오프라인 환경
Offering: GitLab Self-Managed
오프라인 환경을 설정하려면 구매 전에 클라우드 라이선스 옵트아웃 면제를 받아야 합니다. 인터넷에 연결되지 않은 상태에서 대부분의 GitLab 보안 스캐너를 실행할 수 있습니다. 이 문서는 오프라인 환경에서 보안 카테고리(즉, 스캐너 유형)를 운영하는 방법을 설명합니다.
오프라인 환경을 설정하려면 구매 전에 클라우드 라이선스 옵트아웃 면제를 받아야 합니다. 자세한 내용은 GitLab 영업 담당자에게 문의하세요.
인터넷에 연결되지 않은 상태에서 대부분의 GitLab 보안 스캐너를 실행할 수 있습니다.
이 문서는 오프라인 환경에서 보안 카테고리(즉, 스캐너 유형)를 운영하는 방법을 설명합니다. 이 지침은 보안이 강화된 GitLab Self-Managed 인스턴스, 보안 정책이 있는 인스턴스(예: 방화벽 정책), 또는 완전한 인터넷 접근이 제한된 인스턴스에도 적용됩니다. GitLab은 이러한 환경을 _오프라인 환경_이라고 합니다. 다른 일반적인 이름은 다음과 같습니다:
- 에어갭 환경
- 제한된 연결 환경
- 근거리 통신망(LAN) 환경
- 인트라넷 환경
이러한 환경은 인터넷 접근을 방지하거나 제한하는 물리적 장벽 또는 보안 정책(예: 방화벽)이 있습니다. 이 지침은 물리적으로 연결이 끊긴 네트워크를 위해 설계되었지만 이러한 다른 사용 사례에서도 따를 수 있습니다.
오프라인 환경 정의#
오프라인 환경에서 GitLab 인스턴스는 로컬 네트워크에서 통신할 수 있는 하나 이상의 서버와 서비스일 수 있지만 인터넷 접근은 없거나 매우 제한적입니다. GitLab 인스턴스와 지원 인프라의 모든 항목(예: 개인 Maven 리포지터리)은 로컬 네트워크 연결을 통해 접근할 수 있다고 가정합니다. 인터넷에서 오는 모든 파일은 물리적 미디어(USB 드라이브, 하드 드라이브, 쓰기 가능한 DVD 등)를 통해 가져와야 한다고 가정합니다.
오프라인 스캐너 사용#
GitLab 스캐너는 일반적으로 인터넷에 연결하여 최신 서명, 규칙 및 패치 세트를 다운로드합니다. 로컬 네트워크에서 사용 가능한 리소스를 사용하여 도구가 올바르게 작동하도록 구성하는 데 몇 가지 추가 단계가 필요합니다.
컨테이너 레지스트리 및 패키지 리포지터리#
높은 수준에서 보안 分析기는 Docker 이미지로 제공되며 다양한 패키지 리포지터리를 활용할 수 있습니다. 인터넷 연결 GitLab 설치에서 잡을 실행할 때 GitLab은 GitLab.com 호스팅 컨테이너 레지스트리를 확인하여 이러한 Docker 이미지의 최신 버전이 있는지 확인하고 필요한 종속성을 설치하기 위해 패키지 리포지터리에 연결할 수 있습니다.
오프라인 환경에서는 GitLab.com이 쿼리되지 않도록 이러한 검사를 비활성화해야 합니다. GitLab.com 레지스트리와 리포지터리를 사용할 수 없으므로 각 스캐너가 내부에서 호스팅된 다른 레지스트리를 참조하거나 개별 스캐너 이미지에 대한 접근을 제공하도록 업데이트해야 합니다.
또한 앱이 GitLab.com에서 호스팅되지 않는 npm, yarn 또는 Ruby gem과 같은 일반적인 패키지 리포지터리에 접근할 수 있어야 합니다. 이러한 리포지터리의 패키지는 네트워크에 일시적으로 연결하거나 자체 오프라인 네트워크 내에서 패키지를 미러링하여 얻을 수 있습니다.
취약점과 상호 작용#
취약점이 발견되면 상호 작용할 수 있습니다. 취약점을 처리하는 방법에 대해 자세히 읽어보세요.
경우에 따라 보고된 취약점은 UI에 노출된 외부 링크를 포함할 수 있는 메타데이터를 제공합니다. 이러한 링크는 오프라인 환경 내에서 접근하지 못할 수 있습니다.
취약점 해결#
취약점 해결 기능은 오프라인 종속성 스캔 및 컨테이너 스캔에서 사용할 수 있지만 인스턴스 구성에 따라 작동하지 않을 수 있습니다. GitLab은 해당 종속성 또는 이미지의 최신 버전을 호스팅하는 최신 레지스트리 서비스에 접근할 수 있는 경우에만 솔루션(일반적으로 더 최신의 패치된 버전)을 제안할 수 있습니다.
스캐너 서명 및 규칙 업데이트#
인터넷에 연결된 경우 일부 스캐너는 확인할 최신 서명 및 규칙 세트를 위해 공개 데이터베이스를 참조합니다. 연결 없이는 이것이 불가능합니다. 스캐너에 따라 이러한 자동 업데이트 검사를 비활성화하고 함께 제공된 데이터베이스를 사용하고 해당 데이터베이스를 수동으로 업데이트하거나 네트워크 내에서 호스팅된 자체 복사본에 대한 접근을 제공해야 합니다.
특정 스캐너 지침#
각 개별 스캐너는 이전에 설명한 단계와 약간 다를 수 있습니다. 아래 각 페이지에서 더 많은 정보를 찾을 수 있습니다:
- 컨테이너 스캔 오프라인 방향
- SAST 오프라인 방향
- 시크릿 감지 오프라인 방향
- DAST 오프라인 방향
- API 퍼징 오프라인 방향
- 라이선스 스캔 오프라인 방향
- 종속성 스캔 오프라인 방향
- IaC 스캔 오프라인 방향
오프라인 호스트에 Docker 이미지 로딩#
보안 스캔 및 Auto DevOps를 포함한 많은 GitLab 기능을 사용하려면 러너가 관련 Docker 이미지를 가져올 수 있어야 합니다.
공개 인터넷에 직접 접근하지 않고 이러한 이미지를 사용할 수 있게 하는 프로세스는 이미지를 다운로드한 다음 패키징하고 오프라인 호스트로 전송하는 것을 포함합니다. 이러한 전송의 예는 다음과 같습니다:
- 공개 인터넷에서 Docker 이미지 다운로드.
- Docker 이미지를 tar 아카이브로 패키징.
- 오프라인 환경으로 이미지 전송.
- 전송된 이미지를 오프라인 Docker 레지스트리에 로드.
공식 GitLab 템플릿 사용#
GitLab은 이 프로세스를 간소화하기 위해 벤더 템플릿을 제공합니다.
이 템플릿은 다음을 포함하는 .gitlab-ci.yml 파일이 있는 새로운 빈 프로젝트에서 사용해야 합니다:
include:
- template: Security/Secure-Binaries.gitlab-ci.yml
파이프라인은 보안 스캐너에 필요한 Docker 이미지를 다운로드하고 이를 파이프라인이 실행되는 프로젝트의
잡 아티팩트로 저장하거나 컨테이너 레지스트리로 푸시합니다.
이러한 아카이브는 다른 위치로 전송하고 Docker 데몬에서 로드할 수 있습니다.
이 방법은 gitlab.com(registry.gitlab.com 포함)과 로컬 오프라인 인스턴스 모두에 접근할 수 있는
러너가 필요합니다. 이 러너는 잡 내에서 docker 명령을 사용할 수 있도록
권한 있는 모드에서
실행해야 합니다. 이 러너는 DMZ 또는 요새 호스트에 설치할 수 있으며 이 특정 프로젝트에만 사용됩니다.
이 템플릿에는 컨테이너 스캔 分析기에 대한 업데이트가 포함되지 않습니다. 자세한 내용은 컨테이너 스캔 오프라인 방향을 참조하세요.
업데이트 예약#
기본적으로 이 프로젝트의 파이프라인은 .gitlab-ci.yml이 리포지터리에 추가될 때 한 번만 실행됩니다.
GitLab 보안 스캐너와 서명을 업데이트하려면 이 파이프라인을 정기적으로 실행해야 합니다.
GitLab은 파이프라인 일정 방법을 제공합니다.
예를 들어 Docker 이미지를 매주 다운로드하고 저장하도록 이를 설정할 수 있습니다.
생성된 보안 번들 사용#
Secure-Binaries.gitlab-ci.yml 템플릿을 사용하는 프로젝트는 이제 GitLab 보안 기능을 실행하는 데 필요한
모든 이미지와 리소스를 호스팅해야 합니다.
다음으로 오프라인 인스턴스가 GitLab.com의 기본 리소스 대신 이러한 리소스를 사용하도록 지시해야 합니다.
이를 위해 프로젝트 컨테이너 레지스트리 URL로
SECURE_ANALYZERS_PREFIX CI/CD 변수를 설정합니다.
이 변수를 프로젝트의 .gitlab-ci.yml에 설정하거나 프로젝트 또는 그룹의 GitLab UI에서 설정할 수 있습니다.
자세한 내용은 GitLab CI/CD 변수 페이지를 참조하세요.
변수#
다음 표는 Secure-Binaries.gitlab-ci.yml 템플릿과 함께 사용할 수 있는 CI/CD 변수를 보여줍니다:
| CI/CD 변수 | 설명 | 기본값 |
|---|---|---|
SECURE_BINARIES_ANALYZERS |
다운로드할 分析기의 쉼표로 구분된 목록 | "bandit, brakeman, gosec, ..." |
SECURE_BINARIES_DOWNLOAD_IMAGES |
잡을 비활성화하는 데 사용 | "true" |
SECURE_BINARIES_PUSH_IMAGES |
프로젝트 레지스트리에 파일 푸시 | "true" |
SECURE_BINARIES_SAVE_ARTIFACTS |
이미지 아카이브를 아티팩트로도 저장 | "false" |
SECURE_BINARIES_ANALYZER_VERSION |
기본 分析기 버전 (Docker 태그) | "2" |
공식 템플릿 없는 대안 방법#
이전 방법을 따를 수 없는 경우 이미지를 수동으로 전송할 수 있습니다:
이미지 패키저 스크립트 예시#
#!/bin/bash
set -ux
# Specify needed analyzer images
analyzers=${SAST_ANALYZERS:-"bandit eslint gosec"}
gitlab=registry.gitlab.com/security-products/
for i in "${analyzers[@]}"
do
tarname="${i}_2.tar"
docker pull $gitlab$i:2
docker save $gitlab$i:2 -o ./analyzers/${tarname}
chmod +r ./analyzers/${tarname}
done
이미지 로더 스크립트 예시#
이 예시는 요새 호스트에서 오프라인 호스트로 이미지를 로드합니다. 특정 구성에서는 이러한 전송에 물리적 미디어가 필요할 수 있습니다:
#!/bin/bash
set -ux
# Specify needed analyzer images
analyzers=${SAST_ANALYZERS:-"bandit eslint gosec"}
registry=$GITLAB_HOST:4567
for i in "${analyzers[@]}"
do
tarname="${i}_2.tar"
scp ./analyzers/${tarname} ${GITLAB_HOST}:~/${tarname}
ssh $GITLAB_HOST "sudo docker load -i ${tarname}"
ssh $GITLAB_HOST "sudo docker tag $(sudo docker images | grep $i | awk '{print $3}') ${registry}/analyzers/${i}:2"
ssh $GITLAB_HOST "sudo docker push ${registry}/analyzers/${i}:2"
done
오프라인 환경에서 AutoDevOps와 함께 GitLab Secure 사용#
오프라인 환경에서 보안 스캔에 GitLab AutoDevOps를 사용할 수 있습니다. 그러나 먼저 다음 단계를 수행해야 합니다:
-
로컬 레지스트리에 컨테이너 이미지를 로드합니다. GitLab Secure는 다양한 스캔을 수행하기 위해 分析기 컨테이너 이미지를 활용합니다. 이러한 이미지는 AutoDevOps를 실행하는 데 필요합니다. AutoDevOps를 실행하기 전에 공식 GitLab 템플릿의 단계에 따라 해당 컨테이너 이미지를 로컬 컨테이너 레지스트리에 로드합니다.
-
AutoDevOps가 해당 이미지의 올바른 위치를 찾도록 CI/CD 변수를 설정합니다. AutoDevOps 템플릿은
SECURE_ANALYZERS_PREFIX변수를 활용하여 分析기 이미지의 위치를 식별합니다. 자세한 내용은 생성된 보안 번들 사용을 참조하세요. 分析기 이미지를 로드한 위치에 대해 이 변수를 올바른 값으로 설정해야 합니다. 프로젝트 CI/CD 변수로 설정하거나.gitlab-ci.yml파일을 직접 수정하여 이를 설정하는 것을 고려할 수 있습니다.
이러한 단계를 완료하면 GitLab은 Secure 分析기의 로컬 복사본을 가지며 인터넷 호스팅 컨테이너 이미지 대신 이를 사용하도록 설정됩니다. 이를 통해 오프라인 환경에서 AutoDevOps로 Secure를 실행할 수 있습니다.
이러한 단계는 AutoDevOps와 함께 GitLab Secure에 특정합니다. AutoDevOps와 함께 다른 스테이지를 사용하려면 Auto DevOps 문서에서 다루는 다른 단계가 필요할 수 있습니다.