아웃바운드 요청 필터링

아웃바운드 요청 필터링에 대해 설명합니다.

데이터 손실 및 노출의 위험으로부터 보호하기 위해 GitLab 관리자는 이제 아웃바운드 요청 필터링 제어를 사용하여 GitLab 인스턴스에서 만든 특정 아웃바운드 요청을 제한할 수 있습니다. 안전한 웹훅 및 통합 # 메인테이너 또는 오너 역할을 가진 사용자는 프로젝트 또는 그룹에서 특정 변경이 발생할 때 트리거되는 웹훅 을 설정할 수 있습니다. 트리거되면 URL로 POST HTTP 요청이 전송됩니다. 웹훅은 일반적으로 데이터를 적절한 방식으로 처리하는 특정 외부 웹 서비스로 데이터를 전송하도록 구성됩니다. 그러나 웹훅은 외부 웹 서비스 대신 내부 웹 서비스의 URL로 구성될 수 있습니다. 웹훅이 트리거되면 GitLab 서버 또는 로컬 네트워크에서 실행 중인 GitLab이 아닌 웹 서비스가 악용될 수 있습니다. 웹훅 요청은 GitLab 서버 자체에서 만들어지며 사용자 토큰이나 리포지토리별 토큰 대신 인증을 위해 훅당 단일 선택적 비밀 토큰을 사용합니다. 결과적으로 이러한 요청은 다음을 포함하여 웹훅을 호스팅하는 서버에서 실행되는 모든 항목에 대한 액세스를 포함하여 의도보다 더 넓은 액세스 권한을 가질 수 있습니다: GitLab 서버 API 자체 일부 웹훅의 경우 이러한 서비스가 외부에서 보호되고 액세스할 수 없더라도 해당 웹훅 서버의 로컬 네트워크에 있는 다른 서버에 대한 네트워크 액세스 웹훅은 인증이 필요하지 않은 웹 서비스를 사용하여 파괴적인 명령을 트리거하는 데 사용될 수 있습니다. 이러한 웹훅은 GitLab 서버가 리소스를 삭제하는 엔드포인트에 POST HTTP 요청을 만들도록 할 수 있습니다. 웹훅 및 통합에서 로컬 네트워크로의 요청 허용 # 사전 요구 사항: 인스턴스에 대한 관리자 액세스 권한이 있어야 합니다. 안전하지 않은 내부 웹 서비스의 악용을 방지하기 위해 다음 로컬 네트워크 주소에 대한 모든 웹훅 및 통합 요청은 허용되지 않습니다: 현재 GitLab 인스턴스 서버 주소 127.0.0.1 , ::1 , 0.0.0.0 , 10.0.0.0/8 , 172.16.0.0/12 , 192.168.0.0/16 및 IPv6 사이트-로컬( ffc0::/10 ) 주소를 포함한 개인 네트워크 주소 이러한 주소에 대한 액세스를 허용하려면: 오른쪽 상단 모서리에서 관리 를 선택하세요. 설정 > 네트워크 를 선택하세요. 아웃바운드 요청 을 확장하세요. 웹훅 및 통합에서 로컬 네트워크로의 요청 허용 체크박스를 선택하세요. 시스템 훅에서 로컬 네트워크로의 요청 방지 # 사전 요구 사항: 인스턴스에 대한 관리자 액세스 권한이 있어야 합니다. 시스템 훅 은 기본적으로 로컬 네트워크에 요청할 수 있습니다. 시스템 훅이 로컬 네트워크에 요청하는 것을 방지하려면: 오른쪽 상단 모서리에서 관리 를 선택하세요. 설정 > 네트워크 를 선택하세요. 아웃바운드 요청 을 확장하세요. 시스템 훅에서 로컬 네트워크로의 요청 허용 체크박스를 선택 취소하세요. DNS 리바인딩 공격 보호 적용 # 사전 요구 사항: 인스턴스에 대한 관리자 액세스 권한이 있어야 합니다. DNS 리