보안 인시던트 대응

GitLab 보안 인시던트(자격 증명 노출, 계정 침해, CI/CD 인시던트, 인스턴스 침해 등)에 대응하는 방법.

보안 인시던트가 발생했을 때 주로 조직에서 정의한 프로세스를 따라야 합니다. GitLab 보안 운영 팀이 이 가이드를 만들었습니다: GitLab Self-Managed 인스턴스와 GitLab.com의 그룹 관리자 및 Maintainer를 위해. GitLab 서비스와 관련된 다양한 보안 인시던트에 대응하는 방법에 대한 추가 정보와 모범 사례를 제공하기 위해. 보안 인시던트를 처리하는 조직의 프로세스에 대한 보완으로. 이것은 대체가 아닙니다 . 이 가이드를 사용하면 GitLab과 관련된 보안 인시던트를 자신 있게 처리할 수 있습니다. 필요한 경우 가이드는 GitLab 문서의 다른 부분으로 링크합니다. Warning 이 가이드에서 언급된 제안/권장 사항은 사용자 본인의 책임하에 사용합니다. 일반적인 보안 인시던트 시나리오 # 공개 인터넷으로의 자격 증명 노출 # 이 시나리오는 잘못된 구성이나 인적 오류로 인해 민감한 인증 또는 권한 부여 정보가 인터넷에 노출된 보안 사건을 말합니다. 이러한 정보에는 다음이 포함될 수 있습니다: 패스워드. 개인 액세스 토큰. 그룹/프로젝트 액세스 토큰. 러너 토큰. 파이프라인 트리거 토큰. SSH 키. 이 시나리오에는 GitLab 서비스를 통한 서드파티 자격 증명에 대한 민감한 정보 노출도 포함될 수 있습니다. 노출은 예를 들어 공개 GitLab 프로젝트에 실수로 커밋하거나 CI/CD 설정을 잘못 구성함으로써 발생할 수 있습니다. 자세한 내용은 다음을 참조하세요: GitLab 토큰 개요 GitLab CI/CD 변수 보안 대응 # 자격 증명 노출과 관련된 보안 인시던트는 토큰 유형과 관련 권한에 따라 낮음에서 중요까지 심각도가 다를 수 있습니다. 이러한 인시던트에 대응할 때: 토큰의 유형과 범위를 파악합니다. 토큰 정보를 기반으로 토큰 소유자와 관련 팀을 식별합니다. 개인 액세스 토큰의 경우 개인 액세스 토큰 API 를 사용하여 토큰 세부 정보를 빠르게 가져올 수 있습니다. 범위와 잠재적 영향을 평가한 후 토큰을 취소 하거나 교체 합니다. 프로덕션 토큰을 취소하는 것은 노출된 토큰이 제기하는 보안 위험과 토큰 취소가 유발할 수 있는 가용성 위험 사이의 균형입니다. 다음의 경우에만 토큰을 취소합니다: 토큰 취소의 잠재적 영향을 확실히 이해한 경우. 회사의 보안 인시던트 대응 가이드라인을 따르는 경우. 자격 증명 노출 시간과 자격 증명을 취소한 시간을 문서화합니다. GitLab 감사 로그를 검토하여 노출된 토큰과 관련된 무단 활동을 식별합니다. 토큰의 범위와 유형에 따라 다음과 관련된 감사 이벤트를 검색합니다: 새로 만들어진 사용자. 토큰. 악의적인 파이프라인. 코드 변경. 프로젝트 설정 변경. 이벤트 유형 # 그룹 또는 네임스페이스에 사용 가능한 감사 이벤트 를 검토합니다. 공격자는 지속성을 유지하기 위해 토큰, SSH 키 또는 사용자 계정을 만들려고 할 수 있습니다. 이러한 활동과 관련된 감사 이벤트 를 확인합니다. CI 관련 감사 이벤트 에 집중하여 CI/CD 변수에 대한 수정 사항을 식별합니다. 공격자가 실행