AWS RDS에 안전하게 접근해보자 (EC2 터널링)

1. 개요

최근 아무생각없이 RDS를 퍼블릭으로 열어뒀다가 욕(?)을 먹고 수정한 과정에 대해 공유하고자 한다. 

 

 

 

 

2. 퍼블릭 액세스 허용 여부

블로그를 참고해 RDS를 만드신 분들은 대부분 퍼블릭 액세스를 허용했을 거라 생각이 든다.

 

"RDS 퍼블릭 액세스" 라는 키워드로 구글링 해보면 다음과 블로그들이 많이 보인다.

 

 

 

예전에 나도 로컬 환경에서 RDS에 접근하려 하는데 접근이 막혔고 구글링해서 퍼블릭 액세스를 열어줬던 기억이 난다. 

 

하지만 외부에서 DB에 접근 가능하도록 허용하는건 위험하다.

 

EC2 인스턴스를 만들어서 RDS 사용할 것이라면 외부에서 접속할 수 없도록 하는 것이 더욱 안전한 방법이다.

 

퍼블릭 액세스를 막을 경우 외부에서 접근할 방법이 없지 않느냐? 할 수 있는데 이는 같은 VPC이고 Public Subnet에 있는 EC2를 거쳐 접근할 수 있다. 

 

이같은 방법 "터널링" 이라 한다.  

 

 

 

 

 

 

3. 터널링 방법 2가지

터널링이란

터널링은 인터넷을 사적이고 안전한 네트워크의 일부로 사용하게 하는 기술이다. A -> B로 패킷을 주고받을 때 A->인터넷 -> B와 같이 이동한다면 이것을 A->B와 같이 같은 네트워크에 있는 것처럼 안전하게 만드는 기술이라고 이해하면 된다.

 

 

정보통신기술용어해설 사이트에서 터널링에 대한 정의는 아래와 같이 정의한다.

• 두 노드 또는 두 네트워크 간에 가상의 링크를 형성하는 기법
• 하나의 프로토콜이 다른 프로토콜을 감싸는 캡슐화 기능을 통해 운반
• 보안 채널의 역할을 하므로, 암호화 기법 적용이 일반적임
• 엄격하게 계층화된 프로토콜을 뒤집어 감싸서 만들 수도 있음

결국 핵심은 두개를 연결하는 링크를 생성하고 데이터를 주고받음에 있어 보안 방식이 적용되고 캡슐화가 발생한다는 점이다.

 

 

 

방법 1.

아래와 같이 터미널 창에 입력하면 터미널이 열려있는동안, 포트포워딩은 유지되고 로컬 13306 포트로 바로 RDS에 접근할 수 있게 된다.

 

ssh -i 키파일경로 -L 13306:RDS주소:3306 EC2주소

 

만약 터미널 창이 열려있는동안만 터널링이 유지되는것이 불편하다면, 아래 옵션을 명령어에 추가해 주어서 SSH 프로세스를 백그라운드로 실행시키면 된다.

 

-f : 백그라운드로 실행 하겠다.

-N : -f 옵션 만 지정 하면 `Cannot fork into background without a command to execute.` 에러가 나는데 -N 옵션을 함께 지정해 주어야 에러가 나지 않는다.

-v : 상세 모드를 켜서 디버깅용 로그를 표시

ssh -f -N -i 키파일경로 -L 13306:RDS주소:3306 EC2주소 -v

 

 

 

 

 

 

방법 2.

위 방법으로 매번 터널링하기엔 불편한 점이 많다. 

 

인텔리제이를 사용한다면 쉽게 터널링할 수 있다. 

 

 

1) 우측 메뉴에서 데이터베이스 클릭

 

 

 

2) SSH/SSL 접속에서 SSH 터널 사용

SSH 구성은 각자 설정에 맞게 만들어주면 된다. SSH 접속에 비밀번호를 사용하고 있다면 비밀번호를 사용해서 접근하면 되고, pem키가 있다면 pem키 경로를 지정해 접근할 수 있다. 

 

 

 

3) 일반 메뉴로 돌아와 아래 칸들에 정보를 입력해준다. 

 

 

 

4) 연결 테스트로 터널링 확인

 

 

 

 

내 로컬 환경에선 3306 포트는 이미 사용중이기 때문에 3307포트를 열여줬다. 

터널링으로 DB에 접근하기 때문에 yml에서 DB URL은 localhost:3307로 해줘야 한다. 

 

 

 

 

 

 

 

4. 번외

AWS 사용자라면 2024.02월부로 ipv4에 대한 요금 정책이 변경된 걸 알 것이다.

프리티어라도 ec2, rds를 사용한다면 public ipv4가 할당되고 아래와 같이 과금이 발생하게 된다.

 

학생이라면 보통 EC2, RDS, S3를 많이 사용할텐데, EC2와 RDS에 IPV4가 할당된다. (RDS는 퍼블릭 액세스를 허용했을 경우) 

 

이때 위와같이 터널링으로 RDS에 접근하고 퍼블릭 액세스를 닫으면 IPV4를 하나만 사용하게 되기 때문에 요금을 절약할 수 있다.