Cloud & Platform
Azure Bastion 정리
Azure Bastion 정리 학습 내용을 정리한 백필 노트입니다.
이 글은 2025년 학습 기록을 블로그 형식으로 정리한 백필 노트입니다.
1. 개념 (Concept)
- Azure Bastion은 Azure Virtual Network(VNet) 내부의 VM에 안전하게 RDP(Windows) 및 SSH(Linux) 연결을 제공하는 PaaS 서비스입니다.
- 일반적인 방식: VM에 퍼블릭 IP를 직접 부여하고 인터넷에서 RDP/SSH 접속 → 보안 위험 발생 가능
- Bastion 방식: 퍼블릭 IP 없이 안전하게 웹 브라우저나 포털에서 연결, 모든 트래픽은 Azure 네트워크 내부를 통해 처리됨
2. 특징 (Features)
- 보안 강화
- VM에 직접 퍼블릭 IP를 부여하지 않아 공격 표면 감소
- 인터넷에서 직접 접근 불가 → Brute Force 공격 차단
- PaaS 서비스
- 관리형 서비스로 사용자가 Bastion VM 관리 필요 없음
- Azure가 백엔드에서 자동 패치, 스케일링 처리
- RDP/SSH 접속
- 브라우저 기반 접속 가능 (Azure Portal)
- 로컬 RDP/SSH 클라이언트 사용 가능
- 네트워크 통합
- VNet 내 VM과 자동 통합
- Azure Private IP만 필요
- 스케일링
- Standard SKU: 고가용성, Auto-scaling, 여러 서브넷 지원 가능
3. 구성 요소 (Components)
- Bastion Subnet
- 반드시
AzureBastionSubnet이름으로 생성 - 최소 크기: /27 (32 IP) 이상 추천
- 반드시
- Bastion Host
- 실제 Bastion VM 역할
- Azure가 관리, 사용자 관리 불필요
- Public IP
- Bastion 호스트와 연결
- Standard SKU 권장 (고가용성, 글로벌 접속 지원)
- VNet Integration
- Bastion은 단일 VNet에 배포
- 필요 시 VNet Peering 통해 다른 VNet VM 접속 가능
4. Bastion 배포 방식 (Deployment Options)
| 배포 방식 | 설명 | | --- | --- | | Basic SKU | 소규모 환경, 단일 VM 접속 가능, Auto-scaling 없음 | | Standard SKU | 고가용성, 여러 VM 접속, Auto-scaling 지원, 여러 서브넷 연결 가능 |
5. 장점 (Advantages)
- VM 퍼블릭 IP 필요 없음 → 공격 표면 감소
- RDP/SSH 연결 시 브라우저 사용 가능 → 클라이언트 설치 불필요
- 관리형 서비스 → 패치, 보안, 스케일링 자동
- Private IP만으로 안전하게 접속 가능
- VNet Peering을 통한 멀티-VNet 연결 지원
6. 단점 (Limitations)
- 포트 제한
- 브라우저 RDP/SSH → 표준 포트만 가능 (RDP: 3389, SSH: 22)
- 요금 발생
- 배포 시 고정 요금 + 시간별 요금
- Standard SKU는 비용이 더 높음
- Bastion Subnet 필요
- 반드시 /27 이상 서브넷 확보
- 트래픽 대역폭
- 고용량 파일 전송에는 성능 제한 가능
- Windows, Linux만 지원
- 일부 OS, 커스텀 포트 연결 제한
7. 사용 방법 (Usage)
- 배포
- Azure Portal → Bastion → 새 배포
- VNet, Subnet(
AzureBastionSubnet), Public IP 지정
- 접속
- Portal → VM 선택 →
Connect→Bastion - 브라우저 기반 RDP/SSH 접속
- Portal → VM 선택 →
- 자동화
- Azure CLI, PowerShell로 Bastion 생성 가능
- 예:
az network bastion create ...
8. Best Practice
- Standard SKU 사용 권장
- VNet Peering 활용 → 여러 VNet VM 접속
- 네트워크 보안 그룹(NSG) 구성 → Bastion 서브넷 제한
- 모니터링
- Azure Monitor + 로그 분석 → 접속 시도 추적
- 최소 권한 접속
- RDP/SSH 사용자 계정 최소화
💡 정리 핵심:
Azure Bastion은 VM에 퍼블릭 IP 없이 안전하게 RDP/SSH 접속할 수 있는 관리형 PaaS 서비스로, 보안 강화와 관리 편의성을 동시에 제공하지만 요금과 서브넷 요구사항에 주의해야 함.