私たちは隠しますギットラボインスタンス(他の複数のアプリケーションを含む)を単一のApache リバースプロキシつまり、下位のサービスへのさらなるアクセスを許可する前に、ユーザー認証 (OpenID) を実行します。
これにより、1つサービス(Apache)を公開し、1つサービスが攻撃される可能性があります。
Gitlabはアクセストークン(技術的には、基本認証) Git リポジトリへのアクセスを許可するために、Git URL が認証なしでプロキシを通過できるようにして、Gitlab 自体によって認証されるようにする必要があります。
これにより、認証されていないユーザーが Gitlab に直接アクセスできるため、技術的には 2 番目の攻撃ベクトルが開かれます。
この2番目のベクトルを開かないような実現可能な設定はあるでしょうか?
- ユーザーはトークンヘッダー付きのリクエストを送信します
- Apacheはこのトークンを使用してGitlabに対して認証を試みます
- 認証が成功した場合のみ、ApacheはリクエストをGitlabに渡します。