Proteggere il tuo Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Quando si gestiscono informazioni e dati, in particolare in una soluzione basata sul cloud come Azure DevOps Services, la sicurezza deve essere la priorità principale. Anche se Microsoft garantisce la sicurezza dell'infrastruttura cloud sottostante, è responsabilità dell'utente configurare la sicurezza all'interno di Azure DevOps. Questo articolo offre una panoramica delle configurazioni necessarie relative alla sicurezza per proteggere l'ambiente Azure DevOps da minacce e vulnerabilità.

Proteggere la rete

La protezione della rete è fondamentale quando si lavora con Azure DevOps per proteggere i dati e le risorse da accessi non autorizzati e potenziali minacce. Implementare misure di sicurezza di rete per garantire che solo le origini attendibili possano accedere all'ambiente Azure DevOps. Per proteggere la rete quando si usa Azure DevOps, eseguire le azioni seguenti:

• Configurare l'elenco di indirizzi IP consentiti: Limitare l'accesso a indirizzi IP specifici per consentire il traffico solo da origini attendibili, riducendo la superficie di attacco. Per altre informazioni, vedere Configurare l'elenco di indirizzi IP consentiti.
• Usare la crittografia dei dati: Crittografare sempre i dati durante il trasferimento e a riposo. Proteggere i canali di comunicazione usando protocolli come HTTPS. Per altre informazioni, vedere Usare la crittografia dei dati.
• Convalida certificati: Assicurarsi che i certificati siano validi e rilasciati dalle autorità attendibili durante la creazione di connessioni. Per altre informazioni, vedere Convalidare i certificati.
• Implementare i web application firewalls (WAF): Filtrare, monitorare e bloccare il traffico dannoso basato sul web con i WAF per garantire un ulteriore livello di protezione dagli attacchi comuni. Per ulteriori informazioni, vedere Implementazione dei Web Application Firewall (WAF).
• Abilitare i gruppi di sicurezza di rete (NSG): Usare gruppi di sicurezza di rete per controllare il traffico in ingresso e in uscita verso le risorse di Azure, assicurando che sia consentito solo il traffico autorizzato. Per ulteriori informazioni, vedere la panoramica dei gruppi di sicurezza della rete (NSG) .
• Usare Firewall di Azure: Distribuire Firewall di Azure per fornire criteri di sicurezza di rete centralizzati tra più sottoscrizioni e reti virtuali di Azure. Per altre informazioni, vedere la panoramica di Azure Firewall .
• Monitorare il traffico di rete: Usare Azure Network Watcher per monitorare e diagnosticare i problemi di rete, garantendo la sicurezza e le prestazioni della rete. Per altre informazioni, vedere panoramica di Azure Network Watcher.
• Implementare la protezione DDoS: Abilitare la protezione DDoS di Azure per proteggere le applicazioni da attacchi DDoS (Distributed Denial of Service). Per altre informazioni, vedere Protezione DDoS di Azure.

Per altre informazioni, vedere procedure consigliate per la gestione delle applicazioni.

Proteggere l'ambiente Azure DevOps

Per assicurarsi che l'ambiente Azure DevOps sia conforme agli standard e alle normative del settore, implementare misure e criteri di sicurezza. La conformità agli standard come ISO/IEC 27001, SOC 1/2/3 e il Regolamento generale sulla protezione dei dati (GDPR) consente di proteggere l'ambiente e mantenere la fiducia con gli utenti.

• Garantire la conformità agli standard di settore: Azure DevOps è conforme ai vari standard e normative del settore, ad esempio ISO/IEC 27001, SOC 1/2/3 e GDPR. Assicurarsi che l'ambiente sia conforme a questi standard.
• Applicare i criteri: Implementare i criteri per applicare le procedure consigliate per la sicurezza nell'organizzazione. Questa azione include la richiesta di revisioni del codice e l'applicazione di criteri di ramo , i criteri di conformità per le pipelinee i criteri di sicurezza .
• Effettuare l'integrazione nella governance dei componenti per CI/CD per i motivi seguenti:
  • Rilevamento delle vulnerabilità di sicurezza: avvisa le vulnerabilità note nei componenti open source.
  • Conformità delle licenze: garantisce che i componenti siano conformi ai criteri di licenza dell'organizzazione.
  • Applicazione dei criteri: garantisce che vengano usate solo le versioni approvate.
  • Visibilità con rilevamento: offre visibilità sui componenti tra i repository per semplificare la gestione.

Gestire le autorizzazioni a livello di progetto e organizzazione

• Limitare l'accesso ai progetti e ai repository: Ridurre il rischio di perdita di informazioni riservate e distribuzione di codice non sicuro limitando l'accesso a progetti e repository. Usare i gruppi di sicurezza predefiniti o personalizzati per gestire le autorizzazioni. Per altre informazioni, vedere Limitazione dell'accesso a progetti e repository.
• Disabilitare "Consenti progetti pubblici": Nelle impostazioni dei criteri dell'organizzazione disabilitare l'opzione per creare progetti pubblici. Cambiare la visibilità del progetto dal pubblico al privato in base alle esigenze. Gli utenti che non hanno mai eseguito l'accesso hanno accesso in sola lettura ai progetti pubblici, mentre gli utenti connessi possono accedere a progetti privati e apportare modifiche consentite. Per ulteriori informazioni, consultare Modifica dei criteri di connessione e di sicurezza dell'applicazione per la vostra organizzazione.
• Limitare la creazione dell'organizzazione: Impedire agli utenti di creare nuovi progetti per mantenere il controllo sull'ambiente. Per altre informazioni, vedere Limitare la creazione dell'organizzazione tramite i criteri del tenant di Microsoft Entra.

Usare funzionalità e strumenti di sicurezza

Le funzionalità e gli strumenti di sicurezza seguenti consentono di monitorare, gestire e migliorare la sicurezza dei progetti:

• Usare OAuth invece di token di accesso personali (PAT): Usare il flusso OAuth invece dei token PAT e non usare account GitHub personali come connessioni al servizio. Per ulteriori informazioni, vedere la panoramica di OAuth .
• Usare l'analisi e l'analisi del codice: Usare strumenti come Microsoft Defender per analizzare il codice per individuare vulnerabilità, segreti e configurazioni errate. Questa azione consente di identificare e correggere i problemi di sicurezza nelle prime fasi del processo di sviluppo.
• Usa Git Credential Manager: supporta l'autenticazione a due fattori con repository GitHub e autenticati a Azure Repos. Per altre informazioni, vedere Configurare Git Credential Manager.
• Usare Azure DevOps Credential Scanner (CredScan) per GitHub: Quando si usa un'identità gestita non è un'opzione, assicurarsi che le credenziali vengano archiviate in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarle nei file di codice e configurazione. Implementare Lo scanner di credenziali di Azure DevOps per identificare le credenziali all'interno del codice. Per altre informazioni, vedere Introduzione a CredScan.
• Usare l'analisi dei segreti nativi per GitHub: Quando si usa un'identità gestita non è un'opzione, assicurarsi che i segreti vengano archiviati in posizioni sicure, ad esempio Azure Key Vault, anziché incorporarli nei file di codice e configurazione. Usare la funzionalità di analisi dei segreti nativa per identificare i segreti all'interno del codice. Per ulteriori informazioni, vedere Informazioni sulla scansione dei segreti.

Per altre informazioni, vedere la panoramica della sicurezza avanzata di GitHub .

Proteggere i servizi

Per garantire la sicurezza e l'integrità dei servizi in Azure DevOps, implementare misure di sicurezza per ogni servizio. Queste misure includono l'impostazione delle autorizzazioni, la gestione dell'accesso e l'uso di funzionalità di sicurezza specifiche per ogni servizio.

• Metti al sicuro Azure Boards: Proteggi i dati di monitoraggio del lavoro impostando autorizzazioni adeguate e gestendo i livelli di accessibilità.
  • Impostare le autorizzazioni di rilevamento del lavoro
  • Impostare le autorizzazioni per le query e le cartelle di query
  • Gestire gli amministratori del team
  • Informazioni sui livelli di accesso e autorizzazioni predefiniti per Azure Boards
• Proteggi Azure Repos: Garantisci la sicurezza dei repository di codice configurando le impostazioni di Git, le autorizzazioni di ramo e i criteri.
  • Informazioni sulle impostazioni e i criteri Git predefiniti
  • Impostare le autorizzazioni per un ramo specifico
  • Impostare i criteri di ramo
  • Configurare la sicurezza avanzata di GitHub per Azure DevOps
  • Informazioni su GitHub Advanced Security
• Secure Azure Pipelines: Proteggere i processi CI/CD impostando autorizzazioni, usando modelli di sicurezza e protezione di agenti e contenitori.
  • Informazioni sulla sicurezza di Azure Pipelines
  • Aggiungere utenti ad Azure Pipelines
  • Usare modelli di sicurezza
  • gli agenti, i progetti e i contenitori protetti
  • Proteggere l'accesso ad Azure Repos dalle pipeline
  • Proteggere le risorse delle condotte
  • Determinare l'approccio per la protezione delle pipeline YAML
  • Proteggere i segreti in Azure Pipelines
• Piani di test di Azure sicuri: Assicurarsi che il team disponga dell'accesso appropriato per gestire ed eseguire piani di test in modo efficiente.
  • Scopri i test manuali predefiniti e le autorizzazioni di accesso
  • Impostare le autorizzazioni e l'accesso per il test
• Proteggi Azure Artifacts: Gestisci l'accesso ai tuoi pacchetti e controlla chi può interagire con essi.
  • Gestire le autorizzazioni di Azure Artifacts
  • Impostare gli ambiti del feed

Controllare l'accesso

Fornire le autorizzazioni minime necessarie e livelli di accesso per garantire che solo utenti e servizi autorizzati possano accedere a informazioni riservate ed eseguire azioni critiche. Questa procedura consente di ridurre al minimo il rischio di accessi non autorizzati e potenziali violazioni dei dati.

Esaminare e aggiornare regolarmente queste impostazioni per adattarsi alle modifiche nell'organizzazione, ad esempio modifiche ai ruoli, nuove assunzioni o partenza. L'implementazione di un controllo periodico di autorizzazioni e livelli di accesso può aiutare a identificare e correggere eventuali discrepanze, assicurandosi che il comportamento di sicurezza rimanga affidabile e allineato alle procedure consigliate.

Autorizzazioni per l'ambito

Per garantire una gestione sicura ed efficiente delle autorizzazioni, definire correttamente l'ambito delle autorizzazioni all'interno dell'ambiente Azure DevOps. L'ambito delle autorizzazioni prevede la definizione e l'assegnazione del livello di accesso appropriato a utenti e gruppi in base ai ruoli e alle responsabilità. Questa procedura consente di ridurre al minimo il rischio di accessi non autorizzati e potenziali violazioni dei dati assicurando che solo le persone autorizzate abbiano accesso a informazioni riservate e azioni critiche.

Per definire l'ambito delle autorizzazioni in modo efficace, eseguire le azioni seguenti:

• Disabilitare l'ereditarietà: Evitare l'ereditarietà, impedendo l'accesso imprevisto. L'ereditarietà può concedere inavvertitamente autorizzazioni agli utenti che non devono avere tali autorizzazioni, a causa della sua natura di autorizzazione per impostazione predefinita. Gestire attentamente e impostare in modo esplicito le autorizzazioni per garantire che solo gli utenti desiderati abbiano accesso. Per altre informazioni, vedere ereditarietà delle autorizzazioni .
• Ambienti segmento: Usare account Azure separati per ambienti diversi, ad esempio sviluppo, test e produzione, per migliorare la sicurezza e prevenire i conflitti. Questo approccio riduce al minimo il rischio di conflitti di risorse e contaminazione dei dati tra ambienti e consente una migliore gestione e isolamento delle risorse. Per ulteriori informazioni, consultare Azure Landing Zone.
• Controllare l'accesso e garantire la conformità: Usare Criteri di Azure per limitare l'accesso alle aree e ai servizi di Azure inutilizzati, garantendo la conformità agli standard dell'organizzazione. Questa azione consente di applicare le procedure consigliate e mantenere un ambiente sicuro impedendo l'accesso e l'utilizzo non autorizzati. Per ulteriori informazioni, vedere la panoramica dei Criteri di Azure .
• Implementare il controllo basato sui ruoli di Azure: Usare il controllo degli accessi in base al ruolo con risorse contrassegnate correttamente, limitando l'accesso non autorizzato. Questa azione garantisce che le autorizzazioni di accesso vengano concesse in base a attributi specifici, migliorando la sicurezza impedendo la creazione e l'accesso di risorse non autorizzate. Per altre informazioni, vedere Implementare il controllo basato sui ruoli di Azure.
• Usare i gruppi di sicurezza: Usare i gruppi di sicurezza per gestire in modo efficiente le autorizzazioni per più utenti. Questo metodo semplifica la concessione e la revoca dell'accesso rispetto all'assegnazione delle autorizzazioni singolarmente e garantisce coerenza e gestione più semplice nell'organizzazione.
  • Usare Microsoft Entra ID, Active Directory o gruppi di sicurezza di Windows quando si gestiscono molti utenti.
  • Sfrutta i ruoli integrati e imposta il ruolo predefinito su Collaboratore per gli sviluppatori. Gli amministratori vengono assegnati al gruppo di sicurezza Amministratore del progetto per ottenere permessi elevati, consentendo loro di configurare le autorizzazioni di sicurezza.
  • Mantenere i gruppi il più piccolo possibile, limitando l'accesso.
  • Per altre informazioni, vedere Gestire i gruppi di sicurezza.
• Scegliere il metodo di autenticazione corretto: Configurare metodi di autenticazione sicuri e gestire i criteri di autorizzazione. Per ulteriori informazioni, consultare la sezione Scegliere il metodo di autenticazione corretto in questo articolo e Metodi di autenticazione.
• Integrare con Microsoft Entra ID: Usare l'ID Microsoft Entra per la gestione unificata delle identità. Per ulteriori informazioni, consulta Connetti l'organizzazione a Microsoft Entra ID.
  • Per migliorare la sicurezza per i gruppi di amministratori predefiniti, è consigliabile implementare l'accesso just-in-time usando un gruppo di Microsoft EntraPrivileged Identity Management (PIM). Questo approccio consente di concedere autorizzazioni elevate solo quando necessario, riducendo il rischio associato all'accesso permanente. Per ulteriori informazioni, vedere Configurare l'accesso just-in-time per i gruppi di amministratori.
• Enable Microsoft Entra multifactor authentication (MFA): Aggiungere un ulteriore livello di sicurezza con MFA. Per altre informazioni, vedere Abilitare l'autenticazione a più fattori di Microsoft Entra.
• Modificare i criteri di sicurezza: Gestire i criteri di sicurezza, incluso l'accesso condizionale. Per ulteriori informazioni, vedere Cambiare la connessione dell'applicazione e i criteri di sicurezza & per la vostra organizzazione.

Per altre informazioni sulle autorizzazioni, vedere gli articoli seguenti:

• Guida alla ricerca di Ruoli e Autorizzazioni
• Impostare le singole autorizzazioni
• Riferimento a permessi, gruppi di sicurezza e account di servizio

Scegliere il metodo di autenticazione corretto

Quando si sceglie il metodo di autenticazione appropriato per l'ambiente Azure DevOps, prendere in considerazione i vantaggi di sicurezza e gestione di diverse opzioni. L'uso di metodi di autenticazione sicuri consente di proteggere le risorse e garantire che solo gli utenti e i servizi autorizzati possano accedere all'ambiente Azure DevOps. Prendere in considerazione l'uso di entità di servizio, identità gestite e Microsoft Entra per migliorare la sicurezza e semplificare la gestione degli accessi.

• Usare entità servizio: Rappresentare gli oggetti di sicurezza all'interno di un'applicazione Microsoft Entra. Definire le operazioni che un'applicazione può eseguire in un determinato tenant. Configurare durante la registrazione dell'applicazione nel portale di Azure. Configurare per accedere alle risorse di Azure, incluso Azure DevOps. Utile per le app che necessitano di accesso e controllo specifici.
• Usare le identità gestite: simile a un principale del servizio di un'applicazione. Specificare le identità per le risorse di Azure. Consenti ai servizi che supportano l'autenticazione di Microsoft Entra di condividere le credenziali. Azure gestisce automaticamente la gestione e la rotazione delle credenziali. Ideale per la gestione dei dettagli di accesso senza problemi.
• Usare Microsoft Entra ID:
  • Creare un singolo piano per l'identità connettendo Azure DevOps all'ID Microsoft Entra. Questa coerenza riduce la confusione e riduce al minimo i rischi per la sicurezza derivanti da errori di configurazione manuale.
  • Accedere all'organizzazione con Microsoft Entra ID e assegnare ruoli e autorizzazioni diversi a gruppi specifici in diversi ambiti di risorse. Questa azione implementa una governance con granularità fine, garantisce l'accesso controllato e si allinea alle procedure consigliate per la sicurezza.
  • Usare criteri di accesso condizionale, che definiscono le regole di accesso in base a condizioni come ubicazione, dispositivo o livello di rischio.

Gestire l'accesso ospite esterno

Per garantire la sicurezza e la corretta gestione dell'accesso guest esterno, implementare misure specifiche che controllano e monitorano l'interazione degli utenti esterni con l'ambiente Azure DevOps. L'accesso guest esterno può comportare potenziali rischi per la sicurezza, se non gestito correttamente. Seguendo queste azioni, è possibile ridurre al minimo questi rischi e assicurarsi che gli utenti guest esterni abbiano il livello di accesso appropriato senza compromettere la sicurezza dell'ambiente.

• Blocca l'accesso degli ospiti esterni: Disabilitare il criterio "Consenti l'invio di inviti a qualsiasi dominio" per impedire l'accesso degli ospiti esterni se non c'è bisogno aziendale.
• Usare indirizzi di posta elettronica o UPN distinti: Usare indirizzi di posta elettronica diversi o nomi di entità utente (UPN) per gli account personali e aziendali per eliminare ambiguità tra account personali e correlati al lavoro.
• Raggruppare utenti guest esterni: Posizionare tutti gli utenti guest esterni in un singolo gruppo Microsoft Entra e gestire le autorizzazioni per questo gruppo in modo appropriato. Rimuovere le assegnazioni dirette per assicurarsi che le regole di gruppo vengano applicate a questi utenti.
• Rivalutare regolarmente le regole: Controllare regolarmente le regole nella scheda Regole di gruppo della pagina Utenti. Prendere in considerazione eventuali modifiche all'appartenenza a gruppi nell'ID Microsoft Entra che potrebbero influire sull'organizzazione. Microsoft Entra ID può richiedere fino a 24 ore per aggiornare l'appartenenza dinamica ai gruppi e le regole vengono rivalutate automaticamente ogni 24 ore e ogni volta che una regola di gruppo cambia.

Per altre informazioni, vedere ospiti B2B in Microsoft Entra ID.

Implementare il modello Zero Trust

Per migliorare la sicurezza, adottare i principi Zero Trust nei processi DevOps. Questo approccio garantisce che ogni richiesta di accesso venga verificata accuratamente, indipendentemente dall'origine. Zero Trust opera sul principio di "mai considerare attendibile, verificare sempre", ovvero che nessuna entità, all'interno o all'esterno della rete, sia considerata attendibile per impostazione predefinita. Implementando Zero Trust, è possibile ridurre significativamente il rischio di violazioni della sicurezza e assicurarsi che solo gli utenti e i dispositivi autorizzati possano accedere alle risorse.

• Adottare l'approccio Zero Trust: Implementare principi di Zero Trust per rafforzare la piattaforma DevOps, proteggere l'ambiente di sviluppo e integrare Zero Trust senza problemi nei flussi di lavoro degli sviluppatori . Zero Trust aiuta a proteggersi dal movimento laterale all'interno della rete, assicurandosi che anche se c'è una parte compromessa della rete, la minaccia è contenuta e non può essere distribuita.

Per altre informazioni, vedere la guida della Zero Trust Valutazione.

Rimuovere utenti

Per garantire che solo gli utenti attivi e autorizzati abbiano accesso all'ambiente Azure DevOps, esaminare e gestire regolarmente l'accesso degli utenti. La rimozione di utenti inattivi o non autorizzati consente di mantenere un ambiente sicuro e riduce il rischio di potenziali violazioni della sicurezza. Seguendo queste azioni, è possibile assicurarsi che l'ambiente Azure DevOps rimanga sicuro e che solo gli utenti necessari abbiano accesso.

• Rimuovere gli utenti inattivi dagli account Microsoft (MSA): Rimuovere direttamente gli utenti inattivi dall'organizzazione se usano account Microsoft (MSA). Non è possibile creare query per gli elementi di lavoro assegnati agli account MSA rimossi. Per altre informazioni, vedere Rimuovere utenti dall'organizzazione.
• Disabilitare o eliminare gli account utente di Microsoft Entra: Se connesso a Microsoft Entra ID, disabilitare o eliminare l'account utente Microsoft Entra mantenendo attivo l'account utente di Azure DevOps. Questa azione consente di continuare a eseguire query sulla cronologia degli elementi di lavoro usando l'ID utente di Azure DevOps.
• Revocare i PAT utente: Garantire la gestione sicura di questi token di autenticazione critici rivedendo e revocando regolarmente i PAT utente esistenti. Per ulteriori informazioni, vedere Revocare i PAT utente per gli amministratori.
• Revocare autorizzazioni speciali concesse ai singoli utenti: Audit e revocare le autorizzazioni speciali concesse ai singoli utenti per garantire l'allineamento con il principio dei privilegi minimi.
• Riassegnare il lavoro dagli utenti rimossi: Prima di rimuovere gli utenti, riassegnare gli elementi di lavoro ai membri del team correnti per distribuire il carico in modo efficace.

Impostare l'ambito degli account di servizio

Gli account di servizio vengono usati per eseguire processi e servizi automatizzati e spesso dispongono di autorizzazioni elevate. Definendo correttamente l'ambito e gestendo gli account del servizio, è possibile ridurre al minimo i rischi di sicurezza e assicurarsi che questi account vengano usati in modo appropriato.

• Creare account di servizio per utilizzo singolo: Ogni servizio deve avere un account dedicato per ridurre al minimo i rischi. Evitare di usare gli account utente normali come account del servizio .
• Usare Azure Resource Manager: Eseguire l'autenticazione con le risorse di Azure usando la federazione dell'identità di lavoro con una registrazione dell'applicazione o un'identità gestita anziché usare una registrazione dell'applicazione con una chiave segreta. Per altre informazioni, vedere Usare Azure Resource Manager.
• Identificare e disabilitare gli account di servizio inutilizzati: Esaminare e identificare regolarmente gli account non più in uso. Disabilitare gli account inutilizzati prima di prendere in considerazione l'eliminazione.
• Limitare i privilegi: Limitare i privilegi dell'account del servizio al minimo necessario. Evitare diritti di accesso interattivi per gli account del servizio.
• Usare identità separate per i lettori di report: Se si usano account di dominio per gli account del servizio, usare un'identità diversa per i lettori di report per isolare le autorizzazioni e impedire l'accesso non necessario.
• Usare gli account locali per le installazioni di gruppi di lavoro: Quando si installano componenti in un gruppo di lavoro, usare gli account locali per gli account utente. Evitare account di dominio in questo scenario.
• Usare le connessioni al servizio: Usare le connessioni al servizio quando possibile per connettersi in modo sicuro ai servizi senza passare direttamente le variabili segrete alle compilazioni. Limitare le connessioni a casi d'uso specifici. Per ulteriori informazioni, vedere la sezione connessioni al servizio ambito in questo articolo.
• Monitorare l'attività degli account di servizio: Implementare l'audit e creare flussi di controllo per monitorare l'attività degli account di servizio.

Ambito delle connessioni al servizio

Per garantire l'accesso sicuro ed efficiente alle risorse di Azure, definire correttamente l'ambito delle connessioni al servizio. Le connessioni al servizio consentono ad Azure DevOps di connettersi a servizi e risorse esterni e, tramite l'ambito di queste connessioni, è possibile limitare l'accesso solo alle risorse necessarie e ridurre il rischio di accesso non autorizzato.

• Limitare l'accesso: Limitare l'accesso definendo l'ambito connessioni al servizio di Azure Resource Manager a risorse e gruppi specifici. Non concedere autorizzazioni di collaboratore generiche nell'intera sottoscrizione di Azure.
• Usare Azure Resource Manager: Eseguire l'autenticazione con le risorse di Azure usando la federazione dell'identità di lavoro con una registrazione dell'applicazione o un'identità gestita anziché usare una registrazione dell'applicazione con una chiave segreta. Per altre informazioni, vedere Creare una connessione al servizio di Azure Resource Manager che utilizza la federazione delle identità di carico di lavoro.
• Gruppi di risorse ambito: Assicurarsi che i gruppi di risorse contengano solo le macchine virtuali o le risorse necessarie per il processo di compilazione.
• Evitare le connessioni di servizio classiche: optare per le connessioni moderne del servizio Azure Resource Manager anziché quelle classiche, che non dispongono di opzioni di ambito.
• Usare account di servizio di team specifici per scopi: Autenticare le connessioni al servizio utilizzando account di servizio di team specifici per scopi per mantenere la sicurezza e il controllo.

Per ulteriori informazioni, vedere tipi di connessione di servizio comune.

Abilitare ed esaminare gli eventi di controllo

Per migliorare la sicurezza e monitorare i modelli di utilizzo all'interno dell'organizzazione, abilitare e esaminare regolarmente gli eventi di controllo. Il controllo consente di tenere traccia delle azioni degli utenti, delle modifiche delle autorizzazioni e degli eventi imprevisti di sicurezza, consentendo di identificare e risolvere tempestivamente potenziali problemi di sicurezza.

• Abilitare il controllo: Tenere traccia e visualizzare gli eventi correlati a azioni utente, autorizzazioni, modifiche e eventi imprevisti di sicurezza. Per ulteriori informazioni, vedere Abilitare o disabilitare il controllo.
• Esaminare regolarmente gli eventi di controllo: Esaminare regolarmente i log di controllo per monitorare le attività degli utenti e rilevare eventuali comportamenti sospetti. Cercare modelli di utilizzo imprevisti, in particolare dagli amministratori e da altri utenti. Questa azione consente di identificare potenziali violazioni della sicurezza e di intraprendere azioni correttive. Per ulteriori informazioni, vedere Esaminare il registro di controllo e Eventi di controllo.
• Configurare gli avvisi di sicurezza: Configurare gli avvisi per notificare eventuali incidenti di sicurezza o violazioni dei criteri. Questa azione garantisce una risposta tempestiva alle potenziali minacce.

Proteggi i tuoi dati

Per garantire la sicurezza e l'integrità dei dati, implementare misure di protezione dei dati. La protezione dei dati comporta strategie di crittografia, backup e ripristino per proteggersi dalla perdita di dati e dall'accesso non autorizzato.

• Proteggere i dati: Proteggere i dati usando strategie di crittografia, backup e ripristino. Per altre informazioni, vedere Protezione dei dati.
• Aggiungere indirizzi IP e URL a lista consentita: Se l'organizzazione è protetta con un firewall o un server proxy, aggiungere indirizzi IP e URL alla lista consentita. Per altre informazioni, vedere Indirizzi IP consentiti e URL di dominio.

Articoli correlati

• Posizioni dati per Azure DevOps
• Ciclo di vita di sviluppo della sicurezza Microsoft
• Centro fiducia di Azure