Security 我们如何保护VST中的数据不被API访问？

背景： 我们有一个VSTS帐户 我们使用Azure Premium条件访问并指定工作网络的公共IP，将其配置为阻止外部访问。因此，内部网络之外的客户端将阻止交互式访问

但这不会阻止个人访问令牌（PAT）。我也没有看到禁用或阻止PAT使用的设置。PAT允许通过RESTAPI访问我们的VSTS帐户中的大部分数据。如果没有Azure AD Premium conditional access（白名单）这样的机制，世界上任何人都可以通过窃取PAT来访问或修改我们的数据。对我来说，这似乎是一个巨大的安全漏洞。我是否缺少对该漏洞的控制

理想情况下，我们将在VSTS中拥有一个白名单，而不必依赖Azure广告溢价。然后，VSTS服务将阻止不是在我们指定的安全位置发起的交互调用和API调用。但据我所知，这并不存在

---

那么，我们如何才能保护我们的数据不受世界上可能通过API路径和被盗PAT访问我们帐户数据的用户的影响呢？

您可以禁用基本身份验证和备用凭据，但这也会禁用VST上的一些功能（如SSH Git和一些不支持OAuth工作流的工具的Git访问）

很遗憾，个人访问令牌不能以这种方式禁用。尽管您可以让人们将范围限制在他们的令牌上，让他们只创建有限时间的令牌

未来与AAD的集成可能会更紧密，并且能够检查AAD条件接收

另一个重要提示：一旦用户使用AAD登录，他们可以将笔记本电脑/设备带到其他位置。只要AAD身份验证仍然有效，它们就不会被阻止从其他位置进行访问。据我所知，在VST的情况下，在登录和续订令牌时会检查条件访问

目前，只有您用户的尽职调查才能防止未经授权访问您的帐户。让他们像对待其他重要秘密信息一样对待自己的隐私。使用短期PAT，将其范围限制在所需的范围内，并将其安全地存储在密码库（如Lastpass或KeepPass）中

---

PS：在一个云世界中，机器定期分配新的IP地址，IPv6将使挑选机器组变得更加困难，纯IP限制并不是保证数据安全的方法。IP也是相对容易被欺骗或隐藏的东西之一。

谢谢你的回答，杰西。我很害怕。我将为此创建一个用户语音项。我认为这是一个安全缺口。由于我们今天不使用API，它扩大了我们的接触面，没有任何好处。目前，你的建议似乎是最好的。关于不断变化的IP问题，你是对的，基于IP的白名单对于在家工作而没有个人ISP连接的个人来说是有问题的。但对于许多拥有在可预测范围内分配网络的企业来说，这是非常实用的。从总体上看，我看到的是供应商急于提供新的功能，而通过多层和多个控制来确保这些功能的努力相对滞后。