Sichern Sie Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 – Azure DevOps Server 2019

Wenn Sie Informationen und Daten verarbeiten, insbesondere in einer cloudbasierten Lösung wie Azure DevOps Services, sollten Sicherheit Ihre oberste Priorität haben. Während Microsoft die Sicherheit der zugrunde liegenden Cloudinfrastruktur gewährleistet, liegt es in Ihrer Verantwortung, die Sicherheit in Azure DevOps zu konfigurieren. Dieser Artikel enthält eine Übersicht über die erforderlichen sicherheitsbezogenen Konfigurationen, um Ihre Azure DevOps-Umgebung vor Bedrohungen und Sicherheitsrisiken zu schützen.

Sichern Ihres Netzwerks

Die Sicherung Ihres Netzwerks ist entscheidend, wenn Sie mit Azure DevOps arbeiten, um Ihre Daten und Ressourcen vor unbefugtem Zugriff und potenziellen Bedrohungen zu schützen. Implementieren Sie Netzwerksicherheitsmaßnahmen, um sicherzustellen, dass nur vertrauenswürdige Quellen auf Ihre Azure DevOps-Umgebung zugreifen können. Führen Sie die folgenden Aktionen aus, um Ihr Netzwerk beim Arbeiten mit Azure DevOps zu schützen:

• Einrichten der IP-Zulassungsliste: Zugriff auf bestimmte IP-Adressen einschränken, um Datenverkehr nur aus vertrauenswürdigen Quellen zuzulassen, wodurch die Angriffsfläche reduziert wird. Weitere Informationen finden Sie unter Einrichten der IP-Zulassungsliste.
• Verwenden Sie Datenverschlüsselung: Verschlüsseln Sie Daten stets während der Übertragung und im Ruhezustand. Sichere Kommunikationskanäle mit Protokollen wie HTTPS. Weitere Informationen finden Sie unter Verwenden der Datenverschlüsselung.
• Überprüfen von Zertifikaten: Sicherstellen, dass Zertifikate gültig sind und von vertrauenswürdigen Behörden ausgestellt werden, wenn Verbindungen eingerichtet werden. Weitere Informationen finden Sie unter Validieren von Zertifikaten.
• Implementieren von Webanwendungsfirewalls (WAFs): Filtern, Überwachen und Blockieren von bösartigem webbasiertem Datenverkehr mit WAFs für eine zusätzliche Schutzebene vor gängigen Angriffen. Weitere Informationen finden Sie unter Implementieren von Webanwendungsfirewalls (WAFs).
• Aktivieren von Netzwerksicherheitsgruppen (NSGs): Verwenden von NSGs zum Steuern von eingehendem und ausgehendem Datenverkehr an Azure-Ressourcen, um sicherzustellen, dass nur autorisierter Datenverkehr zulässig ist. Weitere Informationen finden Sie in der Übersicht über Netzwerksicherheitsgruppen (Network Security Groups, NSGs).
• Azure Firewall verwenden: Bereitstellen von Azure Firewall, um eine zentralisierte Netzwerksicherheitsrichtlinie für mehrere Azure-Abonnements und virtuelle Netzwerke bereitzustellen. Weitere Informationen finden Sie in der übersicht über die Azure Firewall.
• Überwachen des Netzwerkdatenverkehrs: Verwenden sie Azure Network Watcher, um Netzwerkprobleme zu überwachen und zu diagnostizieren, um die Sicherheit und Leistung Ihres Netzwerks sicherzustellen. Weitere Informationen finden Sie in der Übersicht über den Azure Network Watcher.
• Implementieren des DDoS-Schutzes: Azure DDoS Protection aktivieren, um Ihre Anwendungen vor verteilten Denial-of-Service-Angriffen (DDoS) zu schützen. Weitere Informationen finden Sie unter Azure DDoS Protection.

Weitere Informationen finden Sie unter bewährte Methoden für die Anwendungsverwaltung.

Sichern Ihrer Azure DevOps-Umgebung

Um sicherzustellen, dass Ihre Azure DevOps-Umgebung Branchenstandards und -vorschriften erfüllt, implementieren Sie Sicherheitsmaßnahmen und Richtlinien. Die Einhaltung von Standards wie ISO/IEC 27001, SOC 1/2/3 und Datenschutz-Grundverordnung (DSGVO) trägt dazu bei, Ihre Umgebung zu schützen und das Vertrauen mit Ihren Benutzern aufrechtzuerhalten.

• Sicherstellen der Einhaltung von Branchenstandards: Azure DevOps erfüllt verschiedene Branchenstandards und -vorschriften, z. B. ISO/IEC 27001, SOC 1/2/3 und DSGVO. Stellen Sie sicher, dass Ihre Umgebung diesen Standards entspricht.
• Erzwingen von Richtlinien: Implementieren von Richtlinien, um bewährte Methoden für die Sicherheit in Ihrer Organisation zu erzwingen. Diese Aktion umfasst die Anforderung von Codeüberprüfungen und das Erzwingen von Branch-Richtlinien, Compliance-Richtlinien für Pipelinesund Sicherheitsrichtlinien.
• Einführung in die Component Governance für CI/CD aus diesen Gründen:
  • Erkennung von Sicherheitsrisiken: Warnt Sie bei bekannten Sicherheitsrisiken in Open-Source-Komponenten.
  • Lizenzcompliance: Stellt sicher, dass Komponenten den Lizenzierungsrichtlinien Ihrer Organisation entsprechen.
  • Richtlinienerzwingung: Stellt sicher, dass nur genehmigte Versionen verwendet werden.
  • Sichtbarkeit mit Tracking: Bietet Einblicke in Komponenten über Repositorys hinweg, um die Verwaltung zu vereinfachen.

Verwalten von Berechtigungen auf Projekt- und Organisationsebene

• Einschränken des Zugriffs auf Projekte und Repositorys: Verringern Sie das Risiko, vertrauliche Informationen zu entlecken und unsicheren Code bereitzustellen, indem Sie den Zugriff auf Projekte und Repositorys beschränken. Verwenden Sie integrierte oder benutzerdefinierte Sicherheitsgruppen, um Berechtigungen zu verwalten. Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Projekte und Repositorys.
• Deaktivieren Sie "Öffentliche Projekte zulassen": Deaktivieren Sie in den Richtlinieneinstellungen Ihrer Organisation die Option zum Erstellen öffentlicher Projekte. Wechseln Sie bei Bedarf die Projektsichtbarkeit von öffentlich zu privat. Benutzer, die sich nie angemeldet haben, haben schreibgeschützten Zugriff auf öffentliche Projekte, während angemeldete Benutzer Zugriff auf private Projekte erhalten und zulässige Änderungen vornehmen können. Weitere Informationen finden Sie unter Ändern von Anwendungsverbindungs- und Sicherheitsrichtlinien für Ihre Organisation.
• Organisationserstellung einschränken: Benutzer daran hindern, neue Projekte zu erstellen, um die Kontrolle über Ihre Umgebung zu behalten. Weitere Informationen finden Sie unter Einschränken der Organisationserstellung über die Microsoft Entra-Mandantenrichtlinie.

Verwenden von Sicherheitsfeatures und -tools

Die folgenden Sicherheitsfeatures und -tools können Ihnen helfen, die Sicherheit Ihrer Projekte zu überwachen, zu verwalten und zu verbessern:

• OAuth anstelle von persönlichen Zugriffstoken (PATs) verwenden: OAuth-Fluss anstelle von PATs verwenden und keine persönlichen GitHub-Konten als Dienstverbindungen verwenden. Weitere Informationen finden Sie in der OAuth-Übersicht.
• Verwenden Sie Codeüberprüfung und -analyse: Verwenden Sie Tools wie Microsoft Defender, um Ihren Code auf Sicherheitsrisiken, Geheimschlüssel und Fehlkonfigurationen zu überprüfen. Diese Aktion hilft, Sicherheitsprobleme frühzeitig im Entwicklungsprozess zu identifizieren und zu beheben.
• Git Credential Manager verwenden: Unterstützen der zweistufigen Authentifizierung mit GitHub-Repositorys und Authentifizieren bei Azure Repos. Weitere Informationen finden Sie unter Einrichten des Git-Anmeldemanagers.
• Azure DevOps Credential Scanner (CredScan) für GitHub verwenden: Wenn eine verwaltete Identität verwendet wird, stellen Sie sicher, dass Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in die Code- und Konfigurationsdateien einzubetten. Implementieren Sie den Azure DevOps-Anmeldeinformationsscanner, um Anmeldeinformationen innerhalb des Codes zu identifizieren. Weitere Informationen finden Sie unter Erste Schritte mit CredScan.
• Verwenden von native Secret-Scanning für GitHub: Wenn die Verwendung einer verwalteten Identität keine Option ist, stellen Sie sicher, dass Geheimnisse an sicheren Orten wie Azure Key Vault gespeichert werden, anstatt sie in den Code- und Konfigurationsdateien einzubetten. Verwenden Sie die native Secret-Scanning-Funktion, um Geheimnisse im Code zu identifizieren. Weitere Informationen finden Sie unter Geheimnisüberprüfung.

Weitere Informationen finden Sie in der erweiterten GitHub-Sicherheitsübersicht.

Sichern Ihrer Dienste

Um die Sicherheit und Integrität Ihrer Dienste in Azure DevOps sicherzustellen, implementieren Sie Sicherheitsmaßnahmen für jeden Dienst. Diese Maßnahmen umfassen das Festlegen von Berechtigungen, das Verwalten des Zugriffs und die Verwendung von Sicherheitsfeatures, die für jeden Dienst spezifisch sind.

• Secure Azure Boards: Schützen Sie Ihre Arbeitsverfolgungsdaten, indem Sie geeignete Berechtigungen festlegen und Zugriffsstufen verwalten.
  • Festlegen von Arbeitsverfolgungsberechtigungen
  • Festlegen von Berechtigungen für Abfragen und Abfrageordner
  • Verwalten von Teamadministratoren
  • Erfahren Sie mehr über Standardberechtigungen und Zugriffsebenen für Azure Boards
• Secure Azure Repos: Sorgen Sie für die Sicherheit Ihrer Coderepositories, indem Sie Git-Einstellungen, Verzweigungsberechtigungen und Richtlinien konfigurieren.
  • Erfahren Sie mehr über die standardmäßigen Git-Einstellungen und -Richtlinien
  • Festlegen von Berechtigungen für eine bestimmte Branch
  • Festlegen der Branchrichtlinien
  • Konfigurieren von GitHub Advanced Security für Azure DevOps
  • Informationen zu GitHub Advanced Security
• Sichere Azure-Pipelines: Schützen Ihrer CI/CD-Prozesse durch Festlegen von Berechtigungen, Verwenden von Sicherheitsvorlagen und Sichern von Agents und Containern.
  • Erfahren Sie mehr über die Sicherheit von Azure Pipelines
  • Hinzufügen von Benutzern zu Azure Pipelines
  • Vorlagen für die Sicherheit verwenden
  • Sichere Agents, Projekte und Container
  • Sicheren Zugriff auf Azure Repos aus Pipelines
  • Sichere Pipelineressourcen
  • Ermitteln des Ansatzes zur Absicherung von YAML-Pipelines
  • Geheimnisse in Azure Pipelines schützen
• Sichere Azure-Testpläne: Stellen Sie sicher, dass Ihr Team über den entsprechenden Zugriff verfügt, um Testpläne effizient zu verwalten und auszuführen.
  • Lernen Sie die standardmäßigen manuellen Tests und Zugriffsberechtigungen
  • Festlegen von Berechtigungen und Zugriff zum Testen
• Secure Azure Artifacts: Verwalten Sie den Zugriff auf Ihre Pakete und steuern Sie, wer mit ihnen interagieren kann.
  • Verwalten von Azure Artifacts-Berechtigungen
  • Festlegen von Feedbereichen

Steuern des Zugriffs

Stellen Sie die mindestens erforderlichen Berechtigungen und Zugriffsebenen bereit, um sicherzustellen, dass nur autorisierte Personen und Dienste auf vertrauliche Informationen zugreifen und wichtige Aktionen ausführen können. Diese Vorgehensweise trägt dazu bei, das Risiko eines nicht autorisierten Zugriffs und potenzieller Datenschutzverletzungen zu minimieren.

Überprüfen und aktualisieren Sie diese Einstellungen regelmäßig, um sich an Änderungen in Ihrer Organisation anzupassen, z. B. Rollenänderungen, Neueinstellungen oder Abreisen. Das Implementieren einer regelmäßigen Überwachung von Berechtigungen und Zugriffsstufen kann dazu beitragen, Diskrepanzen zu identifizieren und zu korrigieren, um sicherzustellen, dass Ihr Sicherheitsstatus stabil bleibt und an bewährte Methoden ausgerichtet ist.

Bereichsberechtigungen

Um die sichere und effiziente Verwaltung von Berechtigungen zu gewährleisten, sollten Sie Berechtigungen in Ihrer Azure DevOps-Umgebung ordnungsgemäß einschränken. Die Bereichsdefinitionsberechtigungen beinhalten das Definieren und Zuweisen der entsprechenden Zugriffsebene für Benutzer und Gruppen basierend auf ihren Rollen und Zuständigkeiten. Diese Vorgehensweise trägt dazu bei, das Risiko nicht autorisierter Zugriffe und potenzieller Datenschutzverletzungen zu minimieren, indem sichergestellt wird, dass nur autorisierte Personen Zugriff auf vertrauliche Informationen und kritische Aktionen haben.

Führen Sie die folgenden Aktionen aus, um Berechtigungen effektiv zu beschränken:

• Vererbung deaktivieren: Vererbung vermeiden und unbeabsichtigten Zugriff verhindern. Durch die Vererbung können Benutzern versehentlich Berechtigungen gewährt werden, die sie nicht besitzen sollten, da diese standardmäßig zulässig sind. Verwalten Sie Berechtigungen sorgfältig und legen Sie sie explizit fest, um sicherzustellen, dass nur die vorgesehenen Benutzer Zugriff haben. Weitere Informationen finden Sie unter Vererbung von Berechtigungen.
• Segmentumgebungen: Verwenden sie separate Azure-Konten für verschiedene Umgebungen, z. B. Entwicklung, Tests und Produktion, um Die Sicherheit zu verbessern und Konflikte zu verhindern. Dieser Ansatz minimiert das Risiko von Ressourcenkonflikten und Datenkontaminationen zwischen Umgebungen und ermöglicht eine bessere Verwaltung und Isolierung von Ressourcen. Weitere Informationen finden Sie unter Azure Landing Zone.
• Steuern des Zugriffs und Sicherstellen der Compliance: Verwenden von Azure-Richtlinien, um den Zugriff auf nicht verwendete Azure-Regionen und -Dienste einzuschränken und die Einhaltung von Organisationsstandards sicherzustellen. Diese Aktion hilft dabei, bewährte Methoden zu erzwingen und eine sichere Umgebung aufrechtzuerhalten, indem nicht autorisierter Zugriff und verwendung verhindert werden. Weitere Informationen finden Sie in der Azure Policy Overview.
• Implementieren sie azure role-based control (ABAC): Verwenden sie ABAC mit ordnungsgemäß markierten Ressourcen, und beschränken Sie nicht autorisierten Zugriff. Diese Aktion stellt sicher, dass Zugriffsberechtigungen basierend auf bestimmten Attributen gewährt werden, wodurch die Sicherheit verbessert wird, indem nicht autorisierte Ressourcenerstellung und -zugriff verhindert werden. Weitere Informationen finden Sie unter Implementieren von Azure rollenbasierter Zugriffskontrolle (ABAC).
• Verwenden von Sicherheitsgruppen: Verwenden von Sicherheitsgruppen zum effizienten Verwalten von Berechtigungen für mehrere Benutzer. Diese Methode vereinfacht das Gewähren und Widerrufen des Zugriffs im Vergleich zum Zuweisen von Berechtigungen einzeln und sorgt für Konsistenz und einfachere Verwaltung in Ihrer Organisation.
  • Verwenden Sie Microsoft Entra-ID, Active Directory oder Windows-Sicherheitsgruppen, wenn Sie viele Benutzer verwalten.
  • Nutzen Sie integrierte Rollen und legen Sie für Entwickler standardmäßig die Rolle "Mitwirkender" fest. Administratoren werden der Sicherheitsgruppe "Projektadministrator" für erhöhte Berechtigungen zugewiesen, sodass sie Sicherheitsberechtigungen konfigurieren können.
  • Halten Sie Gruppen so klein wie möglich, und beschränken Sie den Zugriff.
  • Weitere Informationen finden Sie unter Verwalten von Sicherheitsgruppen.
• Wählen Sie die richtige Authentifizierungsmethode aus: Sichere Authentifizierungsmethoden einrichten und Autorisierungsrichtlinien verwalten. Weitere Informationen finden Sie im Abschnitt Auswählen der richtigen Authentifizierungsmethode Abschnitt in diesem Artikel und Authentifizierungsmethoden.
• Integration mit Microsoft Entra ID: Verwenden der Microsoft Entra-ID für die einheitliche Identitätsverwaltung. Weitere Informationen finden Sie unter Verbinden Ihrer Organisation mit Microsoft Entra ID.
  • Um die Sicherheit für integrierte Administratorgruppen zu verbessern, sollten Sie den Just-in-Time-Zugriff mithilfe einer Microsoft Entra Privileged Identity Management (PIM)-Gruppeimplementieren. Mit diesem Ansatz können Sie nur bei Bedarf erhöhte Berechtigungen erteilen und das Risiko verringern, das mit permanentem Zugriff verbunden ist. Weitere Informationen finden Sie unter Konfigurieren des Just-in-Time-Zugriffs für Administratorgruppen.
• Aktivieren der mehrstufigen Microsoft Entra-Authentifizierung (MFA): Zusätzliche Sicherheitsebene mit MFA hinzufügen. Weitere Informationen finden Sie unter Aktivieren der mehrstufigen Microsoft Entra-Authentifizierung.
• Sicherheitsrichtlinien ändern: Sicherheitsrichtlinien verwalten, einschließlich bedingter Zugriff. weitere Informationen finden Sie unter Ändern der Anwendungsverbindung & Sicherheitsrichtlinien für Ihre Organisation.

Weitere Informationen zu Berechtigungen finden Sie in den folgenden Artikeln:

• Leitfaden zur Lookupanleitung für Berechtigungen und Rollen
• Festlegen einzelner Berechtigungen
• Berechtigungen, Sicherheitsgruppen und Dienstkontenreferenz

Auswählen der richtigen Authentifizierungsmethode

Wenn Sie die entsprechende Authentifizierungsmethode für Ihre Azure DevOps-Umgebung auswählen, sollten Sie die Sicherheits- und Verwaltungsvorteile verschiedener Optionen berücksichtigen. Die Verwendung sicherer Authentifizierungsmethoden trägt zum Schutz Ihrer Ressourcen bei und stellt sicher, dass nur autorisierte Benutzer und Dienste auf Ihre Azure DevOps-Umgebung zugreifen können. Erwägen Sie die Verwendung von Dienstprinzipalen, verwalteten Identitäten und Microsoft Entra, um die Sicherheit zu verbessern und die Zugriffsverwaltung zu optimieren.

• Dienstprinzipale verwenden: Sicherheitsobjekte in einer Microsoft Entra-Anwendung darstellen. Definieren Sie, was eine Anwendung in einem bestimmten Mandanten tun kann. Einrichten während der Anwendungsregistrierung im Azure-Portal. Konfigurieren sie für den Zugriff auf Azure-Ressourcen, einschließlich Azure DevOps. Nützlich für Apps, die einen bestimmten Zugriff und eine bestimmte Steuerung benötigen.
• Verwenden verwalteter Identitäten: Ähnlich dem Dienstprinzipal einer Anwendung. Stellen Sie Identitäten für Azure-Ressourcen bereit. Zulassen, dass Dienste, die die Microsoft Entra-Authentifizierung unterstützen, Anmeldeinformationen freigeben. Azure verwaltet den Wechsel und die Rotation von Anmeldeinformationen automatisch. Ideal für die nahtlose Verwaltung von Anmeldedetails.
• Microsoft Entra ID verwenden:
  • Erstellen Sie eine einzelne Ebene für Identität, indem Sie Azure DevOps mit microsoft Entra ID verbinden. Diese Konsistenz reduziert Verwirrung und minimiert Sicherheitsrisiken durch manuelle Konfigurationsfehler.
  • Greifen Sie auf Ihre Organisation mit Microsoft Entra ID zu, und weisen Sie verschiedene Rollen und Berechtigungen bestimmten Gruppen in verschiedenen Ressourcenbereichen zu. Diese Aktion implementiert eine differenzierte Governance, stellt den kontrollierten Zugriff sicher und richtet sich an bewährte Methoden für die Sicherheit.
  • Verwenden Sie Richtlinien für bedingten Zugriff, die Zugriffsregeln basierend auf Bedingungen wie Standort, Gerät oder Risikostufedefinieren.

Verwalten des externen Gastzugriffs

Um die Sicherheit und ordnungsgemäße Verwaltung des externen Gastzugriffs sicherzustellen, implementieren Sie spezifische Maßnahmen, die steuern und überwachen, wie externe Benutzer mit Ihrer Azure DevOps-Umgebung interagieren. Der externe Gastzugriff kann potenzielle Sicherheitsrisiken darstellen, wenn er nicht ordnungsgemäß verwaltet wird. Indem Sie diese Aktionen ausführen, können Sie diese Risiken minimieren und sicherstellen, dass externe Gäste über die entsprechende Zugriffsebene verfügen, ohne die Sicherheit Ihrer Umgebung zu beeinträchtigen.

• Blockieren des externen Gastzugriffs: Deaktivieren Sie die Richtlinie "Einladungen dürfen an eine beliebige Domäne gesendet werden", um den externen Gastzugriff zu verhindern, wenn kein Geschäftlicher Bedarf dafür besteht.
• Verwenden Sie unterschiedliche E-Mails oder UPNs: Verwenden Sie unterschiedliche E-Mail-Adressen oder Benutzerprinzipalnamen (UPNs) für persönliche und geschäftliche Konten, um Mehrdeutigkeit zwischen persönlichen und geschäftlichen Konten zu vermeiden.
• Externe Gastbenutzer gruppieren: Alle externen Gastbenutzer in einer einzelnen Microsoft Entra-Gruppe platzieren und Berechtigungen für diese Gruppe entsprechendverwalten. Entfernen Sie direkte Zuweisungen, um sicherzustellen, dass Gruppenregeln für diese Benutzer gelten.
• Regeln regelmäßig neu bewerten: Regeln regelmäßig auf der Registerkarte "Gruppenregeln" der Seite "Benutzer" überprüfen. Berücksichtigen Sie alle Änderungen der Gruppenmitgliedschaft in der Microsoft Entra-ID, die sich möglicherweise auf Ihre Organisation auswirken. Es kann bis zu 24 Stunden dauern, bis Microsoft Entra ID die dynamische Gruppenmitgliedschaft aktualisiert, und Regeln werden automatisch alle 24 Stunden und bei jeder Änderung einer Gruppenregel neu ausgewertet.

Weitere Informationen finden Sie unter B2B-Gäste in Microsoft Entra ID.

Implementieren von Zero Trust

Um die Sicherheit zu verbessern, übernehmen Sie Zero Trust-Prinzipien in Ihren DevOps-Prozessen. Mit diesem Ansatz wird sichergestellt, dass jede Zugriffsanforderung unabhängig vom Ursprung gründlich überprüft wird. Zero Trust funktioniert auf dem Prinzip "Niemals vertrauen, immer überprüfen", was bedeutet, dass keine Entität, unabhängig davon, ob innerhalb oder außerhalb des Netzwerks, standardmäßig vertrauenswürdig ist. Durch die Implementierung von Zero Trust können Sie das Risiko von Sicherheitsverletzungen erheblich reduzieren und sicherstellen, dass nur autorisierte Benutzer und Geräte auf Ihre Ressourcen zugreifen können.

• Setzen Sie den Zero Trust-Ansatz ein: Implementieren sie Zero Trust Prinzipien, um Ihre DevOps-Plattformzu stärken, Ihre Entwicklungsumgebungzu schützen und Zero Trust nahtlos in Ihre Entwicklerworkflowszu integrieren. Zero Trust trägt zum Schutz vor lateralen Bewegungen innerhalb des Netzwerks bei, um sicherzustellen, dass selbst wenn ein kompromittierter Teil des Netzwerks vorhanden ist, die Bedrohung enthalten ist und sich nicht verbreiten kann.

Weitere Informationen finden Sie im Zero Trust Assessment Guide.

Entfernen von Benutzern

Um sicherzustellen, dass nur aktive und autorisierte Benutzer Zugriff auf Ihre Azure DevOps-Umgebung haben, überprüfen und verwalten Sie den Benutzerzugriff regelmäßig. Das Entfernen inaktiver oder nicht autorisierter Benutzer trägt dazu bei, eine sichere Umgebung aufrechtzuerhalten und das Risiko potenzieller Sicherheitsverletzungen zu verringern. Indem Sie diese Aktionen ausführen, können Sie sicherstellen, dass Ihre Azure DevOps-Umgebung sicher bleibt und dass nur die erforderlichen Personen Zugriff haben.

• Entfernen inaktiver Benutzer aus Microsoft-Konten (MSAs): Entfernen Sie direkt inaktive Benutzer aus Ihrer Organisation, wenn sie MSAs verwenden. Sie können keine Abfragen für Arbeitsaufgaben erstellen, die entfernten MSA-Konten zugewiesen sind. Weitere Informationen finden Sie unter Entfernen von Benutzern aus Ihrer Organisation.
• Microsoft Entra-Benutzerkonten deaktivieren oder löschen: Wenn eine Verbindung mit der Microsoft Entra-ID besteht, deaktivieren oder löschen Sie das Microsoft Entra-Benutzerkonto, während das Azure DevOps-Benutzerkonto aktiv bleibt. Mit dieser Aktion können Sie den Arbeitsaufgabenverlauf weiterhin mithilfe Ihrer Azure DevOps-Benutzer-ID abfragen.
• Widerrufen von Benutzer-PATs: Sicherstellen der sicheren Verwaltung dieser kritischen Authentifizierungstoken durch regelmäßige Überprüfung und Widerruf vorhandener Benutzer-PATs. Weitere Informationen finden Sie unter Widerrufen von Benutzer-PATs für Administratoren.
• Widerrufen von speziellen Berechtigungen, die einzelnen Benutzern gewährt werden: Überwachen und widerrufen sie alle speziellen Berechtigungen, die einzelnen Benutzern gewährt wurden, um die Ausrichtung mit dem Prinzip der geringsten Rechte sicherzustellen.
• Erneutes Zuweisen von Arbeit von entfernten Benutzern: Bevor Benutzer entfernt werden, weisen Sie ihre Arbeitsaufgaben den aktuellen Teammitgliedern neu zu, um die Last effektiv zu verteilen.

Bereichsdienstkonten

Dienstkonten werden verwendet, um automatisierte Prozesse und Dienste auszuführen, und sie verfügen häufig über erhöhte Berechtigungen. Durch die ordnungsgemäße Bereichsdefinition und Verwaltung von Dienstkonten können Sie Sicherheitsrisiken minimieren und sicherstellen, dass diese Konten ordnungsgemäß verwendet werden.

• Erstellen von Einzelzweckdienstkonten: Jeder Dienst sollte über sein dediziertes Konto verfügen, um das Risiko zu minimieren. Vermeiden Sie es, reguläre Benutzerkonten als Dienstkonten zu verwenden.
• Azure Resource Manager verwenden: Authentifizieren Sie sich bei Azure-Ressourcen mithilfe der Workload-Identitätsföderation mit einer App-Registrierung oder einer verwalteten Identität anstelle einer App-Registrierung mit einem Geheimnis. Weitere Informationen finden Sie unter Verwendung von Azure Resource Manager.
• Identifizieren und Deaktivieren nicht verwendeter Dienstkonten: Regelmäßige Überprüfung und Identifizierung von Konten, die nicht mehr verwendet werden. Deaktivieren Sie nicht verwendete Konten, bevor Sie das Löschen in Betracht ziehen.
• Einschränken von Berechtigungen: Berechtigungen des Dienstkontos auf das erforderliche Minimum beschränken. Vermeiden Sie interaktive Anmelderechte für Dienstkonten.
• Separate Identitäten für Berichtsleser verwenden: Wenn Domänenkonten für Dienstkonten verwendet werden, verwenden Sie eine andere Identität für Berichtsleser, um Berechtigungen zu isolieren und unnötigen Zugriffzu verhindern.
• Lokale Konten für Arbeitsgruppeninstallationen verwenden: Verwenden Sie beim Installieren von Komponenten in einer Arbeitsgruppe lokale Konten für Benutzerkonten. Vermeiden Sie Domänenkonten in diesem Szenario.
• Dienstverbindungen verwenden: Verwenden Sie Dienstverbindungen, wann immer möglich, um sicher eine Verbindung mit Diensten herzustellen, ohne geheime Variablen direkt an Builds zu übergeben. Einschränken von Verbindungen auf bestimmte Anwendungsfälle. Weitere Informationen finden Sie im Abschnitt Bereichsdienstverbindungen in diesem Artikel.
• Überwachen der Dienstkontoaktivität: Überwachung implementieren und Überwachungsdatenströme zum Überwachen der Dienstkontoaktivität erstellen.

Bereichsdienstverbindungen

Um einen sicheren und effizienten Zugriff auf Azure-Ressourcen zu gewährleisten, legen Sie Dienstverbindungen ordnungsgemäß fest. Dienstverbindungen ermöglichen Azure DevOps das Herstellen einer Verbindung mit externen Diensten und Ressourcen, und durch Bereichsdefinition dieser Verbindungen können Sie den Zugriff nur auf die erforderlichen Ressourcen beschränken und das Risiko eines nicht autorisierten Zugriffs verringern.

• Zugriff einschränken: Einschränken des Zugriffs, indem Sie Ihre Azure Resource Manager Dienstverbindungen auf bestimmte Ressourcen und Gruppen beschränken. Gewähren Sie keine breiten Mitwirkendenrechte für das gesamte Azure-Abonnement.
• Azure Resource Manager verwenden: Authentifizieren Sie sich mit Azure-Ressourcen mithilfe der Workload-Identitätsföderation, entweder mit einer App-Registrierung oder einer verwalteten Identität, anstelle einer App-Registrierung mit einem geheimen Schlüssel. Weitere Informationen finden Sie unter Erstellen einer Azure Resource Manager-Dienstverbindung, die workload identity federationverwendet.
• Ressourcengruppen für den Bereich: Sicherstellen, dass Ressourcengruppen nur die virtuellen Computer (VMs) oder Ressourcen enthalten, die für den Buildprozess erforderlich sind.
• Vermeiden sie klassische Dienstverbindungen: Entscheiden Sie sich für moderne Azure Resource Manager-Dienstverbindungen anstelle klassischer Verbindungen, die keine Bereichsoptionen aufweisen.
• Verwenden sie zweckspezifische Teamdienstkonten: Authentifizieren von Dienstverbindungen mithilfe von zweckspezifischen Teamdienstkonten zur Aufrechterhaltung von Sicherheit und Kontrolle.

Weitere Informationen finden Sie unter Allgemeine Dienstverbindungstypen.

Aktivieren und Überprüfen von Überwachungsereignissen

Um die Sicherheit zu verbessern und Nutzungsmuster in Ihrer Organisation zu überwachen, aktivieren und überprüfen Sie regelmäßig Überwachungsereignisse. Die Überwachung hilft beim Nachverfolgen von Benutzeraktionen, Berechtigungsänderungen und Sicherheitsvorfällen, sodass Sie potenzielle Sicherheitsprobleme umgehend identifizieren und beheben können.

• Überwachung aktivieren: Nachverfolgen und Anzeigen von Ereignissen im Zusammenhang mit Benutzeraktionen, Berechtigungen, Änderungen und Sicherheitsvorfällen. Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung.
• Regelmäßig Überwachungsereignisse überprüfen: regelmäßig Überwachungsprotokolle überprüfen, um Benutzeraktivitäten zu überwachen und verdächtiges Verhalten zu erkennen. Suchen Sie nach unerwarteten Verwendungsmustern, insbesondere von Administratoren und anderen Benutzern. Diese Aktion hilft dabei, potenzielle Sicherheitsverletzungen zu erkennen und Korrekturmaßnahmen zu ergreifen. Weitere Informationen finden Sie unter Überprüfen des Überwachungsprotokolls und Überwachungsereignisse.
• Konfigurieren von Sicherheitswarnungen: Konfigurieren von Warnungen, um Sie über Sicherheitsvorfälle oder Richtlinienverletzungen zu informieren. Diese Aktion stellt eine zeitnahe Reaktion auf potenzielle Bedrohungen sicher.

Schützen Ihrer Daten

Um die Sicherheit und Integrität Ihrer Daten zu gewährleisten, implementieren Sie Datenschutzmaßnahmen. Der Schutz Ihrer Daten umfasst Verschlüsselungs-, Sicherungs- und Wiederherstellungsstrategien zum Schutz vor Datenverlust und unbefugtem Zugriff.

• Schützen Sie Ihre Daten: Schützen Sie Ihre Daten mithilfe von Verschlüsselungs-, Sicherungs- und Wiederherstellungsstrategien. Weitere Informationen finden Sie unter Datenschutz.
• Hinzufügen von IPs und URLs zur Zulassungsliste: Wenn Ihre Organisation mit einer Firewall oder einem Proxyserver gesichert ist, fügen Sie der Zulassungsliste IPs und URLs hinzu. Weitere Informationen finden Sie unter Zulässige IP-Adressen und Domänen-URLs.

Verwandte Artikel

• Datenspeicherorte für Azure DevOps
• Microsoft Sicherheitsentwicklungs-Lebenszyklus
• Azure Trust Center