Uw Azure DevOps beveiligen

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

Wanneer u informatie en gegevens verwerkt, met name in een cloudoplossing zoals Azure DevOps Services, moet beveiliging de hoogste prioriteit hebben. Hoewel Microsoft de beveiliging van de onderliggende cloudinfrastructuur garandeert, is het uw verantwoordelijkheid om beveiliging in Azure DevOps te configureren. Dit artikel bevat een overzicht van de benodigde beveiligingsconfiguraties om uw Azure DevOps-omgeving te beschermen tegen bedreigingen en beveiligingsproblemen.

Uw netwerk beveiligen

Het beveiligen van uw netwerk is van cruciaal belang wanneer u met Azure DevOps werkt om uw gegevens en resources te beschermen tegen onbevoegde toegang en mogelijke bedreigingen. Implementeer netwerkbeveiligingsmaatregelen om ervoor te zorgen dat alleen vertrouwde bronnen toegang hebben tot uw Azure DevOps-omgeving. Voer de volgende acties uit om uw netwerk te beveiligen wanneer u met Azure DevOps werkt:

• IP-acceptatielijst instellen: de toegang tot specifieke IP-adressen beperken om alleen verkeer van vertrouwde bronnen toe te staan, waardoor de kwetsbaarheid voor aanvallen wordt verminderd. Zie IP-acceptatielijst instellenvoor meer informatie.
• Gegevensversleuteling gebruiken: Altijd gegevens versleutelen tijdens overdracht en in rust. Beveilig communicatiekanalen met behulp van protocollen zoals HTTPS. Zie Gegevensversleuteling gebruikenvoor meer informatie.
• Certificaten valideren: Controleren of certificaten geldig zijn en worden uitgegeven door vertrouwde autoriteiten bij het tot stand brengen van verbindingen. Zie Certificaten validerenvoor meer informatie.
• WaF's (Web Application Firewalls) implementeren: Filteren, bewaken en blokkeren van schadelijk webverkeer met WAF's voor een extra beveiligingslaag tegen veelvoorkomende aanvallen. Zie WAF's (Web Application Firewalls) implementerenvoor meer informatie.
• Netwerkbeveiligingsgroepen (NSG's) inschakelen: NSG's gebruiken om inkomend en uitgaand verkeer naar Azure-resources te beheren, zodat alleen geautoriseerd verkeer is toegestaan. Zie het overzicht Netwerkbeveiligingsgroepen (NSG's) voor meer informatie.
• Azure Firewall gebruiken: Azure Firewall implementeren om een gecentraliseerd netwerkbeveiligingsbeleid te bieden voor meerdere Azure-abonnementen en virtuele netwerken. Zie het overzicht van Azure Firewallvoor meer informatie.
• Netwerkverkeer bewaken: Azure Network Watcher gebruiken om netwerkproblemen te bewaken en diagnosticeren, zodat de beveiliging en prestaties van uw netwerk worden gegarandeerd. Zie het overzicht van Azure Network Watchervoor meer informatie.
• DDoS-beveiliging implementeren: Azure DDoS Protection inschakelen om uw toepassingen te beschermen tegen DDoS-aanvallen (Distributed Denial of Service). Zie Azure DDoS Protectionvoor meer informatie.

Zie best practices voor toepassingsbeheervoor meer informatie.

Uw Azure DevOps-omgeving beveiligen

Implementeer beveiligingsmaatregelen en -beleidsregels om ervoor te zorgen dat uw Azure DevOps-omgeving voldoet aan industriestandaarden en -voorschriften. Naleving van standaarden zoals ISO/IEC 27001, SOC 1/2/3 en AVG (General Data Protection Regulation) helpt uw omgeving te beschermen en vertrouwen met uw gebruikers te behouden.

• Naleving van industriestandaarden garanderen: Azure DevOps voldoet aan verschillende industriestandaarden en -voorschriften, zoals ISO/IEC 27001, SOC 1/2/3 en AVG. Zorg ervoor dat uw omgeving aan deze standaarden voldoet.
• Beleid afdwingen: beleidsregels implementeren om aanbevolen beveiligingsprocedures binnen uw organisatie af te dwingen. Deze actie omvat het vereisen van codebeoordelingen en het afdwingen van vertakkingsbeleid, nalevingsbeleid voor pijplijnenen beveiligingsbeleidsregels.
• om de volgende redenen onboarden naar onderdeelbeheer voor CI/CD:
  • Detectie van beveiligingsproblemen: waarschuwt u voor bekende beveiligingsproblemen in opensource-onderdelen.
  • Licentienaleving: zorgt ervoor dat onderdelen voldoen aan het licentiebeleid van uw organisatie.
  • Afdwingen van beleid: zorgt ervoor dat alleen goedgekeurde versies worden gebruikt.
  • Zichtbaarheid met tracering: biedt inzicht in onderdelen in opslagplaatsen voor eenvoudiger beheer.

Machtigingen op project- en organisatieniveau beheren

• De toegang tot projecten en opslagplaatsen beperken: Verminder het risico op het lekken van gevoelige informatie en het implementeren van onveilige code door de toegang tot projecten en opslagplaatsen te beperken. Gebruik ingebouwde of aangepaste beveiligingsgroepen om machtigingen te beheren. Voor meer informatie, zie toegang tot projecten en repositories beperken.
• Schakel "Openbare projecten toestaan"uit: Schakel in de beleidsinstellingen van de organisatie de optie uit om openbare projecten te maken. De zichtbaarheid van het project wijzigen van openbaar naar privé, indien nodig. Gebruikers die zich nooit hebben aangemeld, hebben alleen-lezentoegang tot openbare projecten, terwijl aangemelde gebruikers toegang kunnen krijgen tot privéprojecten en toegestane wijzigingen kunnen aanbrengen. Voor meer informatie, zie Toepassingsverbindings- en beveiligingsbeleid voor uw organisatie wijzigen.
• Het maken van organisaties beperken: voorkomen dat gebruikers nieuwe projecten maken om de controle over uw omgeving te behouden. Zie Het maken van een organisatie beperken via het Microsoft Entra-tenantbeleidvoor meer informatie.

Beveiligingsfuncties en hulpprogramma's gebruiken

Met de volgende beveiligingsfuncties en -hulpprogramma's kunt u de beveiliging van uw projecten bewaken, beheren en verbeteren:

• OAuth gebruiken in plaats van persoonlijke toegangstokens (PAT's): OAuth-stroom gebruiken in plaats van PAT's en geen persoonlijke GitHub-accounts gebruiken als serviceverbindingen. Zie het OAuth-overzichtvoor meer informatie.
• Code scannen en analyseren gebruiken: Hulpprogramma's zoals Microsoft Defender gebruiken om uw code te scannen op beveiligingsproblemen, geheimen en onjuiste configuraties. Deze actie helpt bij het identificeren en oplossen van beveiligingsproblemen vroeg in het ontwikkelingsproces.
• Git Credential Manager gebruiken: ondersteuning tweeledige verificatie met GitHub-opslagplaatsen en verifiëren bij Azure-opslagplaatsen. Zie Git Credential Manager instellenvoor meer informatie.
• Azure DevOps Credential Scanner (CredScan) gebruiken voor GitHub: Wanneer het gebruik van een beheerde identiteit geen optie is, zorg ervoor dat inloggegevens worden opgeslagen op veilige locaties, zoals Azure Key Vault, in plaats van ze in de code- en configuratiebestanden op te nemen. Implementeer Azure DevOps Credential Scanner om referenties in de code te identificeren. Zie Aan de slag met CredScanvoor meer informatie.
• Systeemeigen geheim scannen voor GitHub gebruiken: Wanneer u een beheerde identiteit gebruikt, is dit geen optie, moet u ervoor zorgen dat geheimen worden opgeslagen op beveiligde locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in de code- en configuratiebestanden. Gebruik de systeemeigen functie voor het scannen van geheimen om geheimen in de code te identificeren. Zie Over geheim scannenvoor meer informatie.

Zie het geavanceerde beveiligingsoverzicht van GitHubvoor meer informatie.

Uw services beveiligen

Implementeer beveiligingsmaatregelen voor elke service om de beveiliging en integriteit van uw services in Azure DevOps te garanderen. Deze metingen omvatten het instellen van machtigingen, het beheren van toegang en het gebruik van beveiligingsfuncties die specifiek zijn voor elke service.

• Secure Azure Boards: Bescherm uw werktraceringsgegevens door de juiste machtigingen in te stellen en toegangsniveaus te beheren.
  • Machtigingen voor het bijhouden van werk instellen
  • machtigingen instellen voor query's en querymappen
  • Teambeheerders beheren
  • Meer informatie over standaardmachtigingen en toegangsniveaus voor Azure Boards
• Azure-opslagplaatsen beveiligen: De beveiliging van uw codeopslagplaatsen garanderen door Git-instellingen, vertakkingsmachtigingen en beleid te configureren.
  • Meer informatie over standaard-Git-instellingen en -beleidsregels
  • Machtigingen instellen voor een specifieke tak
  • vertakkingsbeleid instellen
  • GitHub Advanced Security configureren voor Azure DevOps-
  • Meer informatie over GitHub Advanced Security
• Beveiligde Azure-pijplijnen: uw CI/CD-processen beveiligen door machtigingen in te stellen, beveiligingssjablonen te gebruiken en agents en containers te beveiligen.
  • Meer informatie over azure Pipelines-beveiliging
  • Gebruikers toevoegen aan Azure Pipelines-
  • Sjablonen gebruiken voor beveiliging
  • Beveilig agents, projecten en containers
  • Beveiligde toegang tot Azure Repos vanuit pijplijnen
  • Resources voor beveiligde pijplijnen
  • Uw benadering bepalen voor het beveiligen van YAML-pijplijnen
  • Geheimen beveiligen in Azure Pipelines
• Azure-testplannen beveiligen: Zorg ervoor dat uw team de juiste toegang heeft om testplannen efficiënt te beheren en uit te voeren.
  • Meer informatie over standaardmachtigingen voor handmatige tests en toegang
  • machtigingen en toegang instellen voor het testen van
• Azure Artifacts beveiligen: de toegang tot uw pakketten beheren en bepalen wie ermee kan communiceren.
  • Machtigingen voor Azure Artifacts beheren
  • Feedscope instellen

Toegang beheren

Geef de minimaal benodigde machtigingen op en toegangsniveaus om ervoor te zorgen dat alleen geautoriseerde personen en services toegang hebben tot gevoelige informatie en kritieke acties kunnen uitvoeren. Deze procedure helpt bij het minimaliseren van het risico op onbevoegde toegang en mogelijke schendingen van gegevens.

Controleer en werk deze instellingen regelmatig bij om zich aan te passen aan wijzigingen in uw organisatie, zoals rolwijzigingen, nieuwe medewerkers of vertrek. Het implementeren van een periodieke controle van machtigingen en toegangsniveaus kan helpen bij het identificeren en corrigeren van eventuele verschillen, zodat uw beveiligingspostuur robuust en afgestemd blijft op aanbevolen procedures.

Toegangsmachtigingen

Om te zorgen voor een veilig en efficiënt beheer van machtigingen, moet u machtigingen binnen uw Azure DevOps-omgeving op de juiste manier instellen. Het bereik van machtigingen omvat het definiëren en toewijzen van het juiste toegangsniveau voor gebruikers en groepen op basis van hun rollen en verantwoordelijkheden. Deze procedure helpt bij het minimaliseren van het risico op onbevoegde toegang en mogelijke schendingen van gegevens door ervoor te zorgen dat alleen geautoriseerde personen toegang hebben tot gevoelige informatie en kritieke acties.

Om toestemmingen effectief te beheren, onderneemt u de volgende stappen:

• Overname uitschakelen: Overname vermijden, onbedoelde toegang voorkomen. Overerving kan per ongeluk machtigingen verlenen aan gebruikers die ze niet mogen hebben, omdat toestemmingen standaard worden verleend. Beheer en stel expliciet machtigingen in om ervoor te zorgen dat alleen de beoogde gebruikers toegang hebben. Zie overname van machtigingenvoor meer informatie.
• Segmentomgevingen: Afzonderlijke Azure-accounts gebruiken voor verschillende omgevingen, zoals Ontwikkeling, Testen en Productie, om de beveiliging te verbeteren en conflicten te voorkomen. Deze aanpak minimaliseert het risico op resourceconflicten en gegevensbesmetting tussen omgevingen en maakt een beter beheer en isolatie van resources mogelijk. Zie Azure Landing Zonevoor meer informatie.
• Toegang beheren en naleving garanderen: Azure Policy gebruiken om de toegang tot ongebruikte Azure-regio's en -services te beperken, zodat de naleving van de organisatiestandaarden wordt gewaarborgd. Met deze actie kunt u best practices afdwingen en een beveiligde omgeving onderhouden door onbevoegde toegang en gebruik te voorkomen. Voor meer informatie, zie het overzicht van Azure Policy.
• Op rollen gebaseerd besturingselement (ABAC) van Azure implementeren: ABAC gebruiken met goed gelabelde resources, waardoor onbevoegde toegang wordt beperkt. Deze actie zorgt ervoor dat toegangsmachtigingen worden verleend op basis van specifieke kenmerken, waardoor beveiliging wordt verbeterd door te voorkomen dat onbevoegde resources worden gemaakt en toegang krijgen. Zie Azure-beheer op basis van rollen (ABAC) implementerenvoor meer informatie.
• Beveiligingsgroepen gebruiken: Beveiligingsgroepen gebruiken om machtigingen voor meerdere gebruikers efficiënt te beheren. Deze methode vereenvoudigt het verlenen en intrekken van toegang in vergelijking met het afzonderlijk toewijzen van machtigingen en zorgt voor consistentie en eenvoudiger beheer binnen uw organisatie.
  • Gebruik Microsoft Entra ID-, Active Directory- of Windows-beveiligingsgroepen wanneer u veel gebruikers beheert.
  • Maak gebruik van ingebouwde rollen en stel de standaardrol voor ontwikkelaars in op Bijdrager. Beheerders worden toegewezen aan de beveiligingsgroep Projectbeheerder voor verhoogde machtigingen, zodat ze beveiligingsmachtigingen kunnen configureren.
  • Houd groepen zo klein mogelijk, waardoor de toegang wordt beperkt.
  • Zie Beveiligingsgroepen beherenvoor meer informatie.
• De juiste verificatiemethode kiezen: veilige verificatiemethoden instellen en autorisatiebeleid beheren. Zie de sectie De juiste verificatiemethode kiezen in dit artikel en verificatiemethodenvoor meer informatie.
• integreren met Microsoft Entra ID: Microsoft Entra ID gebruiken voor geïntegreerd identiteitsbeheer. Zie Uw organisatie verbinden met Microsoft Entra IDvoor meer informatie.
  • Als u de beveiliging voor ingebouwde beheerdersgroepen wilt verbeteren, kunt u just-in-time-toegang implementeren met behulp van een Microsoft Entra-PIM-groep (Privileged Identity Management). Met deze methode kunt u alleen verhoogde machtigingen verlenen wanneer dat nodig is, waardoor het risico voor permanente toegang wordt verminderd. Zie Just-In-Time-toegang configureren voor beheerdersgroepenvoor meer informatie.
• Meervoudige verificatie (MFA) van Microsoft Entra inschakelen: Een extra beveiligingslaag toevoegen met MFA. Zie Meervoudige verificatie van Microsoft Entra inschakelenvoor meer informatie.
• Beveiligingsbeleid wijzigen: Beveiligingsbeleid beheren, inclusief voorwaardelijke toegang. Voor meer informatie, zie Wijzig de toepassingsverbinding & beveiligingsbeleid voor uw organisatie.

Zie de volgende artikelen voor meer informatie over machtigingen:

• handleiding voor het opzoeken van machtigingen en rollen
• afzonderlijke machtigingen instellen
• machtigingen, beveiligingsgroepen en serviceaccounts verwijzen naar

De juiste verificatiemethode kiezen

Wanneer u de juiste verificatiemethode kiest voor uw Azure DevOps-omgeving, moet u rekening houden met de voordelen van beveiliging en beheer van verschillende opties. Door veilige verificatiemethoden te gebruiken, kunt u uw resources beveiligen en ervoor zorgen dat alleen geautoriseerde gebruikers en services toegang hebben tot uw Azure DevOps-omgeving. Overweeg het gebruik van service-principals, beheerde identiteiten en Microsoft Entra om de beveiliging te verbeteren en toegangsbeheer te stroomlijnen.

• Service-principals gebruiken: Beveiligingsobjecten binnen een Microsoft Entra-applicatie vertegenwoordigen. Definieer wat een toepassing in een bepaalde tenant kan doen. Instellen tijdens de registratie van toepassingen in Azure Portal. Configureren voor toegang tot Azure-resources, waaronder Azure DevOps. Handig voor apps die specifieke toegang en beheer nodig hebben.
• Beheerde identiteiten gebruiken: vergelijkbaar met de service-principal van een toepassing. Identiteiten opgeven voor Azure-resources. Services die Microsoft Entra-verificatie ondersteunen, toestaan referenties te delen. Azure verwerkt referentiebeheer en rotatie automatisch. Ideaal voor naadloos beheer van aanmeldingsgegevens.
• Microsoft Entra-id gebruiken:
  • Maak één vlak voor identiteit door Azure DevOps te verbinden met Microsoft Entra-id. Deze consistentie vermindert verwarring en minimaliseert beveiligingsrisico's van handmatige configuratiefouten.
  • Toegang tot uw organisatie met Microsoft Entra ID en verschillende rollen en machtigingen toewijzen aan specifieke groepen binnen verschillende resourcebereiken. Deze actie implementeert fijnmazige governance, zorgt voor gecontroleerde toegang en is afgestemd op best practices voor beveiliging.
  • Gebruik beleid voor voorwaardelijke toegang, waarmee toegangsregels worden gedefinieerd op basis van voorwaarden zoals locatie, apparaat of risiconiveau.

Externe gasttoegang beheren

Implementeer specifieke maatregelen om de beveiliging en het juiste beheer van externe gasttoegang te garanderen en te controleren hoe externe gebruikers met uw Azure DevOps-omgeving communiceren. Externe gasttoegang kan potentiële beveiligingsrisico's veroorzaken als deze niet goed worden beheerd. Door deze acties te volgen, kunt u deze risico's minimaliseren en ervoor zorgen dat externe gasten het juiste toegangsniveau hebben zonder de beveiliging van uw omgeving in gevaar te brengen.

• Externe gasttoegang blokkeren: de 'Uitnodigingen toestaan om naar elk domein te sturen' uitschakelen om externe gasttoegang te voorkomen als er geen zakelijke behoefte aan is.
• Afzonderlijke e-mailberichten of UPN's gebruiken: Gebruik verschillende e-mailadressen of UPN's (User Principal Names) voor persoonlijke en zakelijke accounts om dubbelzinnigheid tussen persoonlijke en zakelijke accounts te voorkomen.
• Externe gastgebruikers groeperen: alle externe gastgebruikers in één Microsoft Entra-groep plaatsen en machtigingen voor deze groep op de juiste wijze beheren. Verwijder directe toewijzingen om ervoor te zorgen dat groepsregels van toepassing zijn op deze gebruikers.
• regels regelmatig opnieuw evalueren: regelmatig regels controleren op het tabblad Groepsregels van de pagina Gebruikers. Houd rekening met eventuele wijzigingen in het groepslidmaatschap in Microsoft Entra-id die van invloed kunnen zijn op uw organisatie. Het kan tot 24 uur duren voordat microsoft Entra ID dynamisch groepslidmaatschap bijwerkt en regels worden elke 24 uur automatisch opnieuw geëvalueerd en wanneer een groepsregel wordt gewijzigd.

Voor meer informatie, zie B2B-gasten in de Microsoft Entra ID.

Zero Trust implementeren

Gebruik Zero Trust-principes voor uw DevOps-processen om de beveiliging te verbeteren. Deze aanpak zorgt ervoor dat elke toegangsaanvraag grondig wordt geverifieerd, ongeacht de oorsprong ervan. Zero Trust werkt volgens het principe 'nooit vertrouwen, altijd verifiëren', wat betekent dat er geen entiteit, ongeacht of deze zich binnen of buiten het netwerk bevindt, standaard wordt vertrouwd. Door Zero Trust te implementeren, kunt u het risico op beveiligingsschendingen aanzienlijk verminderen en ervoor zorgen dat alleen geautoriseerde gebruikers en apparaten toegang hebben tot uw resources.

• De Zero Trust-benadering omarmen:Zero Trust implementeren principes om uw DevOps-platform te versterken, uw ontwikkelomgevingte beschermen en Zero Trust naadloos te integreren in uw ontwikkelwerkstromen. Zero Trust helpt om te beschermen tegen laterale verplaatsing binnen het netwerk, zodat zelfs als er een gecompromitteerd deel van het netwerk is, de bedreiging is opgenomen en niet kan worden verspreid.

Zie de handleiding Zero Trust Assessmentvoor meer informatie.

Gebruikers verwijderen

Om ervoor te zorgen dat alleen actieve en geautoriseerde gebruikers toegang hebben tot uw Azure DevOps-omgeving, controleert en beheert u regelmatig gebruikerstoegang. Het verwijderen van inactieve of niet-geautoriseerde gebruikers helpt bij het onderhouden van een beveiligde omgeving en vermindert het risico op mogelijke beveiligingsschendingen. Door deze acties te volgen, kunt u ervoor zorgen dat uw Azure DevOps-omgeving veilig blijft en dat alleen de benodigde personen toegang hebben.

• Inactieve gebruikers verwijderen uit Microsoft-accounts (MSA's): inactieve gebruikers rechtstreeks uit uw organisatie verwijderen als ze MSA's gebruiken. U kunt geen query's maken voor werkitems die zijn toegewezen aan verwijderde MSA-accounts. Zie Gebruikers verwijderen uit uw organisatievoor meer informatie.
• Microsoft Entra-gebruikersaccounts uitschakelen of verwijderen: Als er verbinding is met Microsoft Entra-id, schakelt u het Microsoft Entra-gebruikersaccount uit of verwijdert u dit terwijl het Azure DevOps-gebruikersaccount actief blijft. Met deze actie kunt u doorgaan met het opvragen van de geschiedenis van werkitems met behulp van uw Azure DevOps-gebruikers-id.
• PAT's van gebruikers intrekken: Zorg voor veilig beheer van deze kritieke verificatietokens door bestaande gebruikers-PAW's regelmatig te controleren en in te trekken. Voor meer informatie, zie Gebruikers-PATs intrekken voor beheerders.
• Speciale machtigingen intrekken die aan individuele gebruikers zijn verleend: Controleren en speciale machtigingen intrekken die aan individuele gebruikers zijn verleend om te zorgen voor afstemming met het principe van minimale bevoegdheden.
• werk opnieuw toewijzen aan verwijderde gebruikers: Voordat u gebruikers verwijdert, moet u hun werkitems opnieuw toewijzen aan huidige teamleden om de belasting effectief te distribueren.

Serviceaccounts toepassingsgebied

Serviceaccounts worden gebruikt om geautomatiseerde processen en services uit te voeren en ze hebben vaak verhoogde machtigingen. Door serviceaccounts op de juiste manier te verkennen en te beheren, kunt u beveiligingsrisico's minimaliseren en ervoor zorgen dat deze accounts op de juiste wijze worden gebruikt.

• Serviceaccounts voor één doel maken: Elke service moet zijn toegewezen account hebben om het risico te minimaliseren. Vermijd het gebruik van gewone gebruikersaccounts als serviceaccounts.
• Azure Resource Manager gebruiken: verifiëren met Azure-resources met behulp van workloadidentiteitsfederatie met een app-registratie of beheerde identiteit in plaats van een app-registratie met een geheim te gebruiken. Zie Azure Resource Manager-gebruiken voor meer informatie.
• Ongebruikte serviceaccounts identificeren en uitschakelen: accounts regelmatig controleren en identificeren die niet meer in gebruik zijn. Schakel ongebruikte accounts uit voordat u het verwijderen overweegt.
• Bevoegdheden beperken: de bevoegdheden van het serviceaccount beperken tot het minimum dat nodig is. Vermijd interactieve aanmeldingsrechten voor serviceaccounts.
• Afzonderlijke identiteiten gebruiken voor rapportlezers: Als u domeinaccounts gebruikt voor serviceaccounts, gebruikt u een andere identiteit voor rapportlezers om machtigingen te te isoleren en onnodige toegangte voorkomen.
• Lokale accounts gebruiken voor werkgroepinstallaties: Wanneer u onderdelen in een werkgroep installeert, gebruikt u lokale accounts voor gebruikersaccounts. Vermijd domeinaccounts in dit scenario.
• Serviceverbindingen gebruiken: Gebruik waar mogelijk serviceverbindingen om veilig verbinding te maken met services zonder geheime variabelen rechtstreeks door te geven aan builds. Beperk verbindingen met specifieke gebruiksvoorbeelden. Zie de sectie Scope-serviceverbindingen in dit artikel voor meer informatie.
• Activiteiten van serviceaccounts controleren: Controle implementeren en controlestromen maken om de activiteit van het serviceaccount te controleren.

Reikwijdte van serviceverbindingen

Om veilige en efficiënte toegang tot Azure-resources te garanderen, moet u serviceverbindingen op de juiste manier in te stellen. Met serviceverbindingen kan Azure DevOps verbinding maken met externe services en resources. Door deze verbindingen te beperken, kunt u de toegang beperken tot alleen de benodigde resources en het risico op onbevoegde toegang beperken.

• Toegang beperken: De toegang beperken door het bereik van uw Azure Resource Manager serviceverbindingen met specifieke resources en groepen te beperken. Verdeel geen brede inzenderrechten voor het hele Azure-abonnement.
• Azure Resource Manager gebruiken: Voer verificatie uit met Azure-resources via workloadidentiteitsfederatie door gebruik te maken van een app-registratie of een beheerde identiteit, in plaats van een app-registratie met een geheim. Zie Een Azure Resource Manager-serviceverbinding maken die gebruikmaakt van federatie van workloadidentiteitvoor meer informatie.
• Reikwijdte van resourcegroepen: Zorg ervoor dat resourcegroepen alleen de virtuele machines (VM's) of resources bevatten die nodig zijn voor het bouwproces.
• Klassieke serviceverbindingen vermijden: kiezen voor moderne Azure Resource Manager-serviceverbindingen in plaats van klassieke verbindingen, die geen bereikopties hebben.
• Gebruik doelspecifieke teamserviceaccounts: serviceverbindingen verifiëren met doelspecifieke teamserviceaccounts om beveiliging en controle te behouden.

Zie Common Service Connection Typesvoor meer informatie.

Audit-gebeurtenissen inschakelen en beoordelen

Als u de beveiliging wilt verbeteren en gebruikspatronen binnen uw organisatie wilt bewaken, schakelt u controle-gebeurtenissen in en controleert u deze regelmatig. Met controle kunt u gebruikersacties, machtigingenwijzigingen en beveiligingsincidenten bijhouden, zodat u potentiële beveiligingsproblemen onmiddellijk kunt identificeren en oplossen.

• Controle inschakelen: Gebeurtenissen bijhouden en weergeven met betrekking tot gebruikersacties, machtigingen, wijzigingen en beveiligingsincidenten. Voor meer informatie, zie In- of uitschakelen van auditing.
• Regelmatig controlegebeurtenissen controleren: regelmatig auditlogboeken controleren om gebruikersactiviteiten te controleren en verdacht gedrag te detecteren. Zoek naar onverwachte gebruikspatronen, met name door beheerders en andere gebruikers. Deze actie helpt potentiële beveiligingsschendingen te identificeren en corrigerende acties uit te voeren. Zie Auditlogboek controleren en Controlegebeurtenissenvoor meer informatie.
• Beveiligingswaarschuwingen configureren: Waarschuwingen configureren om u op de hoogte te stellen van beveiligingsincidenten of beleidsschendingen. Deze actie zorgt voor tijdige reactie op mogelijke bedreigingen.

Uw gegevens beveiligen

Implementeer maatregelen voor gegevensbescherming om de beveiliging en integriteit van uw gegevens te waarborgen. Het beveiligen van uw gegevens omvat versleutelings-, back-up- en herstelstrategieën om gegevensverlies en onbevoegde toegang te beschermen.

• Uw gegevens beveiligen: Uw gegevens beveiligen met behulp van versleutelings-, back-up- en herstelstrategieën. Zie Gegevensbeschermingvoor meer informatie.
• IP's en URL's toevoegen aan acceptatielijst: Als uw organisatie is beveiligd met een firewall of proxyserver, voegt u IP's en URL's toe aan de acceptatielijst. Zie toegestane IP-adressen en domein-URL'svoor meer informatie.

Verwante artikelen

• Gegevenslocaties voor Azure DevOps
• Microsoft Veiligheidontwikkelingscyclus
• Azure Trust Center