我们如何通过API保护VSTS中的数据?

时间:2016-07-15 18:02:14

标签: security azure-devops ip-restrictions

上下文: 我们有一个VSTS帐户https://blahblahblah.visualtudio.com 我们已将其配置为使用Azure Premium条件访问并指定工作网络的公共IP来阻止外部访问。因此,内部网络外的客户端将阻止交互式访问。

但这并不会阻止个人访问令牌(PAT)。我也没有看到禁用或阻止使用PAT的设置。 PAT可以允许通过REST API访问我们的VSTS帐户中的大多数数据。如果没有像Azure AD Premium条件访问(白名单)这样的机制,世界上任何人都可以通过窃取PAT来访问或修改我们的数据。这对我来说似乎是一个巨大的安全漏洞。我错过了该漏洞的控件吗?

理想情况下,我们会在VSTS中使用白名单,而不必依赖Azure AD Premium。那么VSTS服务将阻止不在我们指定的安全位置发起的交互式和API调用。但据我所知,这并不存在。

那么,我们如何保护我们的数据免受世界上可能通过API路径和被盗PAT访问我们的帐户数据的用户的影响?

1 个答案:

答案 0 :(得分:2)

您可以禁用基本身份验证和备用凭据,但这也会禁用VSTS上的一些功能(例如,某些不支持OAuth工作流的工具的SSH Git和Git访问权限。)

enter image description here

不幸的是,不能以这种方式禁用个人访问令牌。虽然你可以让人们将范围限制为他们的代币,并让他们只创造有限的时间代币。

未来与AAD的整合可能会更紧密,并且能够检查AAD条件访问。

另一个重要注意事项:一旦用户使用AAD登录,他们就可以将他们的笔记本电脑/设备带到另一个位置。只要AAD身份验证仍然有效,就不会阻止来自其他位置的访问。根据我所知,在VSTS的情况下,在登录和续订令牌时会检查条件访问。

目前,只有用户进行尽职调查才能防止未经授权访问您的帐户。让他们以对待其他重要秘密信息的方式对待他们的PAT。使用短持续时间PAT,将其范围限制为仅需要的范围并将其安全地存储在密码保险库中,如Lastpass或Keepass。

PS:在云计算世界中,机器经常会分配新的IP地址,并且IPv6会使单机组更加困难,纯IP限制保证数据安全的方式。 IP也是相对容易被欺骗或隐藏的事情之一。