GitLabの保護
- プラン: Free、Premium、Ultimate
- 提供形態: GitLab.com、GitLab Self-Managed、GitLab Dedicated
一般情報
このセクションでは、プラットフォームに関する一般的な情報と推奨事項について説明します。
- パスワードとOAuthトークンのストレージ
- 統合認証で作成されたユーザーのパスワード生成
- CRIME脆弱性管理
- サードパーティのインテグレーションに対するシークレットのローテーション
推奨事項
GitLab環境におけるセキュリティ対策状況を改善する方法については、強化に関する推奨事項をご覧ください。
ウイルス対策ソフトウェア
通常、GitLabホストでウイルス対策ソフトウェアを実行することは推奨されません。
ただし、使用する必要がある場合は、システム上のGitLabに関連するすべての場所をスキャン対象から除外する必要があります。誤検出によりファイルが隔離される可能性があるためです。
具体的には、次のGitLabディレクトリをスキャン対象から除外してください:
/var/opt/gitlab/etc/gitlab//var/log/gitlab//opt/gitlab/
これらのディレクトリはすべて、Linuxパッケージ設定に関するドキュメントに記載されています。
ユーザーアカウント
- 認証オプションを確認する。
- パスワードの長さ制限を設定する。
- SSHキー方式を制限し、最小キー長を要求する。
- サインアップ制限でアカウント作成を制限する。
- サインアップ時に確認メールを送信する
- 2要素認証を必須にして 、ユーザーに2要素認証を実施するを求める。
- 複数のIPからのログインを制限する。
- ユーザーパスワードをリセットする方法。
- ロックされたユーザーのロックを解除する方法。
データアクセス
プラットフォームの使用と設定
- GitLabのトークンタイプと使用方法を確認する。
- レート制限を設定してセキュリティと可用性を向上させる方法。
- 送信Webhookリクエストをフィルタリングする方法。
- インポートおよびエクスポートの制限とタイムアウトを設定する方法。
- Runnerのセキュリティに関する考慮事項と推奨事項を確認する。
- CI/CD変数のセキュリティに関する考慮事項を確認する。
- CI/CDパイプラインでのシークレットの使用と保護に関するパイプラインセキュリティを確認する。
- インスタンス全体のコンプライアンスとセキュリティポリシーの管理。
パッチ
GitLab Self-Managedのお客様および管理者は、基盤となるホストのセキュリティと、GitLab自体を常に最新の状態に保つ責任があります。GitLabに定期的にパッチを適用し、オペレーティングシステムおよび関連ソフトウェアにパッチを適用し、ベンダーのガイダンスに従ってホストを強化することが重要です。
モニタリング
ログ
- GitLabによって生成されるログの種類と内容を確認する。
- Runnerのジョブログ情報を確認する。
- 相関IDを使用してログをトレースする方法。
- ログ生成の設定とアクセス。
- 監査イベントストリーミングを設定する方法。
応答
レート制限
レート制限については、レート制限を参照してください。