Taeyoung Kim

Cloud & Platform

Azure Bastion 정리

Azure Bastion 정리 학습 내용을 정리한 백필 노트입니다.

이 글은 2025년 학습 기록을 블로그 형식으로 정리한 백필 노트입니다.


1. 개념 (Concept)

  • Azure Bastion은 Azure Virtual Network(VNet) 내부의 VM에 안전하게 RDP(Windows) 및 SSH(Linux) 연결을 제공하는 PaaS 서비스입니다.
  • 일반적인 방식: VM에 퍼블릭 IP를 직접 부여하고 인터넷에서 RDP/SSH 접속 → 보안 위험 발생 가능
  • Bastion 방식: 퍼블릭 IP 없이 안전하게 웹 브라우저나 포털에서 연결, 모든 트래픽은 Azure 네트워크 내부를 통해 처리됨

2. 특징 (Features)

  1. 보안 강화
    • VM에 직접 퍼블릭 IP를 부여하지 않아 공격 표면 감소
    • 인터넷에서 직접 접근 불가 → Brute Force 공격 차단
  2. PaaS 서비스
    • 관리형 서비스로 사용자가 Bastion VM 관리 필요 없음
    • Azure가 백엔드에서 자동 패치, 스케일링 처리
  3. RDP/SSH 접속
    • 브라우저 기반 접속 가능 (Azure Portal)
    • 로컬 RDP/SSH 클라이언트 사용 가능
  4. 네트워크 통합
    • VNet 내 VM과 자동 통합
    • Azure Private IP만 필요
  5. 스케일링
    • Standard SKU: 고가용성, Auto-scaling, 여러 서브넷 지원 가능

3. 구성 요소 (Components)

  1. Bastion Subnet
    • 반드시 AzureBastionSubnet 이름으로 생성
    • 최소 크기: /27 (32 IP) 이상 추천
  2. Bastion Host
    • 실제 Bastion VM 역할
    • Azure가 관리, 사용자 관리 불필요
  3. Public IP
    • Bastion 호스트와 연결
    • Standard SKU 권장 (고가용성, 글로벌 접속 지원)
  4. VNet Integration
    • Bastion은 단일 VNet에 배포
    • 필요 시 VNet Peering 통해 다른 VNet VM 접속 가능

4. Bastion 배포 방식 (Deployment Options)

| 배포 방식 | 설명 | | --- | --- | | Basic SKU | 소규모 환경, 단일 VM 접속 가능, Auto-scaling 없음 | | Standard SKU | 고가용성, 여러 VM 접속, Auto-scaling 지원, 여러 서브넷 연결 가능 |


5. 장점 (Advantages)

  1. VM 퍼블릭 IP 필요 없음 → 공격 표면 감소
  2. RDP/SSH 연결 시 브라우저 사용 가능 → 클라이언트 설치 불필요
  3. 관리형 서비스 → 패치, 보안, 스케일링 자동
  4. Private IP만으로 안전하게 접속 가능
  5. VNet Peering을 통한 멀티-VNet 연결 지원

6. 단점 (Limitations)

  1. 포트 제한
    • 브라우저 RDP/SSH → 표준 포트만 가능 (RDP: 3389, SSH: 22)
  2. 요금 발생
    • 배포 시 고정 요금 + 시간별 요금
    • Standard SKU는 비용이 더 높음
  3. Bastion Subnet 필요
    • 반드시 /27 이상 서브넷 확보
  4. 트래픽 대역폭
    • 고용량 파일 전송에는 성능 제한 가능
  5. Windows, Linux만 지원
    • 일부 OS, 커스텀 포트 연결 제한

7. 사용 방법 (Usage)

  1. 배포
    • Azure Portal → Bastion → 새 배포
    • VNet, Subnet(AzureBastionSubnet), Public IP 지정
  2. 접속
    • Portal → VM 선택 → ConnectBastion
    • 브라우저 기반 RDP/SSH 접속
  3. 자동화
    • Azure CLI, PowerShell로 Bastion 생성 가능
    • 예: az network bastion create ...

8. Best Practice

  1. Standard SKU 사용 권장
  2. VNet Peering 활용 → 여러 VNet VM 접속
  3. 네트워크 보안 그룹(NSG) 구성 → Bastion 서브넷 제한
  4. 모니터링
    • Azure Monitor + 로그 분석 → 접속 시도 추적
  5. 최소 권한 접속
    • RDP/SSH 사용자 계정 최소화

💡 정리 핵심:

Azure Bastion은 VM에 퍼블릭 IP 없이 안전하게 RDP/SSH 접속할 수 있는 관리형 PaaS 서비스로, 보안 강화와 관리 편의성을 동시에 제공하지만 요금과 서브넷 요구사항에 주의해야 함.