히스토리

• GitLab 18.3에서 security_policies_csp 및 include_csp_frameworks라는 기능 플래그와 함께 도입됨. 기본적으로 활성화됨.
• 기능 플래그 security_policies_csp가 GitLab 18.5에서 제거됨.
• GitLab 18.6에서 일반적으로 사용 가능해짐. 기능 플래그 include_csp_frameworks가 제거됨.

중앙 집중식 보안 컴플라이언스 프레임워크 관리를 통해 GitLab 관리자는 GitLab 인스턴스의 모든 그룹 및 프로젝트에서 컴플라이언스 요구 사항을 중앙에서 관리하고 적용할 수 있습니다.

컴플라이언스 및 보안 정책(CSP) 그룹을 지정하면, 모든 최상위 그룹에서 자동으로 사용할 수 있는 컴플라이언스 프레임워크를 만들 수 있습니다.

컴플라이언스 및 보안 정책 그룹을 지정하면:

• 컴플라이언스 및 보안 정책 그룹에서 생성된 모든 컴플라이언스 프레임워크가 인스턴스의 모든 최상위 그룹에서 사용 가능해집니다.
• 그룹 소유자는 이러한 중앙 집중식 프레임워크를 자신의 프로젝트에 할당할 수 있습니다.
• 프레임워크는 그룹별 프레임워크와 함께 표시되며, 컴플라이언스 및 보안 정책 그룹에서 온 것임을 명확하게 나타내는 표시자가 있습니다.
• 컴플라이언스 및 보안 정책 프레임워크는 컴플라이언스 표준의 일관된 적용을 보장하기 위해 컴플라이언스 및 보안 정책 그룹의 비멤버에게는 읽기 전용입니다.

프레임워크 가시성 및 권한:

• 모든 사용자는 액세스 권한이 있는 프로젝트에 적용된 프레임워크를 볼 수 있습니다.
• 그룹 멤버는 자신의 그룹에 사용 가능한 모든 컴플라이언스 및 보안 정책 프레임워크를 볼 수 있습니다.
• 컴플라이언스 센터에는 컴플라이언스 및 보안 정책 그룹 프레임워크와 그룹별 프레임워크가 모두 표시됩니다.

필수 요건#

• 관리자이어야 합니다.
• 컴플라이언스 및 보안 정책 그룹으로 사용할 기존 최상위 그룹이 있어야 합니다.
• REST API(선택 사항)를 사용하려면 관리자 액세스 권한이 있는 토큰이 있어야 합니다.

시작하기 전에#

시작하기 전에 컴플라이언스 프레임워크를 관리하기 위한 중앙 위치로 사용할 최상위 그룹을 컴플라이언스 및 보안 정책 그룹으로 지정합니다.

자세한 지침은 컴플라이언스 및 보안 정책 그룹 지정을 참조하세요.

컴플라이언스 및 보안 정책 그룹에서 컴플라이언스 프레임워크 만들기#

컴플라이언스 및 보안 정책 그룹을 지정한 후 해당 그룹에서 컴플라이언스 프레임워크를 만듭니다:

1. 지정된 컴플라이언스 및 보안 정책 그룹으로 이동합니다.
2. Secure > Compliance center를 선택합니다.
3. 페이지에서 Frameworks 탭을 선택합니다.
4. New framework를 선택합니다.
5. 프레임워크 세부 정보를 입력합니다:
   • Name: 프레임워크에 대한 설명적인 이름.
   • Description: 프레임워크의 목적과 요구 사항을 설명합니다.
   • Color: 시각적 식별을 위한 색상을 선택합니다.
   • Requirements(선택 사항): 특정 컨트롤 및 요구 사항을 추가합니다.
6. Save changes를 선택합니다.

이제 프레임워크가 인스턴스의 모든 최상위 그룹에서 사용 가능합니다.

프레임워크 요구 사항 구성(선택 사항)#

각 컴플라이언스 프레임워크에 대한 특정 요구 사항 및 컨트롤을 정의할 수 있습니다:

1. 컴플라이언스 및 보안 정책 그룹에서 프레임워크를 만들거나 편집할 때 Requirements 섹션으로 이동합니다.
2. New requirement를 선택합니다.
3. 하나 이상의 컨트롤을 추가합니다:
   • GitLab controls: GitLab 기능 및 설정에 대한 사전 정의된 검사.
   • External controls: 타사 컴플라이언스 도구와의 통합.
4. Save changes to the framework를 선택합니다.

사용 가능한 컨트롤에 대한 자세한 내용은 GitLab 컴플라이언스 컨트롤 및 지원되는 컴플라이언스 표준의 세부 정보를 참조하세요.

프로젝트에 컴플라이언스 및 보안 정책 프레임워크 적용#

그룹 소유자 또는 프로젝트 소유자로서 프로젝트에 컴플라이언스 및 보안 정책 프레임워크를 적용합니다.

그룹 소유자로서#

그룹 소유자는 자신의 프로젝트에 컴플라이언스 및 보안 정책 프레임워크를 보고 적용할 수 있습니다. 컴플라이언스 및 보안 정책 프레임워크는 그룹에서 읽기 전용이며 그룹에서 편집하거나 삭제할 수 없습니다.

그룹의 프로젝트에 컴플라이언스 및 보안 정책 프레임워크를 적용하려면:

1. 상단 바에서 검색 또는 이동을 선택하고 그룹을 찾습니다.
2. 왼쪽 사이드바에서 Secure > Compliance center를 선택합니다.
3. 페이지에서 Projects 탭을 선택합니다.
4. 컴플라이언스 및 보안 정책 프레임워크가 특별 표시자와 함께 목록에 표시됩니다.
5. 컴플라이언스 및 보안 정책 프레임워크를 선택하여 그룹의 프로젝트에 적용합니다.

프로젝트 소유자로서#

프로젝트에 적용된 컴플라이언스 프레임워크를 확인하려면:

1. 상단 바에서 검색 또는 이동을 선택하고 프로젝트를 찾습니다.
2. 왼쪽 사이드바에서 Settings > General을 선택합니다.
3. Compliance frameworks 섹션을 펼칩니다.
4. 컴플라이언스 및 보안 정책 그룹의 프레임워크를 포함한 모든 적용된 프레임워크를 봅니다.

컴플라이언스 및 보안 정책 프레임워크 수정#

컴플라이언스 및 보안 정책 그룹에서 컴플라이언스 프레임워크를 수정하면:

• 변경 사항이 모든 그룹에 즉시 반영됩니다.
• 프레임워크를 사용하는 프로젝트가 업데이트를 자동으로 상속합니다.
• 감사 이벤트가 모든 수정을 추적합니다.
• 그룹 또는 프로젝트 소유자의 조치가 필요하지 않습니다.

컴플라이언스 및 보안 정책 프레임워크 삭제#

컴플라이언스 및 보안 정책 프레임워크를 삭제하면 GitLab은 영향을 받는 프로젝트에 대한 경고를 표시합니다.

컴플라이언스 및 보안 정책 프레임워크 삭제를 확인하면:

• 프레임워크가 모든 프로젝트에서 제거됩니다.
• 감사 이벤트가 생성됩니다.
• 프레임워크가 어떤 그룹에서도 더 이상 표시되지 않습니다.

컴플라이언스 및 보안 정책 그룹 변경#

컴플라이언스 및 보안 정책 그룹으로 사용할 그룹을 변경해야 하는 경우:

• 이전 컴플라이언스 및 보안 정책 그룹의 모든 프레임워크를 사용할 수 없게 됩니다.
• 새 컴플라이언스 및 보안 정책 그룹의 프레임워크를 사용할 수 있게 됩니다.
• 필요한 경우 프로젝트를 새 프레임워크에 재할당해야 합니다.

자세한 지침은 컴플라이언스 및 보안 정책 그룹 지정을 참조하세요.

보안 정책과의 통합#

컴플라이언스 및 보안 정책 프레임워크는 향상된 컴플라이언스를 위해 보안 정책과 통합할 수 있습니다:

1. 컴플라이언스 및 보안 정책 그룹에서 보안 정책을 만듭니다.
2. 특정 컴플라이언스 프레임워크에 정책 범위를 지정합니다.
3. 해당 프레임워크가 있는 프로젝트가 자동으로 정책을 상속합니다.

자세한 내용은 컴플라이언스 및 보안 정책 그룹의 보안 정책 관리를 참조하세요.

문제 해결#

중앙 집중식 컴플라이언스 프레임워크 사용 시 발생할 수 있는 문제의 가능한 해결 방법입니다.

그룹에 프레임워크가 표시되지 않음#

컴플라이언스 및 보안 정책 프레임워크가 그룹에 표시되지 않는 경우:

1. 관리자 설정에서 컴플라이언스 및 보안 정책 그룹이 올바르게 지정되었는지 확인합니다.
2. 컴플라이언스 및 보안 정책 그룹에 프레임워크가 있는지 확인합니다.
3. 프레임워크를 볼 수 있는 적절한 권한이 있는지 확인합니다.

컴플라이언스 및 보안 정책 프레임워크를 수정할 수 없음#

컴플라이언스 및 보안 정책 프레임워크는 컴플라이언스 및 보안 정책 그룹에서만 수정할 수 있습니다:

1. 컴플라이언스 및 보안 정책 그룹으로 직접 이동합니다.
2. 컴플라이언스 및 보안 정책 그룹에서 Owner 권한이 있는지 확인합니다.
3. 컴플라이언스 및 보안 정책 그룹의 Compliance center에서 변경합니다.

관련 주제#

• 인스턴스 전체 컴플라이언스 및 보안 정책 관리
• 컴플라이언스 프레임워크
• 컴플라이언스 및 보안 정책 그룹
• 컴플라이언스 센터