Bastion Host(배스천 호스트)

Bastion Host(배스천 호스트)는 외부 네트워크와 내부 네트워크 사이에 위치해, 외부에서의 접근을 직접 받아내도록 특별히 강화된 서버다. 핵심은 “공격을 대신 맞아주는 전초기지”라는 개념이다.

일반적으로 내부 서버들은 외부 인터넷에 직접 노출되지 않는다. 대신 Bastion Host가 외부와의 접점 역할을 하며, 외부 사용자는 반드시 이 호스트를 거쳐서만 내부 시스템에 접근할 수 있다. 그래서 Bastion Host는 다른 서버보다 보안 설정이 매우 강력하게 적용된다.

구조적으로 보면 Bastion Host는 보통 DMZ(비무장지대) 영역에 위치한다. 외부 → Bastion Host → 내부 서버라는 흐름이 만들어지며, 방화벽 정책도 이 구조를 전제로 설계된다. 외부에서는 내부 서버로 직접 접근할 수 없고, Bastion Host에서 허용된 서비스와 사용자만 내부로 연결된다.

Bastion Host의 주요 특징은 명확하다.
실행되는 서비스가 최소한으로 제한된다. 필요 없는 데몬과 포트는 모두 제거한다.
강력한 접근 통제와 인증이 적용된다. 보통 SSH, VPN, 프록시 같은 제한된 접근만 허용된다.
모든 접근과 작업이 상세하게 로그로 기록된다. 침해 사고 발생 시 추적이 용이하다.
다른 내부 서버보다 보안 패치와 설정 관리가 우선순위로 이루어진다.

역할 측면에서 Bastion Host는 여러 형태로 사용될 수 있다. 내부 서버로 접속하기 위한 점프 서버(Jump Server) 역할을 하기도 하고, 외부 사용자를 대신 받아 내부 웹 서버로 전달하는 프록시 서버 역할을 하기도 한다. 즉, “외부와 내부 사이의 완충 지대” 역할을 수행한다.

Bastion Host는 외부에 노출되는 서버다.
DMZ에 위치한다.
내부 시스템 보호를 위한 전초기지 역할이다.
강화된 보안 설정과 최소 서비스 원칙이 적용된다.

정리하면, Bastion Host는
“외부 공격을 직접 받아내도록 의도적으로 노출된, 가장 단단하게 보호된 서버”라고 이해하면 된다.