InfoGrab Docs

GitLab Dedicated for Government 공동 책임 모델

요약

GitLab Dedicated for Government는 연방 기관과의 공동 책임 모델을 포함하는 FedRAMP Moderate Authorization을 유지합니다. NIST 800-53 제어에 연결된 고객 책임에 대한 자세한 분류는 FedRAMP 패키지 요청 양식을 사용하여 GitLab Dedicated for Government FedRAMP 패키지를 요청하세요.

GitLab Dedicated for Government는 연방 기관과의 공동 책임 모델을 포함하는 FedRAMP Moderate Authorization을 유지합니다. 연방 기관은 Dedicated for Government GitLab 인스턴스를 운영할 때 자신의 책임을 이해하고 GitLab 인가에서 상속할 수 있는 책임을 파악해야 합니다. 이 문서는 다음을 이해하는 데 도움이 됩니다:

  • 인가 경계 및 고수준 구성 요소.
  • GitLab 인스턴스 내에서 보안 및 규정 준수 관리에 대한 귀하의 책임.
  • 공동 책임 모델에 영향을 미칠 수 있는 선택적 기능 및 기능.

리소스#

NIST 800-53 제어에 연결된 고객 책임에 대한 자세한 분류는 FedRAMP 패키지 요청 양식을 사용하여 GitLab Dedicated for Government FedRAMP 패키지를 요청하세요. GitLab 패키지 ID는 FR2411959145입니다. Connect.gov의 FedRAMP 패키지에서 제공되는 Control Implementation Summary/Customer Responsibility Matrix Excel 템플릿은 책임을 이해해야 하는 모든 연방 기관에게 필수적입니다.

GitLab Dedicated for Government 보안 구성 가이드는 이 책임 가이드를 구체적인 구성 지침 및 GitLab 문서 매핑과 함께 확장합니다.

인가 경계#

인가 경계 다이어그램

책임 개요#

다음 섹션은 연방 기관이 표준 GitLab Dedicated for Government 배포에서 고객과 GitLab이 담당하는 광범위한 책임을 이해하는 데 도움이 됩니다. 각 섹션은 기능 영역별로 구성되어 있으며 고객과 GitLab 소유 책임을 개략적으로 설명합니다. GitLab 파트너와 협력하여 특정 배포에 적용 가능한 책임을 검증하세요.

고객 책임에 영향을 미칠 수 있는 선택적 기능 및 사용자 정의:

  • 사용자 정의 도메인: 기본 도메인 대신 사용자 정의 도메인을 구성합니다.
  • 자체 관리 러너: CI/CD 워크로드를 지원하기 위해 러너를 연결합니다.
  • 연방 기관 ID 공급자: GitLab은 단일 로그온을 위해 SAML 및 OpenID Connect(OIDC)를 지원합니다. PIV/CAC 인증을 지원하려면 자체 ID 공급자를 사용해야 합니다.
  • 향상된 네트워크 연결: 애플리케이션 구성 또는 인프라 설정을 통해 GitLab 엔지니어의 지원을 받아 IP 허용 목록을 구성합니다. 인바운드 및 아웃바운드 연결에 대해 PrivateLink를 통해 개인 연결이 지원됩니다.
  • 고객 관리 암호화: 자체 암호화 키를 제공합니다.

인프라 관리#

GitLab은 다음에 대한 책임이 있습니다:

  • Dedicated for Government 엔지니어는 각 고객 테넌트에 대해 AWS에서 가상 머신 및 Kubernetes 패치를 관리합니다. 유지 보수는 기저 인프라를 최신 보안 패치로 업데이트하기 위해 매주 예약됩니다.
  • 인프라는 STIG 및 CIS 벤치마크를 적용하여 강화됩니다.
  • 미사용 데이터 및 전송 중 데이터는 FIPS 검증 암호로 암호화됩니다.
  • Dedicated for Government는 백업, 장애 조치 및 환경에 대한 RTO 및 RPO를 검증하는 테스트를 관리합니다.
  • IP 허용 목록은 AWS 네트워크 인프라 내에서 유지됩니다. 귀하의 GitLab 인스턴스에 연결을 명시적으로 허용할 도메인 및 IP 목록을 제공할 수 있습니다. GitLab은 귀하가 요청한 후 해당 허용 목록을 구성합니다.
  • Cloudflare 웹 애플리케이션 방화벽 및 DNS는 GitLab이 유지합니다.
  • BYOK를 사용하기로 선택한 경우 GitLab은 AWS 계정 ID를 제공합니다.
  • DMARC 및 스팸 방지는 GitLab 애플리케이션에서 생성된 아웃바운드 이메일에 대해 구성됩니다.

고객은 다음에 대한 책임이 있습니다:

  • Dedicated for Government 경계에 연결된 모든 인프라 유지.
  • 애플리케이션 내에서 IP 허용 목록 구성.
  • Bring Your Own Domain 기능을 사용하는 경우 DNSSEC와 같은 FedRAMP 요구 사항을 준수하여 도메인 구성.
  • BYOK를 사용하는 경우 KMS 키 및 키 정책 생성 및 관리, GitLab 제공 AWS 계정 ID에 대한 액세스 부여.
  • 지원 이슈를 통해 특정 인프라 구성 요청, 예를 들어:
    • 참조 아키텍처
    • 총 저장소 용량
    • 테넌트 이름
    • 가용 영역
    • 라이선스 키
    • 루트 사용자 비밀번호
    • 릴리스 롤아웃 및 유지 보수 일정

GitLab 애플리케이션#

GitLab은 다음에 대한 책임이 있습니다:

  • GitLab 애플리케이션은 매주 유지 보수 기간 동안 업그레이드됩니다.

고객은 다음에 대한 책임이 있습니다:

  • CI/CD 및 그룹 및 프로젝트 수준 설정을 포함한 GitLab 애플리케이션 구성.
  • 고객 관리 워크로드에서 실행할 수 있는 최신 GitLab 제공 컨테이너 가져오기.

모니터링#

GitLab은 다음에 대한 책임이 있습니다:

  • AWS 인프라 및 보안 도구에서 생성된 보안 이벤트는 GitLab이 모니터링합니다.
  • 가동 시간 및 플랫폼 안정성 메트릭을 포함한 인프라 메트릭은 GitLab이 모니터링합니다.
  • 감사 로그는 규제 요구 사항을 준수하여 보관됩니다.
  • GitLab은 인가 경계 내의 기반 인프라 구성 요소에서 발생하는 보안 인시던트에 대응하며, NIST 800-61을 준수하여 영향을 받은 고객 및 US-CERT에 인시던트를 보고합니다.

고객은 다음에 대한 책임이 있습니다:

  • 애플리케이션 로그 소비. GitLab 지원 티켓을 통해 S3의 로그 액세스 요청.
  • 자체 관리 인프라 모니터링.
  • 고객 인스턴스에 연결된 자체 관리 인프라에서 생성된 감사 로그 보관.
  • FedRAMP 경계에 영향을 미칠 수 있는 GitLab 애플리케이션 로그 또는 자체 관리 인프라에서 감지된 인시던트 보고.

취약점 관리#

GitLab은 다음에 대한 스캔 및 패치를 담당합니다:

  • 웹 애플리케이션. GitLab은 대표 웹 애플리케이션을 GitLab DAST로 스캔하고 식별된 취약점을 패치합니다.
  • 컨테이너. GitLab은 AWS Elastic Container Registry의 모든 컨테이너 이미지를 스캔하고 패치합니다. 이 이미지들은 프로덕션 워크로드 내의 실행 중인 컨테이너를 빌드하는 데 사용됩니다. GitLab은 또한 귀하가 GitLab에서 가져와 자체 인프라 및 CI/CD 워크로드에서 실행할 수 있는 다음 컨테이너 이미지를 스캔하고 패치합니다:
    • GitLab Dynamic Application Security Testing 이미지
    • GitLab Container Scanner 이미지
    • GitLab API Security 이미지
    • GitLab Static Application Security Testing 이미지
    • GitLab Infrastructure as Code Analyzer 이미지
    • GitLab Secrets Detection 이미지
    • GitLab Runner 및 Runner Helper 이미지
    • GitLab Dependency Scanning 이미지
  • 인프라. GitLab은 Dedicated for Government 인가 경계 내에서 사용 중인 모든 VM 및 AMI를 스캔합니다.

고객은 다음에 대한 책임이 있습니다:

  • 인가 경계 외부에 배포되었지만 연결된 자산의 스캔 및 패치.
  • 배포된 이미지의 취약점을 감지하고 수정하는 프로세스 수립.
  • GitLab 인스턴스에서 관리되는 코드 또는 CI/CD 워크로드에서 생성된 취약점의 분류 및 수정.
  • 자체 인프라에서 가져와 실행하는 GitLab 제공 이미지 스캔.
  • GitLab 제공 이미지에서 취약점을 발견하면 패치 일정을 결정하기 위해 GitLab과 협력.

ID 및 액세스 관리#

GitLab은 다음에 대한 책임이 있습니다:

  • SAML 및 OIDC를 통한 통합 지원.
  • GitLab 인스턴스의 첫 번째 관리자 프로비저닝.
  • 인가 경계 내의 인프라에 대한 액세스 관리.

고객은 다음에 대한 책임이 있습니다:

  • ID 및 액세스 관리 솔루션 관리.
  • FIPS 준수 및 피싱 방지 보조 인증 요소를 포함한 직원에게 인증자 배포.
  • GitLab 인스턴스 내에서 사용자 액세스 관리.

규정 준수#

GitLab은 다음에 대한 책임이 있습니다:

  • 인가 경계의 연간 감사 및 침투 테스트 수행.
  • 중요 변경 요청 제출.
  • 조치 계획 및 마일스톤을 포함한 지속적인 모니터링 아티팩트 유지.
  • 시스템 보안 계획 및 첨부 파일 유지.

고객은 다음에 대한 책임이 있습니다:

  • Dedicated for Government 인가 경계에 연결된 인프라를 포함한 기관 인가 서류 및 자료 제출.
  • GitLab 정보 시스템 보안 담당자(ISSO)와 월별 지속적인 모니터링 제출 검토.

GitLab Dedicated for Government 공동 책임 모델

Tier: Ultimate
Offering: GitLab Dedicated for Government
원문 보기
요약

GitLab Dedicated for Government는 연방 기관과의 공동 책임 모델을 포함하는 FedRAMP Moderate Authorization을 유지합니다. NIST 800-53 제어에 연결된 고객 책임에 대한 자세한 분류는 FedRAMP 패키지 요청 양식을 사용하여 GitLab Dedicated for Government FedRAMP 패키지를 요청하세요.

GitLab Dedicated for Government는 연방 기관과의 공동 책임 모델을 포함하는 FedRAMP Moderate Authorization을 유지합니다. 연방 기관은 Dedicated for Government GitLab 인스턴스를 운영할 때 자신의 책임을 이해하고 GitLab 인가에서 상속할 수 있는 책임을 파악해야 합니다. 이 문서는 다음을 이해하는 데 도움이 됩니다:

  • 인가 경계 및 고수준 구성 요소.
  • GitLab 인스턴스 내에서 보안 및 규정 준수 관리에 대한 귀하의 책임.
  • 공동 책임 모델에 영향을 미칠 수 있는 선택적 기능 및 기능.

리소스#

NIST 800-53 제어에 연결된 고객 책임에 대한 자세한 분류는 FedRAMP 패키지 요청 양식을 사용하여 GitLab Dedicated for Government FedRAMP 패키지를 요청하세요. GitLab 패키지 ID는 FR2411959145입니다. Connect.gov의 FedRAMP 패키지에서 제공되는 Control Implementation Summary/Customer Responsibility Matrix Excel 템플릿은 책임을 이해해야 하는 모든 연방 기관에게 필수적입니다.

GitLab Dedicated for Government 보안 구성 가이드는 이 책임 가이드를 구체적인 구성 지침 및 GitLab 문서 매핑과 함께 확장합니다.

인가 경계#

인가 경계 다이어그램

책임 개요#

다음 섹션은 연방 기관이 표준 GitLab Dedicated for Government 배포에서 고객과 GitLab이 담당하는 광범위한 책임을 이해하는 데 도움이 됩니다. 각 섹션은 기능 영역별로 구성되어 있으며 고객과 GitLab 소유 책임을 개략적으로 설명합니다. GitLab 파트너와 협력하여 특정 배포에 적용 가능한 책임을 검증하세요.

고객 책임에 영향을 미칠 수 있는 선택적 기능 및 사용자 정의:

  • 사용자 정의 도메인: 기본 도메인 대신 사용자 정의 도메인을 구성합니다.
  • 자체 관리 러너: CI/CD 워크로드를 지원하기 위해 러너를 연결합니다.
  • 연방 기관 ID 공급자: GitLab은 단일 로그온을 위해 SAML 및 OpenID Connect(OIDC)를 지원합니다. PIV/CAC 인증을 지원하려면 자체 ID 공급자를 사용해야 합니다.
  • 향상된 네트워크 연결: 애플리케이션 구성 또는 인프라 설정을 통해 GitLab 엔지니어의 지원을 받아 IP 허용 목록을 구성합니다. 인바운드 및 아웃바운드 연결에 대해 PrivateLink를 통해 개인 연결이 지원됩니다.
  • 고객 관리 암호화: 자체 암호화 키를 제공합니다.

인프라 관리#

GitLab은 다음에 대한 책임이 있습니다:

  • Dedicated for Government 엔지니어는 각 고객 테넌트에 대해 AWS에서 가상 머신 및 Kubernetes 패치를 관리합니다. 유지 보수는 기저 인프라를 최신 보안 패치로 업데이트하기 위해 매주 예약됩니다.
  • 인프라는 STIG 및 CIS 벤치마크를 적용하여 강화됩니다.
  • 미사용 데이터 및 전송 중 데이터는 FIPS 검증 암호로 암호화됩니다.
  • Dedicated for Government는 백업, 장애 조치 및 환경에 대한 RTO 및 RPO를 검증하는 테스트를 관리합니다.
  • IP 허용 목록은 AWS 네트워크 인프라 내에서 유지됩니다. 귀하의 GitLab 인스턴스에 연결을 명시적으로 허용할 도메인 및 IP 목록을 제공할 수 있습니다. GitLab은 귀하가 요청한 후 해당 허용 목록을 구성합니다.
  • Cloudflare 웹 애플리케이션 방화벽 및 DNS는 GitLab이 유지합니다.
  • BYOK를 사용하기로 선택한 경우 GitLab은 AWS 계정 ID를 제공합니다.
  • DMARC 및 스팸 방지는 GitLab 애플리케이션에서 생성된 아웃바운드 이메일에 대해 구성됩니다.

고객은 다음에 대한 책임이 있습니다:

  • Dedicated for Government 경계에 연결된 모든 인프라 유지.
  • 애플리케이션 내에서 IP 허용 목록 구성.
  • Bring Your Own Domain 기능을 사용하는 경우 DNSSEC와 같은 FedRAMP 요구 사항을 준수하여 도메인 구성.
  • BYOK를 사용하는 경우 KMS 키 및 키 정책 생성 및 관리, GitLab 제공 AWS 계정 ID에 대한 액세스 부여.
  • 지원 이슈를 통해 특정 인프라 구성 요청, 예를 들어:
    • 참조 아키텍처
    • 총 저장소 용량
    • 테넌트 이름
    • 가용 영역
    • 라이선스 키
    • 루트 사용자 비밀번호
    • 릴리스 롤아웃 및 유지 보수 일정

GitLab 애플리케이션#

GitLab은 다음에 대한 책임이 있습니다:

  • GitLab 애플리케이션은 매주 유지 보수 기간 동안 업그레이드됩니다.

고객은 다음에 대한 책임이 있습니다:

  • CI/CD 및 그룹 및 프로젝트 수준 설정을 포함한 GitLab 애플리케이션 구성.
  • 고객 관리 워크로드에서 실행할 수 있는 최신 GitLab 제공 컨테이너 가져오기.

모니터링#

GitLab은 다음에 대한 책임이 있습니다:

  • AWS 인프라 및 보안 도구에서 생성된 보안 이벤트는 GitLab이 모니터링합니다.
  • 가동 시간 및 플랫폼 안정성 메트릭을 포함한 인프라 메트릭은 GitLab이 모니터링합니다.
  • 감사 로그는 규제 요구 사항을 준수하여 보관됩니다.
  • GitLab은 인가 경계 내의 기반 인프라 구성 요소에서 발생하는 보안 인시던트에 대응하며, NIST 800-61을 준수하여 영향을 받은 고객 및 US-CERT에 인시던트를 보고합니다.

고객은 다음에 대한 책임이 있습니다:

  • 애플리케이션 로그 소비. GitLab 지원 티켓을 통해 S3의 로그 액세스 요청.
  • 자체 관리 인프라 모니터링.
  • 고객 인스턴스에 연결된 자체 관리 인프라에서 생성된 감사 로그 보관.
  • FedRAMP 경계에 영향을 미칠 수 있는 GitLab 애플리케이션 로그 또는 자체 관리 인프라에서 감지된 인시던트 보고.

취약점 관리#

GitLab은 다음에 대한 스캔 및 패치를 담당합니다:

  • 웹 애플리케이션. GitLab은 대표 웹 애플리케이션을 GitLab DAST로 스캔하고 식별된 취약점을 패치합니다.
  • 컨테이너. GitLab은 AWS Elastic Container Registry의 모든 컨테이너 이미지를 스캔하고 패치합니다. 이 이미지들은 프로덕션 워크로드 내의 실행 중인 컨테이너를 빌드하는 데 사용됩니다. GitLab은 또한 귀하가 GitLab에서 가져와 자체 인프라 및 CI/CD 워크로드에서 실행할 수 있는 다음 컨테이너 이미지를 스캔하고 패치합니다:
    • GitLab Dynamic Application Security Testing 이미지
    • GitLab Container Scanner 이미지
    • GitLab API Security 이미지
    • GitLab Static Application Security Testing 이미지
    • GitLab Infrastructure as Code Analyzer 이미지
    • GitLab Secrets Detection 이미지
    • GitLab Runner 및 Runner Helper 이미지
    • GitLab Dependency Scanning 이미지
  • 인프라. GitLab은 Dedicated for Government 인가 경계 내에서 사용 중인 모든 VM 및 AMI를 스캔합니다.

고객은 다음에 대한 책임이 있습니다:

  • 인가 경계 외부에 배포되었지만 연결된 자산의 스캔 및 패치.
  • 배포된 이미지의 취약점을 감지하고 수정하는 프로세스 수립.
  • GitLab 인스턴스에서 관리되는 코드 또는 CI/CD 워크로드에서 생성된 취약점의 분류 및 수정.
  • 자체 인프라에서 가져와 실행하는 GitLab 제공 이미지 스캔.
  • GitLab 제공 이미지에서 취약점을 발견하면 패치 일정을 결정하기 위해 GitLab과 협력.

ID 및 액세스 관리#

GitLab은 다음에 대한 책임이 있습니다:

  • SAML 및 OIDC를 통한 통합 지원.
  • GitLab 인스턴스의 첫 번째 관리자 프로비저닝.
  • 인가 경계 내의 인프라에 대한 액세스 관리.

고객은 다음에 대한 책임이 있습니다:

  • ID 및 액세스 관리 솔루션 관리.
  • FIPS 준수 및 피싱 방지 보조 인증 요소를 포함한 직원에게 인증자 배포.
  • GitLab 인스턴스 내에서 사용자 액세스 관리.

규정 준수#

GitLab은 다음에 대한 책임이 있습니다:

  • 인가 경계의 연간 감사 및 침투 테스트 수행.
  • 중요 변경 요청 제출.
  • 조치 계획 및 마일스톤을 포함한 지속적인 모니터링 아티팩트 유지.
  • 시스템 보안 계획 및 첨부 파일 유지.

고객은 다음에 대한 책임이 있습니다:

  • Dedicated for Government 인가 경계에 연결된 인프라를 포함한 기관 인가 서류 및 자료 제출.
  • GitLab 정보 시스템 보안 담당자(ISSO)와 월별 지속적인 모니터링 제출 검토.