Security > NHN Bastion > 콘솔 사용 가이드

NHN Bastion을 이용해 NHN Cloud의 인스턴스에 대한 접근을 제어할 수 있습니다. 이 문서에서는 NHN Cloud 콘솔에서 NHN Bastion을 생성하고 접근이 필요한 인스턴스에 연결하는 방법과 사용자 및 정책, 자원, 이력을 관리하는 방법을 설명합니다.

시작하기

  1. NHN Bastion을 사용하기 위해서는 가장 먼저 NHN Bastion 서비스를 활성화합니다.
  2. NHN Bastion은 서비스 제공을 위하여 API 연동을 통해 사용자의 자원에 접근할 수 있는 권한이 필요합니다.

NHN Bastion 생성

image

  1. Security > NHN Bastion으로 이동합니다.
  2. 각 항목을 설정하고 하단의 웹 터미널 생성을 클릭합니다.
    • 이름(필수): 여러 개의 웹 터미널을 이용할 경우 웹 터미널들을 구분하기 위한 이름
    • 가용성 영역(필수): 웹 터미널에서 사용할 가용성 영역
    • 타입(필수): 웹 터미널의 인스턴스 성능
      • 성능은 웹 터미널이 동시에 생성할 수 있는 SSH 세션 수를 의미
    • VPC(필수): 웹 터미널에서 사용할 VPC
    • 서브넷(필수): 웹 터미널에서 사용할 서브넷
    • 플로팅 IP(필수): 웹 터미널에서 사용할 플로팅 IP 사용 유무
    • 암호화(필수): 로그 암호화 저장 유무
      • 대칭 키 ID: Secure Key Manager 서비스에서 관리하는 대칭 키 ID
      • 암호화 설정을 위해서는 사전에 Secure Key Manager 서비스에서 대칭 키를 생성해야 합니다.

[참고] * 최초로 생성된 웹 터미널은 서비스 비활성화 시까지 스펙을 변경하거나 삭제할 수 없습니다. * 인터넷 게이트웨이가 연결된 VPC에 한하여 플로팅 IP를 연결할 수 있습니다. * 웹 터미널에서 접속 대상과의 SSH 통신을 허용해야 접속 대상에 접근할 수 있습니다. (예: Security Groups 등) * 로그 암호화 대상: 사용자 ID, 이메일, 명령어

[주의] * Secure Key Manager 서비스에서 로그 암호화에 설정한 대칭 키를 회전하는 경우, 이전 버전의 키를 즉시 삭제하지 않도록 주의가 필요합니다. * Secure Key Manager 서비스에서 로그 암호화에 설정한 대칭 키를 삭제하면 암호화된 로그를 복호화할 수 없습니다. 대칭 키를 실수로 삭제하지 않도록 주의하여 관리해야 합니다.

인스턴스 연결

정책 관리에서 사용자에게 접근이 허용된 인스턴스 목록만 표시되며 접근이 허용된 인스턴스에 접근할 수 있습니다.

인스턴스 접근

  1. 접근이 필요한 인스턴스에서 연결을 클릭합니다.
  2. 인스턴스 접근에 이용할 웹 터미널을 선택합니다.
  3. 접근할 인스턴스의 IP가 복수일 경우 접근 가능한 IP를 선택합니다.
  4. 인증 방식을 선택합니다.
    • SSH 키 인증
      • 인스턴스의 운영체제 계정을 입력합니다.
      • 인스턴스 생성 시 설정한 키를 업로드합니다.
    • 비밀번호 인증
      • 인스턴스의 운영체제 계정을 입력합니다.
      • 인스턴스의 비밀번호를 입력합니다.
    • 임시 SSH 키 인증
      • 인스턴스의 운영체제 계정을 입력합니다.

[주의] * 인스턴스와 SSH 통신이 가능한 웹 터미널을 선택해야 합니다. * 비밀번호 인증은 운영체제에서 비밀번호 접근이 가능하도록 설정해야 합니다. * 임시 SSH 키 인증은 스크립트를 복사한 웹 터미널을 통해서만 접근할 수 있습니다.

사용자 관리

NHN Bastion 서비스에 권한이 있는 사용자 목록을 확인하고 사용자 그룹을 생성 및 관리할 수 있습니다.

사용자 목록

image

NHN Bastion 서비스 이용 권한을 가진 사용자 목록입니다. 사용자의 권한 및 마지막으로 인스턴스에 접근한 일시를 확인할 수 있습니다.

그룹

image

사용자 그룹을 생성 및 관리할 수 있으며, 생성한 그룹은 정책 관리 탭에서 접근 주체로 등록할 수 있습니다.

  • + 그룹 생성: NHN Bastion 서비스에 권한이 있는 사용자를 추가하거나 삭제하여 그룹을 생성할 수 있습니다.
  • 복사: 생성된 사용자 그룹을 복사할 수 있습니다.
  • 수정: 생성된 사용자 그룹을 수정할 수 있습니다.
  • 삭제: 선택한 사용자 그룹을 삭제할 수 있습니다.

정책 관리

image

연결 대상에 등록된 인스턴스를 대상으로 접근 통제 정책 및 명령어 통제 정책을 설정할 수 있습니다. 각 정책에는 우선순위가 있으며 우선순위가 높은 순서대로 정책이 적용됩니다.

[예시] 아래의 [표]와 같이 정책이 적용되어 있는 경우, * user A는 Instance A 접근 가능, shutdown 명령어만 사용 불가, 그 외 명령어 사용 가능 * user A는 Instance B 접근 가능, cd 명령어만 사용 가능, 그 외 명령어 사용 불가 * user B는 Instance A 접근 가능, reboot 명령어만 사용 불가, 그 외 명령어 사용 가능 * user B는 Instance B 접근 불가

우선순위 사용자 접근 대상 명령어 정책
#1 user A Instance A [금지] shutdown
#2 user A Instance A, Instance B [허용] cd
#3 user B Instance A [금지] reboot

정책 생성

image

  • 이름: 정책의 이름을 입력할 수 있습니다.
  • 설명: 정책에 대한 설명을 입력할 수 있습니다.
  • 사용자 및 그룹: 사용자 및 사용자 그룹을 접근 주체로 등록할 수 있습니다.
  • 자원 및 자원 그룹
    • 모든 자원: 연결 대상에 추가된 자원을 모두 접근 대상으로 등록합니다.
    • 자원 선택: 인스턴스, 오토스케일링 그룹, 자원 그룹을 접근 대상으로 등록할 수 있습니다.
  • 명령어 통제 정책
    • 허용: 등록된 명령어만 사용할 수 있습니다. (화이트리스트 방식)
    • 금지: 등록된 명령어의 사용을 차단합니다. (블랙리스트 방식)

[주의] 아래의 명령어에 대해서는 명령어 정책 등록 유무와 관계없이 모두 차단됩니다. * 우회 차단 명령어: SSH, TELNET, SFTP, RCP, SCP, FTP, RSAP, RLOGIN 등

정책 순서 변경

image

정책의 우선순위를 변경할 수 있습니다. 1. 선택한 정책의 순서를 원하는 우선순위로 변경하고, 수정을 클릭합니다. 2. 순서 변경 후에서 수정한 우선순위의 미리 보기를 확인합니다. 미리 보기는 수정한 정책을 기준으로 앞, 뒤 순서의 정책이 함께 표시됩니다. 3. 저장을 클릭하여 정책의 우선순위를 변경합니다.

정책 관리

  • 수정: 선택한 정책의 내용을 수정할 수 있습니다.
  • 복사: 선택한 정책을 복사할 수 있습니다.
  • 삭제: 선택한 정책을 삭제할 수 있습니다.
  • 상세 보기: 선택한 정책의 세부 내용을 확인할 수 있습니다.

일괄 등록

image

제공되는 템플릿을 이용하여 정책을 일괄 등록할 수 있으며, 생성되어 있는 정책을 다운로드하여 백업할 수 있습니다. * 일괄 등록: 템플릿을 이용하여 정책을 일괄적으로 업로드 제공 * 정책 일괄 다운로드: 현재 적용되어 있는 정책 목록의 다운로드 제공

자원 관리

인스턴스 관리

image

자원 관리 > 인스턴스 관리 탭에서는 프로젝트 내에 등록되어 있는 인스턴스를 연결 대상으로 추가할 수 있습니다. 등록된 인스턴스를 대상으로 접근 통제 정책 및 명령어 통제 정책 기능을 제공합니다.

  • + 추가: 프로젝트 내에 존재하는 인스턴스를 선택하여 연결 대상으로 추가할 수 있습니다.
  • 삭제: 선택한 인스턴스를 연결 대상에서 삭제할 수 있습니다.
  • 전체 삭제: 등록된 모든 인스턴스를 연결 대상에서 삭제할 수 있습니다.

  • 연결 설정

    • 선택한 인스턴스의 세션 타임아웃을 변경할 수 있습니다.
      • 기본 설정: 환경 설정에 적용되어 있는 세션 타임아웃
    • 선택한 인스턴스의 접속 포트를 변경할 수 있습니다.
      • 기본 설정: 환경 설정에 적용되어 있는 접속 포트
  • 외부 자원

  • 등록: 레거시 환경의 서버나 타 프로젝트의 인스턴스 등을 수동으로 등록할 수 있습니다. image

  • 일괄 등록: 외부 자원을 템플릿을 이용하여 일괄 등록할 수 있습니다. image

[주의] 등록된 외부 자원에 대해서는 IP를 기준으로 웹 터미널에서 SSH 통신을 시도합니다. 웹 터미널에서 목적지 서버까지 통신이 가능한 환경에서만 서비스를 이용할 수 있습니다.

  • 자동 등록: 프로젝트 내에 존재하는 모든 인스턴스가 자동으로 연결 대상에 추가됩니다. 인스턴스 생성/삭제 시에도 자동으로 반영되어 연결 대상으로 추가됩니다.

[주의] 인스턴스 생성 또는 삭제에 대한 변경 사항은 최대 5분이 지난 뒤 반영될 수 있습니다.

  • 서비스 이용현황 다운로드: 현재 등록되어 있는 서비스 대상의 목록을 다운로드할 수 있습니다.

웹 터미널 관리

image

자원 관리 > 웹 터미널 관리에서 인스턴스 접근에 필요한 터미널과 배스천을 제공하는 웹 터미널 인스턴스를 생성/관리할 수 있습니다.

  • + 생성
    • 이름(필수): 복수의 웹 터미널을 이용하는 경우 웹 터미널을 구분하기 위한 이름
    • 타입(필수): 웹 터미널의 인스턴스 성능
      • 성능: 성능별 차이는 웹 터미널이 동시에 생성할 수 있는 SSH 세션 수
    • VPC(필수): 웹 터미널에서 사용할 VPC
    • 서브넷(필수): 웹 터미널에서 사용할 서브넷
    • 플로팅 IP(선택): 웹 터미널에서 사용할 플로팅 IP 사용 여부
  • 삭제: 선택한 웹 터미널을 삭제할 수 있습니다.

[주의] 서비스 활성화 시 최초로 생성된 웹 터미널은 삭제할 수 없습니다. 삭제하려면 서비스를 비활성화해야 합니다.

  • 플로팅 IP

    image * 웹 터미널의 플로팅 IP 사용 여부를 설정할 수 있습니다. * Network Firewall 서비스를 이용하는 고객이 DNAT 기능을 이용하여 웹 터미널에 퍼블릭 IP를 할당하는 경우 리다이렉션 기능을 사용으로 설정하여 웹 터미널의 퍼블릭 IP를 입력할 수 있습니다. * 사내 DNS를 이용하는 고객은 리다이렉션 기능을 사용으로 설정하여 웹 터미널의 도메인 주소를 입력할 수 있습니다.

  • IP 접근 제어

    image

    • 웹 터미널에 접근이 필요한 CIDR을 입력할 수 있습니다.

[참고] IP 접근 제어는 화이트리스트 방식으로 제공됩니다.

  • 정적 라우팅 갱신

  • 서브넷에 적용된 정적 라우팅 정책을 웹 터미널에 적용합니다.

  • 스크립트

    image * 임시 SSH 키를 이용한 접근 방식을 이용하기 위하여 대상 인스턴스에서 실행해야 하는 스크립트를 제공합니다.

[주의] * 임시 SSH 키 접근 방식은 선택한 웹 터미널에서만 적용되며, 다른 경로를 통해 접근할 때에는 제공되지 않습니다. * 웹 터미널의 IP 접근 제어에 접속 대상 인스턴스 IP가 추가되어 있어야 합니다. * 접속 대상 인스턴스의 Security Groups에서 웹 터미널 IP로 443 포트 아웃바운드 정책이 추가되어 있어야 합니다.

자원 그룹

자원 관리 > 자원 그룹 탭에서는 연결 대상에 등록되어 있는 인스턴스 그룹을 생성 및 관리할 수 있습니다.

image * + 그룹 생성: 연결 대상에 등록되어 있는 인스턴스를 추가하거나 삭제하여 그룹을 생성할 수 있습니다. * 복사: 자원 그룹을 선택해 복사할 수 있습니다. * 수정: 자원 그룹을 수정할 수 있습니다. * 삭제: 자원 그룹을 선택해 삭제할 수 있습니다.

이력 관리

NHN Bastion 서비스를 이용해 인스턴스에 접근한 이력을 관리할 수 있습니다. 로그 조회 기간은 최대 일주일까지 설정할 수 있습니다. 이력은 최대 6개월간 보관되며, 6개월 이상 보관이 필요할 경우 환경 설정 > 로그 관리에서 Object Storage에 백업할 수 있습니다.

실시간 세션

image

실시간으로 인스턴스와 연결되어 있는 세션을 확인할 수 있으며, 연결을 차단할 수 있습니다.

  • 상세 보기: 연결되어 있는 사용자 세션의 상세 정보를 확인할 수 있습니다.
  • 세션 차단: 연결되어 있는 사용자 세션을 차단합니다.

사용자 접근 이력

image

사용자가 인스턴스에 접근한 이력을 확인할 수 있으며, 검색 조건과 접속 시간을 이용하여 원하는 이력을 조회할 수 있습니다.

  • 상세 보기
    • 기본 정보: 선택한 이력의 세션 정보를 확인할 수 있습니다.
    • 로그: 선택한 이력의 세션에서 사용한 명령어 이력을 확인할 수 있습니다.

명령어 사용 이력

image

사용자가 사용한 명령어를 확인할 수 있으며, 검색 조건과 접속 시간을 이용하여 원하는 명령어 사용 이력을 조회할 수 있습니다.

  • + 명령어 등록: 주요한 명령어를 등록하여 편리하게 해당 명령어 사용 이력을 조회할 수 있습니다.
  • 명령어 선택: 등록한 명령어들을 선택하여 검색 조건에 추가할 수 있습니다.
  • 상세 보기
    • 기본 정보: 선택한 이력의 세션 정보를 확인할 수 있습니다.
    • 로그: 선택한 이력의 세션에서 사용한 명령어 이력을 확인할 수 있습니다.

파일 전송 이력

image

사용자가 인스턴스에 파일 업로드/다운로드한 이력을 확인할 수 있으며, 검색 조건과 접속 시간을 이용하여 원하는 이력을 조회할 수 있습니다.

  • 상세 보기
    • 기본 정보: 선택한 이력의 세션 정보를 확인할 수 있습니다.
    • 로그: 선택한 이력의 세션에서 사용한 명령어 이력을 확인할 수 있습니다.

환경 설정

image

세션 타임아웃

인스턴스 접근 시에 웹 터미널에서 제공하는 세션 타임아웃 시간을 설정할 수 있습니다.

[참고] 웹 터미널에서 제공하는 세션 타임아웃 설정이므로, 운영체제에서 설정한 세션 타임아웃과는 별개로 동작합니다.

최대 연결 세션

사용자가 동시에 연결할 수 있는 최대 세션 수를 설정할 수 있습니다.

로그 관리

NHN Bastion 서비스에서 제공하는 로그를 고객의 Object Storage에 백업할 수 있습니다.

  • 액세스 키: S3 API 자격 증명 접근 키
  • 시크릿 키: S3 API 자격 증명 비밀 키
  • 버킷 이름: 생성한 버킷 이름
  • 엔드포인트
  • 한국(판교) 리전: https://kr1-api-object-storage.nhncloudservice.com
  • 한국(평촌) 리전: https://kr2-api-object-storage.nhncloudservice.com
  • 한국(광주) 리전: https://kr3-api-object-storage.nhncloudservice.com
  • 리전
  • 한국(판교) 리전: KR1
  • 한국(평촌) 리전: KR2
  • 한국(광주) 리전: KR3

[참고] 로그 암호화 사용 시 로그는 복호화하여 Object Storage에 백업됩니다. 백업을 설정한 시점의 로그부터 Object Storage에 백업됩니다. 이전에 저장된 로그는 백업되지 않습니다.

[주의] 최초 생성된 웹 터미널이 위치한 VPC에 인터넷 게이트웨이가 없는 경우에는 다른 리전의 Object Storage 백업이 지원되지 않습니다.

접속 포트 관리

인스턴스 접근에 사용되는 SSH 포트를 지정할 수 있습니다.

[참고] 웹 터미널에서 접근 대상 인스턴스로 연결할 때 이용하는 포트로, 운영체제에서 설정한 SSH 포트로 설정해야 합니다.

암호화

암호화 활성화 여부와 적용된 대칭 키 ID를 확인할 수 있습니다. Secure Key Manager에서 키 회전을 수행한 경우 키 회전 버튼을 통해 이전 버전의 키를 최신 버전으로 업데이트할 수 있습니다.

[주의] Secure Key Manager에서 키 회전 수행 후 NHN Bastion 서비스에서 키를 업데이트하지 않을 경우 로그 조회에 오류가 발생할 수 있습니다.

NHN Bastion 삭제

NHN Bastion 서비스에서 생성된 모든 자원을 삭제합니다.

[주의] NHN Bastion 서비스 이용 중 생성된 데이터와 서비스 내의 모든 리소스가 삭제되며, 한번 삭제된 정보는 복구할 수 없습니다.

웹 터미널

브라우저 기반의 웹 터미널을 제공하며, 파일 업로드/다운로드 기능을 제공합니다.

[참고] 로컬에서 복사한 내용을 원격 서버에 붙여 넣기 위해 브라우저에서 클립보드에 저장된 텍스트 또는 이미지를 확인할 수 있는 권한을 허용해야 합니다.

파일 전송

우측 화살표 버튼을 클릭해 파일 내비게이터를 실행할 수 있습니다. 파일 내비게이터를 통하여 원하는 경로의 파일을 업로드하거나 다운로드할 수 있습니다. 우측 화살표 버튼을 클릭해 글꼴 크기를 조절할 수 있습니다.

[참고] 최초 접속한 운영체제 계정의 권한을 기준으로 파일 전송이 가능하며, su 명령어를 통한 계정 변경은 반영되지 않습니다. 드래그 앤 드롭으로 파일을 업로드하는 경우 현재 디렉터리 경로와 관계없이 홈 디렉터리에 저장됩니다.

TOP