인증 및 권한 부여 모범 사례

인증, 권한 부여 및 접근 관리를 위한 보안 권장 사항 및 모범 사례.

다음 보안 모범 사례에 따라 GitLab 인스턴스를 보호하고 적절한 접근 제어를 유지하세요. 이러한 권장 사항은 조직 전반의 생산성을 제한하지 않으면서 안전한 접근을 유지하는 데 도움이 됩니다. 보안 원칙 # 접근 제어 전략의 기반을 형성하는 기본 보안 원칙을 수립합니다. 최소 권한 원칙 # 이 원칙은 손상된 계정이나 내부 위협으로 인한 잠재적 피해를 제한함으로써 보안 위험을 줄입니다. 사용자에게 업무를 완수하는 데 필요한 최소한의 권한만 부여합니다. 최상위 그룹에서 최소 역할(최소 접근 또는 Guest)을 할당한 다음, 필요한 특정 하위 그룹과 프로젝트에서만 더 높은 권한을 부여합니다. 민감한 설정에 대한 접근을 제한하는 커스텀 역할을 구현하여 Owner 및 Maintainer 수를 최소화합니다. 토큰을 생성할 때 가능한 한 가장 제한적인 스코프를 사용하거나 특정 목적을 위해 다른 스코프를 가진 여러 토큰을 생성합니다. 계층적 권한 관리 # 조직 구조에 맞게 권한을 구성하고 관리 오버헤드를 줄입니다. 관리 오버헤드를 줄이기 위해 가능하면 프로젝트 멤버십 권한보다 그룹 멤버십 권한을 적용합니다. 중앙 집중식 접근 제어 및 보고를 가능하게 하기 위해 조직을 위한 단일 최상위 그룹을 만듭니다. 명확한 소유권 경계를 가진 조직 구조에 맞게 그룹 계층을 구성합니다. 심층 방어 # 다양한 유형의 공격과 실패에 대비하기 위해 여러 보안 제어를 계층화합니다. 하나의 제어가 실패하면 다른 제어가 백업 보호를 제공합니다. 무단 변경을 방지하기 위해 중요한 애플리케이션에 대해 보호된 브랜치 를 설정합니다. 특정 역할이나 사용자로 배포를 제한하기 위해 보호된 환경 을 구성합니다. 민감한 아티팩트에 대한 추가 보안을 추가하기 위해 보호된 컨테이너 를 사용합니다. 인증 및 자격 증명 # GitLab 인스턴스에 대한 무단 접근을 방지하기 위해 강력한 인증 방법을 구현합니다. 비밀번호 보안 # 비밀번호는 한계가 있음에도 불구하고 기본 인증 방법으로 남아 있습니다. 강력한 비밀번호 정책은 조직의 보안 기준을 충족하는 강력한 비밀번호를 요구함으로써 자격 증명 기반 공격의 위험을 줄입니다. 조직에 적합한 비밀번호 복잡성 요구 사항 을 구성합니다. 알려진 손상된 비밀번호 사용을 방지하기 위해 손상된 비밀번호 감지 를 활성화합니다. 이중 인증 # 이중 인증(2FA)은 두 번째 검증 방식을 요구함으로써 보안을 크게 향상시킵니다. 비밀번호가 손상된 경우에도 2FA는 무단 접근을 방지합니다. 특히 권한이 높은 사용자를 포함한 모든 사용자에게 이중 인증 을 요구합니다. 사용자 채택을 보장하기 위해 2FA 설정에 대한 명확한 문서와 지원을 제공합니다. 계정 잠금을 방지하기 위해 백업 복구 방법을 구현합니다. 토큰 기반 인증 # 토큰은 GitLab 리소스에 대한 안전하고 프로그래밍 방식의 접근을 제공합니다. 다양한 토큰 유형은 다양한 목적을 제공하며 보안 측면에서 다양한 함의를 가집니다. 개인 액세스 토큰 을 정기적으로 교체하고 만료 전에 교체합니다. 자동화된 프로세스를 위해 개인