NIST 800-53 컴플라이언스

NIST 800-53 컴플라이언스에 대해 설명합니다.

이 페이지는 GitLab Self-Managed 인스턴스가 적용 가능한 NIST 800-53 컨트롤을 충족하도록 구성하려는 GitLab 관리자를 위한 참조 자료입니다. GitLab은 관리자가 가질 수 있는 다양한 요구 사항으로 인해 특정 구성 지침을 제공하지 않습니다. NIST 800-53 보안 컨트롤을 충족하는 GitLab 인스턴스를 배포하기 전에 기술적인 세부 사항을 위해 고객 솔루션 아키텍트와 협력해야 합니다. 범위 # 이 페이지는 NIST 800-53 컨트롤 패밀리의 구조를 따릅니다. 이 페이지의 범위는 GitLab 자체에 대한 구성으로 주로 제한되기 때문에 모든 컨트롤 패밀리가 적용되는 것은 아닙니다. 구성 세부 사항은 플랫폼에 독립적으로 의도됩니다. GitLab 지침은 완전히 컴플라이언트한 시스템을 구성하지 않습니다. 정부 데이터를 처리하기 전에 다음을 수행해야 합니다: 전체 기술 스택에 대한 추가 구성 및 강화 계획. 보안 구성의 독립적인 평가 고려. 지원되는 클라우드 공급자 에 걸쳐 배포의 차이를 이해하고 가용 시 특정 지침을 따르세요. 컴플라이언스 기능 # GitLab은 GitLab의 중요 컨트롤 및 워크플로를 자동화하는 데 사용할 수 있는 여러 컴플라이언스 기능 을 제공합니다. NIST 800-53에 맞는 구성을 하기 전에 이러한 기본 기능을 활성화해야 합니다. 컨트롤 패밀리별 구성 # 시스템 및 서비스 획득 (SA) # GitLab은 개발 수명 주기 전반에 걸쳐 보안을 통합하는 DevSecOps 플랫폼 입니다. 핵심적으로 GitLab을 사용하여 SA 컨트롤 패밀리의 광범위한 컨트롤을 처리할 수 있습니다. 시스템 개발 수명 주기 # GitLab을 사용하여 이 요구 사항의 핵심을 충족할 수 있습니다. GitLab은 작업을 구성 , 계획 및 추적 할 수 있는 플랫폼을 제공합니다. NIST 800-53은 애플리케이션 개발에 보안이 통합되어야 한다고 요구합니다. CI/CD 파이프라인 을 구성하여 코드 배포 중에 지속적으로 테스트하고 동시에 보안 정책을 적용할 수 있습니다. GitLab은 다음을 포함하되 이에 한정되지 않는 고객 애플리케이션 개발에 통합할 수 있는 보안 도구 모음을 포함합니다: 보안 구성 컨테이너 스캐닝 의존성 스캐닝 정적 애플리케이션 보안 테스트 IaC(Infrastructure as Code) 스캐닝 시크릿 감지 동적 애플리케이션 보안 테스트(DAST) API 퍼징 커버리지 기반 퍼즈 테스트 CI/CD 파이프라인 외에도 GitLab은 릴리스 구성 방법에 대한 상세 지침 을 제공합니다. 릴리스는 CI/CD 파이프라인으로 만들 수 있으며 저장소의 어떤 브랜치의 소스 코드도 스냅샷으로 찍을 수 있습니다. 릴리스 만들기 지침은 릴리스 만들기 에 포함되어 있습니다. NIST 800-53 또는 FedRAMP 컴플라이언스의 중요한 고려 사항은 릴리스된 코드에 코드의 진위성을 확인하고 SI(시스템 및 정보 무결성) 컨트롤 패밀리의 요구 사항을 충족하기 위해 서명이 필요할 수 있다는 것입니다. 접근 제어 (AC) 및 식별 및