할 수 있습니다.
    • 로그: 선택한 이력의 세션에서 사용한 명령어 이력을 확인할 수 있습니다.

파일 전송 이력

image

사용자가 인스턴스에 파일 업로드/다운로드한 이력을 확인할 수 있으며, 검색 조건과 접속 시간을 이용하여 원하는 이력을 조회할 수 있습니다.

  • 상세 보기
    • 기본 정보: 선택한 이력의 세션 정보를 확인할 수 있습니다.
    • 로그: 선택한 이력의 세션에서 사용한 명령어 이력을 확인할 수 있습니다.

환경 설정

세션 타임아웃

인스턴스 접근 시에 웹 터미널에서 제공하는 세션 타임아웃 시간을 설정할 수 있습니다.

[참고] 웹 터미널에서 제공하는 세션 타임아웃 설정이므로, 운영체제에서 설정한 세션 타임아웃과는 별개로 동작합니다.

최대 연결 세션

사용자가 동시에 연결할 수 있는 최대 세션 수를 설정할 수 있습니다.

로그 관리

NHN Bastion 서비스에서 제공하는 로그를 고객의 Object Storage에 백업할 수 있습니다.

  • 액세스 키: S3 API 자격 증명 접근 키
  • 시크릿 키: S3 API 자격 증명 비밀 키
  • 버킷 이름: 생성한 버킷 이름
  • 엔드포인트
  • 한국(판교) 리전: https://kr1-api-object-storage.gov-nhncloudservice.com
  • 한국(평촌) 리전: https://kr2-api-object-storage.gov-nhncloudservice.com
  • 리전
  • 한국(판교) 리전: KR1
  • 한국(평촌) 리전: KR2

[참고] 로그 암호화 사용 시 로그는 복호화하여 Object Storage에 백업됩니다. 백업을 설정한 시점의 로그부터 Object Storage에 백업됩니다. 이전에 저장된 로그는 백업되지 않습니다.

[주의] 최초 생성된 웹 터미널이 위치한 VPC에 인터넷 게이트웨이가 없는 경우에는 다른 리전의 Object Storage 백업이 지원되지 않습니다.

접속 포트 관리

인스턴스 접근에 사용되는 SSH 포트를 지정할 수 있습니다.

[참고] 웹 터미널에서 접근 대상 인스턴스로 연결할 때 이용하는 포트로, 운영체제에서 설정한 SSH 포트로 설정해야 합니다.

암호화

암호화 활성화 여부와 적용된 대칭 키 ID를 확인할 수 있습니다. Secure Key Manager에서 키 회전을 수행한 경우 키 회전 버튼을 통해 이전 버전의 키를 최신 버전으로 업데이트할 수 있습니다.

[주의] Secure Key Manager에서 키 회전 수행 후 NHN Bastion 서비스에서 키를 업데이트하지 않을 경우 로그 조회에 오류가 발생할 수 있습니다.

세션 차단

사용자가 일정 횟수 이상 금지 명령어를 사용하면 세션을 차단할 수 있습니다.

계정 잠금

인증 실패 및 세션 차단됨에 따라 계정을 잠금할 수 있습니다. * 계정 잠금 시간: 계정이 잠길 경우 잠금 시간을 설정합니다. * 연속적인 세션 차단: 연속적으로 일정 횟수 이상 세션이 차단되는 경우 계정이 잠깁니다. * 시간당 세션 차단: 한 시간 내에 일정 횟수 이상 세션이 차단될 경우 계정이 잠깁니다. * 연속적인 인증 실패: 연속적으로 일정 횟수 이상 인증에 실패하는 경우 계정이 잠깁니다. * 시간당 인증 실패: 한 시간 내에 일정 횟수 이상 인증에 실패하는 경우 계정이 잠깁니다.

[참고] 사용자 관리에서 관리자가 직접 계정을 잠금 처리하는 경우에는 계정 잠금 시간과 상관없이 무기한 잠깁니다. 실시간 세션에서 관리자가 직접 세션을 차단하는 경우는 세션 차단 횟수에 포함되지 않습니다.

DB 이중화

사용자 접근 이력, 명령어 사용 이력, 파일 전송 이력을 저장하는 DB를 이중화하여 서비스 고가용성을 제공합니다.

[주의] DB 이중화 사용/미사용으로 구성을 변경하는 동안에는 NHN Bastion 서비스 이용이 불가능합니다. 구성 변경은 15분 정도 소요될 수 있습니다.

NHN Bastion 삭제

NHN Bastion 서비스에서 생성된 모든 자원을 삭제합니다.

[주의] NHN Bastion 서비스 이용 중 생성된 데이터와 서비스 내의 모든 리소스가 삭제되며, 한번 삭제된 정보는 복구할 수 없습니다.

웹 터미널

브라우저 기반의 웹 터미널을 제공하며, 파일 업로드/다운로드 기능을 제공합니다.

[참고] 로컬에서 복사한 내용을 원격 서버에 붙여 넣기 위해 브라우저에서 클립보드에 저장된 텍스트 또는 이미지를 확인할 수 있는 권한을 허용해야 합니다.

파일 전송

우측 화살표 버튼을 클릭해 파일 내비게이터를 실행할 수 있습니다. 파일 내비게이터를 통하여 원하는 경로의 파일을 업로드하거나 다운로드할 수 있습니다. 우측 화살표 버튼을 클릭해 글꼴 크기를 조절할 수 있습니다.

[참고] 최초 접속한 운영체제 계정의 권한을 기준으로 파일 전송이 가능하며, su 명령어를 통한 계정 변경은 반영되지 않습니다. 드래그 앤 드롭으로 파일을 업로드하는 경우 현재 디렉터리 경로와 관계없이 홈 디렉터리에 저장됩니다.

목차
TOP