Bastion 서버는 일반적으로 보안을 강화하기 위해 사설 네트워크의 내부 서버에 대한 외부에서의 접속을 허용하거나 관리하기 위해 사용됩니다. 주로 SSH(보안 셸) 또는 VPN(가상 사설망)을 통해 외부에서 내부 서버에 접속할 수 있도록 합니다. 보통 사설 네트워크에 존재하며, 외부 네트워크와의 통신을 관리하고 모니터링합니다.

2. proxy 서버:

Proxy 서버는 주로 클라이언트와 서버 간의 통신을 중계하는 역할을 합니다. 클라이언트가 외부 리소스에 접근할 때, 중간에 위치한 Proxy 서버를 통해 요청을 전달하고 응답을 받습니다. 주로 웹 프록시, 애플리케이션 프록시, 리버스 프록시 등 다양한 형태로 사용됩니다. 보안, 캐싱, 로드 밸런싱 등 다양한 기능을 수행할 수 있습니다.

2.1 웹 프록시 (Web Proxy):

웹 프록시는 클라이언트가 웹 서버에 HTTP 요청을 보낼 때 중간에서 요청을 받아 그 내용을 수정하거나 필터링한 후 웹 서버로 전달합니다. 주로 웹 콘텐츠 필터링, 캐싱, 익명성 보호 등의 용도로 사용됩니다.

2.2 애플리케이션 프록시 (Application Proxy):

애플리케이션 프록시는 특정 애플리케이션 프로토콜 (예: SMTP, FTP, SIP 등)을 사용하는 통신을 중개합니다. 각 프로토콜에 맞게 요청을 해석하고 중계하는 역할을 합니다.

2.3 리버스 프록시 (Reverse Proxy):

리버스 프록시는 외부 클라이언트 요청을 내부 서버로 중계하는 서버입니다. 내부 서버를 외부로부터 보호하고 부하 분산, SSL 암호화, 캐싱 등의 기능을 제공합니다.

• 모든 도메인에 위치한 자원에 권한을 할당할 수 있는 그룹

• 글로벌 그룹을 생성한 도메인의 구성원만 포함

2. 도메인 로컬 그룹(Domain Local Group)

• 도메인 로컬 그룹은 글로벌 그룹과 반대

• 다른 도메인에 있는 사용자도 구성원이 될 수 있음
• 자원은 이 도메인 로컬 그룹이 소속된 도메인에 제한

3. 유니버셜 그룹(Universal Group)

• 글로벌 그룹과 도메인 로컬 그룹을 합쳐 놓은 개념

• 모든 도메인의 자원에 접근 자원
• 구성원은 모든 도메인의 사용자 계정
• 유니버셜 그룹의 정보는 글로벌 카탈로그(GC)에 모두 저장되기 때문에 전반적인 Active Directory 네트워크 성능에 나쁜 영향을 끼침

참고 문서

• AWS Managed Microsoft AD 테스트 랩 자습서

1. AWS Directory Service란?

다른 AWS 서비스에서 Microsoft Active Directory를 사용할 수 있는 몇 가지 방법을 제공합니다. 디렉토리는 사용자, 그룹 및 디바이스에 대한 정보를 저장하고 관리자는 이를 사용하여 정보 및 리소스에 대한 접근 관리를 합니다.

2. AWS Managed Microsoft AD Directory 생성

경로: AWS Admin console > Directory Service > Set up directory

AWS Managed Microsoft AD를 선택한 뒤, 'Next'를 클릭합니다.

1. Edition: 에디션은 회사 규머에 따라 선택이 가능하며 자세한 사항은 해당 페이지로 이동하여 확인할 수 있습니다.
2. Directory DNS name: 디렉토리 DNS 이름을 정해서 기입합니다.

• Admin 계정에 대한 비밀번호를 생성합니다.

• Admin 계정은 디렉토리 생성 프로세스 도중에 자동으로 생성됩니다.

• VPC생성에 대한 자세한 사항은 해당 페이지로 이동하여 확인할 수 있습니다.

• 생성된 VPC를 선택하여 서브넷은 가용영역이 다른 2개의 서브넷을 선택합니다.

• 설정한 디렉토리 정보를 확인하고 필요한 사항을 변경합니다.

• 정보가 올바르면 "Create directory"를 클릭합니다.
• 디렉토리 생성은 20~40분 정도 소요됩니다.

• 디렉토리 생성이 완료되면 상태 값이 활성 상태로 변경됩니다.

3. EC2 인스턴스 배포

3.1 (옵션) 디렉토리에 대해 DHCP Option Sets 생성

경로: AWS Admin console > VPC > DHCP OPtion Sets > Create DHCP options set

• DHCP란? TCP/IP 네트워크의 모든 디바이스는 네트워크를 통해 통신하기 위해 IP 주소가 필요합니다. 이전에는 네트워크의 각 디바이스에 수동으로 IP 주소를 할당했는데 오늘날에는 DHCP(동적 호스트 구성 프로토콜) 서버에서 동적으로 IP 주소가 할당됩니다.

1. DHCP option set name: DHCP 옵션 세트에 대한 이름을 입력합니다.
2. Domain name: 디렉토리 도메인 이름을 입력합니다.
3. Domain name servers: 디렉토리 DNS 서버가 제공하는 AWS IP 주소를 입력합니다.

3.2 Windows 인스턴스를 AWS Managed Microsoft AD 도메인에 조인할 역할 생성

경로: AWS Admin console > IAM > Roles > Creat role

1. Trusted entity type: AWS service 선택합니다.
2. Use case: EC2를 선택하고 'Next'를 클릭합니다.

• 아래 2개의 정책 선택 후, 'Next'를 클릭합니다.

1. AmazonSSMManagedInstanceCore 정책을 선택합니다. 이 정책에서는 Systems Manager 서비스 사용에 필요한 최소 권한을 제공합니다.
2. AmazonSSMDirectoryServiceAccess 정책을 선택합니다. 이 정책은 AWS Directory Service에 의해 관리되는 Active Directory에 인스턴스를 조인할 수 있는 권한을 제공합니다.

Role 이름을 설정한 뒤 설정한 역할 정보를 확인하고 변경사항이 없을 시, 'Create role'을 클릭합니다.

3.3 EC2 인스턴스 생성하고 자동으로 디렉토리 조인

경로: AWS Admin console > EC2 > Launch instances

• Microsoft Window Server 2019 Base를 선택합니다.

• 실습으로 인한 낮은 버전 선택으로 환경에 맞게 높은 버전의 서버를 선택할 수 있습니다.

• instance type: 원하는 유형 선택합니다.

• key pair: instance와 연결할 때 사용할 key pair를 선택합니다. 기존 key pair를 선택할 수도 있고 해당 인스턴스를 위한 key pair를 생성할 수도 있습니다.

1. VPC & Subnet: 이전에 생성한 VPC 및 서브넷을 선택합니다. 2. Auto -assign public IP: Enable을 선택합니다. 3. Security group: 생성한 보안 그룹을 사용해도 되고, 현재 인스턴스를 위해 보안 그룹을 생성해도 됩니다. 보안 그룹 설정에 대한 자세한 사항은 해당 페이지로 이동하여 확인할 수 있습니다.

1. Domain join directory: 생성한 디렉토리의 도메인을 선택합니다.
2. IAM instance profile: AD 도메인에 조인하기 위해 생성한 역할을 선택합니다.

인스턴스에 대한 설정이 완료되었다면 "Launch instance"를 클릭합니다.

4. EC2 인스턴스에 Active Directory 도구 설치

• 설치한 인스턴스의 상태가 활성화가 되면 "Connect"를 클릭합니다.

• Download remote desktop file를 클릭합니다.

• 'Get password'를 통해서 인스턴스를 생성할 때 선택했던 Key pair의 파일을 통해 Administartor의 암호를 획득합니다.

원격 데스크톱을 진입하기 위해 'Get password'에서 얻은 암호를 입력합니다.

Start 메뉴에서 Server Manager를 클릭합니다.

Dashboard에서 Add roles and features를 선택합니다.

• Select installation type 페이지에서 Role-based or feature-based installation을 선택합니다.

• Select destination server 페이지에서 로컬 서버가 선택되었는지 확인합니다.
• 특별한 지시사항이 없는 페이지의 경우 설정 변경 없이 'Next'를 클릭합니다.

Select feature 페이지에서 아래 기능을 선택합니다.

• Global Policy Management
• Remote Server Administatration Tools를 확장한 다음 Role Administrator Tools를 확장합니다.
  • AD DS and AD LDS Tools와 DNS Server Tools를 선택합니다.
• 기능을 모두 선택했다면 'Install'를 클릭합니다.

• 로컬 관리자로 로그인한 EC2 인스턴스에서 로그아웃합니다.

• Username에 user@domain 또는 domain/user를 입력하고, Password에 디렉토리를 생성할 때 입력했던 admin의 비밀번호를 입력합니다.

새 도메인에 연결된 모든 기본 OU 및 계정과 함께 [디렉토리 도메인 이름]이 표시됩니다.