Security 我们如何保护VST中的数据不被API访问?
背景: 我们有一个VSTS帐户 我们使用Azure Premium条件访问并指定工作网络的公共IP,将其配置为阻止外部访问。因此,内部网络之外的客户端将阻止交互式访问 但这不会阻止个人访问令牌(PAT)。我也没有看到禁用或阻止PAT使用的设置。PAT允许通过RESTAPI访问我们的VSTS帐户中的大部分数据。如果没有Azure AD Premium conditional access(白名单)这样的机制,世界上任何人都可以通过窃取PAT来访问或修改我们的数据。对我来说,这似乎是一个巨大的安全漏洞。我是否缺少对该漏洞的控制 理想情况下,我们将在VSTS中拥有一个白名单,而不必依赖Azure广告溢价。然后,VSTS服务将阻止不是在我们指定的安全位置发起的交互调用和API调用。但据我所知,这并不存在Security 我们如何保护VST中的数据不被API访问?,security,azure-devops,ip-restrictions,Security,Azure Devops,Ip Restrictions,背景: 我们有一个VSTS帐户 我们使用Azure Premium条件访问并指定工作网络的公共IP,将其配置为阻止外部访问。因此,内部网络之外的客户端将阻止交互式访问 但这不会阻止个人访问令牌(PAT)。我也没有看到禁用或阻止PAT使用的设置。PAT允许通过RESTAPI访问我们的VSTS帐户中的大部分数据。如果没有Azure AD Premium conditional access(白名单)这样的机制,世界上任何人都可以通过窃取PAT来访问或修改我们的数据。对我来说,这似乎是一个巨大的安全漏
那么,我们如何才能保护我们的数据不受世界上可能通过API路径和被盗PAT访问我们帐户数据的用户的影响呢?您可以禁用基本身份验证和备用凭据,但这也会禁用VST上的一些功能(如SSH Git和一些不支持OAuth工作流的工具的Git访问) 很遗憾,个人访问令牌不能以这种方式禁用。尽管您可以让人们将范围限制在他们的令牌上,让他们只创建有限时间的令牌 未来与AAD的集成可能会更紧密,并且能够检查AAD条件接收 另一个重要提示:一旦用户使用AAD登录,他们可以将笔记本电脑/设备带到其他位置。只要AAD身份验证仍然有效,它们就不会被阻止从其他位置进行访问。据我所知,在VST的情况下,在登录和续订令牌时会检查条件访问 目前,只有您用户的尽职调查才能防止未经授权访问您的帐户。让他们像对待其他重要秘密信息一样对待自己的隐私。使用短期PAT,将其范围限制在所需的范围内,并将其安全地存储在密码库(如Lastpass或KeepPass)中
PS:在一个云世界中,机器定期分配新的IP地址,IPv6将使挑选机器组变得更加困难,纯IP限制并不是保证数据安全的方法。IP也是相对容易被欺骗或隐藏的东西之一。谢谢你的回答,杰西。我很害怕。我将为此创建一个用户语音项。我认为这是一个安全缺口。由于我们今天不使用API,它扩大了我们的接触面,没有任何好处。目前,你的建议似乎是最好的。关于不断变化的IP问题,你是对的,基于IP的白名单对于在家工作而没有个人ISP连接的个人来说是有问题的。但对于许多拥有在可预测范围内分配网络的企业来说,这是非常实用的。从总体上看,我看到的是供应商急于提供新的功能,而通过多层和多个控制来确保这些功能的努力相对滞后。