Zabezpieczanie usługi Azure DevOps

Azure DevOps Services | Azure DevOps Server 2022 — Azure DevOps Server 2019

W przypadku obsługi informacji i danych, zwłaszcza w rozwiązaniu opartym na chmurze, takiego jak Azure DevOps Services, bezpieczeństwo powinno być twoim priorytetem. Chociaż firma Microsoft zapewnia bezpieczeństwo podstawowej infrastruktury chmury, twoim zadaniem jest skonfigurowanie zabezpieczeń w usłudze Azure DevOps. Ten artykuł zawiera omówienie niezbędnych konfiguracji związanych z zabezpieczeniami w celu ochrony środowiska usługi Azure DevOps przed zagrożeniami i lukami w zabezpieczeniach.

Zabezpieczanie sieci

Zabezpieczanie sieci ma kluczowe znaczenie podczas pracy z usługą Azure DevOps w celu ochrony danych i zasobów przed nieautoryzowanym dostępem i potencjalnymi zagrożeniami. Zaimplementuj środki zabezpieczeń sieci, aby zapewnić, że tylko zaufane źródła mogą uzyskiwać dostęp do środowiska usługi Azure DevOps. Aby zabezpieczyć sieć podczas pracy z usługą Azure DevOps, wykonaj następujące czynności:

• Skonfiguruj listę dozwolonych adresów IP: Ogranicz dostęp do określonych adresów IP, aby zezwolić na ruch tylko z zaufanych źródeł, zmniejszając obszar ataków. Aby uzyskać więcej informacji, zobacz Konfigurowanie listy dozwolonych adresów IP.
• Użyj szyfrowania danych: Zawsze szyfruj dane podczas przesyłania i magazynowania. Zabezpieczanie kanałów komunikacyjnych przy użyciu protokołów, takich jak HTTPS. Aby uzyskać więcej informacji, zobacz Użyj szyfrowania danych.
• Weryfikowanie certyfikatów: Upewnij się, że certyfikaty są prawidłowe i wystawione przez zaufane urzędy podczas nawiązywania połączeń. Aby uzyskać więcej informacji, zobacz Waliduj certyfikaty.
• Implementowanie zapór aplikacji internetowych (WAFs): filtrowanie, monitorowanie i blokowanie złośliwego ruchu internetowego za pomocą funkcji WAFs w celu uzyskania dodatkowej warstwy ochrony przed typowymi atakami. Aby uzyskać więcej informacji, zobacz Implementacja zapór aplikacji internetowych (WAF).
• Włącz sieciowe grupy zabezpieczeń: Użyj sieciowych grup zabezpieczeń do kontrolowania ruchu przychodzącego i wychodzącego do zasobów platformy Azure, zapewniając, że dozwolony jest tylko autoryzowany ruch. Aby uzyskać więcej informacji, zobacz omówienie sieciowych grup zabezpieczeń .
• Użyj usługi Azure Firewall: wdróż usługę Azure Firewall, aby zapewnić scentralizowane zasady zabezpieczeń sieci w wielu subskrypcjach i sieciach wirtualnych platformy Azure. Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Firewall.
• Monitorowanie ruchu sieciowego: Monitorowanie i diagnozowanie problemów z siecią za pomocą usługi Azure Network Watcher, zapewnienie bezpieczeństwa i wydajności sieci. Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Network Watcher.
• Implementowanie ochrony przed atakami DDoS: Włącz usługę Azure DDoS Protection, aby chronić aplikacje przed rozproszonymi atakami typu "odmowa usługi" (DDoS). Aby uzyskać więcej informacji, zobacz Azure DDoS Protection.

Aby uzyskać więcej informacji, zobacz Najlepsze rozwiązania dotyczące zarządzania aplikacjami.

Zabezpieczanie środowiska usługi Azure DevOps

Aby upewnić się, że środowisko usługi Azure DevOps jest zgodne ze standardami branżowymi i przepisami, zaimplementuj środki zabezpieczeń i zasady. Zgodność ze standardami, takimi jak ISO/IEC 27001, SOC 1/2/3 i Ogólne rozporządzenie o ochronie danych (RODO) pomaga chronić środowisko i utrzymywać zaufanie użytkownikom.

• Zapewnienie zgodności ze standardami branżowymi: Azure DevOps spełnia różne standardy branżowe i przepisy, takie jak ISO/IEC 27001, SOC 1/2/3 i RODO. Upewnij się, że środowisko jest zgodne z tymi standardami.
• Wymuszaj zasady: Implementowanie zasad w celu wymuszania najlepszych rozwiązań w zakresie zabezpieczeń w całej organizacji. Ta akcja obejmuje wymaganie przeglądów kodu i wymuszanie zasad gałęzi , zasad zgodności dla potokówi zasad zabezpieczeń .
• Przystąpienie do zarządzania składnikami dla CI/CD z następujących powodów:
  • Wykrywanie luk w zabezpieczeniach: ostrzega o znanych lukach w zabezpieczeniach w składnikach typu open source.
  • Zgodność licencji: zapewnia zgodność składników z zasadami licencjonowania organizacji.
  • Wymuszanie zasad: zapewnia, że są używane tylko zatwierdzone wersje.
  • Zapewnienie widoczności dzięki śledzeniu: umożliwia wgląd w składniki w różnych repozytoriach, co ułatwia zarządzanie.

Zarządzanie uprawnieniami na poziomie projektu i organizacji

• Ogranicz dostęp do projektów i repozytoriów: Zmniejszyć ryzyko wycieku poufnych informacji i wdrożenia niezabezpieczonego kodu, ograniczając dostęp do projektów i repozytoriów. Użyj wbudowanych lub niestandardowych grup zabezpieczeń, aby zarządzać uprawnieniami. Aby uzyskać więcej informacji, zobacz Ograniczanie dostępu do projektów i repozytoriów.
• Wyłącz opcję "Zezwalaj na projekty publiczne": w ustawieniach zasad organizacji wyłącz opcję tworzenia projektów publicznych. W razie potrzeby przełącz widoczność projektu z publicznego na prywatny. Użytkownicy, którzy nigdy nie zalogowali się, mają dostęp tylko do odczytu do projektów publicznych, podczas gdy zalogowani użytkownicy mogą mieć dostęp do projektów prywatnych i wprowadzać dozwolone zmiany. Aby uzyskać więcej informacji, zobacz dokument "Zmiana połączenia aplikacji i polityki bezpieczeństwa dla Twojej organizacji".
• Ogranicz tworzenie organizacji: Uniemożliwić użytkownikom tworzenie nowych projektów w celu utrzymania kontroli nad środowiskiem. Aby uzyskać więcej informacji, zobacz Ograniczanie tworzenia organizacji za pomocą polityki dzierżawy Microsoft Entra.

Korzystanie z funkcji i narzędzi zabezpieczeń

Następujące funkcje i narzędzia zabezpieczeń mogą ułatwić monitorowanie i zwiększanie bezpieczeństwa projektów oraz zarządzanie nimi:

• pl-PL: Użyj protokołu OAuth zamiast osobistych tokenów dostępu (PATs): Użyj przepływu OAuth zamiast PATs i nie używaj osobistych kont GitHub jako połączeń usług. Aby uzyskać więcej informacji, zobacz omówienie protokołu OAuth .
• Użyj skanowania i analizy kodu: Użyj narzędzi takich jak Microsoft Defender do skanowania kodu pod kątem luk w zabezpieczeniach, tajnych informacji i błędów konfiguracji. Ta akcja ułatwia identyfikowanie i korygowanie problemów z zabezpieczeniami na wczesnym etapie procesu programowania.
• Użyj menedżera poświadczeń Git: obsługa uwierzytelniania dwuskładnikowego przy użyciu repozytoriów GitHub i uwierzytelniania w usłudze Azure Repos. Aby uzyskać więcej informacji, zobacz Set up Git Credential Manager.
• Użyj skanera poświadczeń usługi Azure DevOps (CredScan) dla usługi GitHub: W przypadku korzystania z tożsamości zarządzanej nie jest opcją, upewnij się, że poświadczenia są przechowywane w bezpiecznych lokalizacjach, takich jak usługa Azure Key Vault, zamiast osadzać je w kodzie i plikach konfiguracji. Zaimplementuj skaner poświadczeń usługi Azure DevOps, aby zidentyfikować poświadczenia w kodzie. Aby uzyskać więcej informacji, zobacz Wprowadzenie do narzędzia CredScan.
• Użyj natywnego skanowania wpisów tajnych w usłudze GitHub: Jeśli użycie tożsamości zarządzanej nie jest opcją, upewnij się, że wpisy tajne są przechowywane w bezpiecznych lokalizacjach, takich jak usługa Azure Key Vault, zamiast osadzać je w kodzie i plikach konfiguracji. Użyj natywnej funkcji skanowania wpisów tajnych, aby zidentyfikować wpisy tajne w kodzie. Aby uzyskać więcej informacji, zobacz Informacje o skanowaniu tajnych danych.

Aby uzyskać więcej informacji, zobacz Omówienie zaawansowanych zabezpieczeń usługi GitHub.

Zabezpieczanie usług

Aby zapewnić bezpieczeństwo i integralność usług w usłudze Azure DevOps, zaimplementuj środki zabezpieczeń dla każdej usługi. Te miary obejmują ustawianie uprawnień, zarządzanie dostępem i używanie funkcji zabezpieczeń specyficznych dla każdej usługi.

• Secure Azure Boards: Chroń dane śledzenia pracy, poprzez ustawienie odpowiednich uprawnień i zarządzanie poziomami dostępu.
  • Ustaw uprawnienia śledzenia pracy
  • Ustawianie uprawnień dla zapytań i folderów zapytań
  • Zarządzanie administratorami zespołu
  • Dowiedz się więcej o domyślnych uprawnieniach i poziomach dostępu dla usługi Azure Boards
• Zabezpiecz Azure Repos: Zapewnij bezpieczeństwo swoich repozytoriów kodu, konfigurując ustawienia Git, uprawnienia do gałęzi i zasady.
  • Dowiedz się więcej o domyślnych ustawieniach i zasadach usługi Git
  • Ustawianie uprawnień dla określonej gałęzi
  • Ustaw zasady gałęzi
  • Konfigurowanie zaawansowanych zabezpieczeń usługi GitHub dla Azure DevOps
  • dowiedz się więcej o usłudze GitHub Advanced Security
• Zabezpieczanie usługi Azure Pipelines: Chroń swoje procesy CI/CD poprzez ustawienie uprawnień, używanie szablonów zabezpieczeń oraz zabezpieczanie agentów i kontenerów.
  • Dowiedz się o zabezpieczeniach Azure Pipelines
  • Dodawanie użytkowników do usługi Azure Pipelines
  • Używanie szablonów do zabezpieczeń
  • Zabezpieczanie agentów, projektów i kontenerów
  • Bezpieczny dostęp do Azure Repos z poziomu potoków
  • Zabezpieczanie zasobów potoków
  • Określ swoje podejście do zabezpieczania potoków YAML
  • Ochrona wpisów tajnych w usłudze Azure Pipelines
• bezpieczne plany testów platformy Azure: Upewnij się, że twój zespół ma odpowiedni dostęp do efektywnego zarządzania planami testów i wykonywania ich.
  • Naucz się domyślnego testu ręcznego i uprawnień dostępu
  • Ustawianie uprawnień i dostępu na potrzeby testowania
• Secure Azure Artifacts: Zarządzanie dostępem do pakietów i kontrolowanie, kto może z nimi korzystać.
  • zarządzanie uprawnieniami usługi Azure Artifacts
  • Ustawianie zakresów kanału informacyjnego

Kontrola dostępu

Podaj minimalne niezbędne uprawnienia i poziomów dostępu, aby zapewnić, że tylko autoryzowane osoby i usługi mogą uzyskiwać dostęp do poufnych informacji i wykonywać krytyczne działania. Ta praktyka pomaga zminimalizować ryzyko nieautoryzowanego dostępu i potencjalnych naruszeń danych.

Regularnie sprawdzaj i aktualizuj te ustawienia, aby dostosować je do zmian w organizacji, takich jak zmiany ról, nowi pracownicy lub wyjazdy. Wdrożenie okresowej inspekcji poziomów uprawnień i dostępu może pomóc w zidentyfikowaniu i skorygowaniu wszelkich rozbieżności, zapewniając, że pozycja zabezpieczeń pozostaje niezawodna i zgodna z najlepszymi praktykami.

Uprawnienia zakresu

Aby zapewnić bezpieczne i wydajne zarządzanie uprawnieniami, należy prawidłowo ograniczyć zakres uprawnień w środowisku usługi Azure DevOps. Uprawnienia określające zakres obejmują definiowanie i przypisywanie odpowiedniego poziomu dostępu do użytkowników i grup na podstawie ich ról i obowiązków. Ta praktyka pomaga zminimalizować ryzyko nieautoryzowanego dostępu i potencjalnych naruszeń danych, zapewniając, że tylko autoryzowane osoby mają dostęp do poufnych informacji i akcji krytycznych.

Aby skutecznie ograniczyć zakres uprawnień, wykonaj następujące czynności:

• Wyłącz dziedziczenie: Unikaj dziedziczenia, uniemożliwiając niezamierzony dostęp. Dziedziczenie może przypadkowo udzielić uprawnień użytkownikom, którzy nie powinni ich mieć, ze względu na domyślnie zezwalający charakter. Starannie zarządzaj uprawnieniami i jawnie ustawiaj je, aby mieć pewność, że tylko docelowi użytkownicy mają dostęp. Aby uzyskać więcej informacji, zobacz Uprawnienia dziedziczenia.
• Środowiska segmentów: Używaj oddzielnych kont platformy Azure dla różnych środowisk, takich jak programowanie, testowanie i produkcja, aby zwiększyć bezpieczeństwo i zapobiegać konfliktom. Takie podejście minimalizuje ryzyko konfliktów zasobów i skażenia danych między środowiskami i umożliwia lepsze zarządzanie i izolowanie zasobów. Aby uzyskać więcej informacji, sprawdź Azure Landing Zone.
• kontrolować dostęp i zapewnić zgodność: Użyj usługi Azure Policy, aby ograniczyć dostęp do nieużywanych regionów i usług platformy Azure, zapewniając zgodność ze standardami organizacyjnymi. Ta akcja pomaga wymusić najlepsze rozwiązania i zachować bezpieczne środowisko, zapobiegając nieautoryzowanemu dostępowi i użyciu. Aby uzyskać więcej informacji, zobacz Omówienie usługi Azure Policy.
• Implementowanie kontroli opartej na rolach platformy Azure (ABAC): Użyj kontroli ABAC z prawidłowo oznakowanymi zasobami, ograniczając nieautoryzowany dostęp. Ta akcja gwarantuje, że uprawnienia dostępu są przyznawane na podstawie określonych atrybutów, zwiększając bezpieczeństwo, zapobiegając nieautoryzowanemu tworzeniu zasobów i dostępowi. Aby uzyskać więcej informacji, zobacz Implementowanie kontroli opartej na rolach (ABAC) platformy Azure.
• Użyj grup zabezpieczeń: Użyj grup zabezpieczeń, aby efektywnie zarządzać uprawnieniami dla wielu użytkowników. Ta metoda upraszcza udzielanie i odwołowanie dostępu w porównaniu do przypisywania uprawnień indywidualnie i zapewnia spójność i łatwiejsze zarządzanie w całej organizacji.
  • Użyj identyfikatora Entra firmy Microsoft, usługi Active Directory lub grup zabezpieczeń systemu Windows, gdy zarządzasz wieloma użytkownikami.
  • Wykorzystaj wbudowane role i ustaw domyślnie rolę Współpracownika dla programistów. Administratorzy uzyskują przypisanie do grupy zabezpieczeń Administrator projektu w celu uzyskania podwyższonych uprawnień, co pozwala im skonfigurować uprawnienia zabezpieczeń.
  • Zachowaj możliwie najmniejsze grupy, ograniczając dostęp.
  • Aby uzyskać więcej informacji, zobacz Zarządzanie grupami zabezpieczeń.
• Wybierz właściwą metodę uwierzytelniania: Konfigurowanie bezpiecznych metod uwierzytelniania i zarządzanie zasadami autoryzacji. Aby uzyskać więcej informacji, zobacz sekcję Wybierz właściwą metodę uwierzytelniania w tym artykule i w sekcji Metody uwierzytelniania.
• Integracja z identyfikatorem Entra firmy Microsoft: Użyj identyfikatora Entra firmy Microsoft do ujednoliconego zarządzania tożsamościami. Aby uzyskać więcej informacji, zobacz Połącz swoją organizację z Microsoft Entra ID.
  • Aby zwiększyć bezpieczeństwo wbudowanych grup administratorów, rozważ wdrożenie dostępu just-in-time przy użyciu grupy Microsoft Entra Privileged Identity Management (PIM) . Takie podejście umożliwia przyznawanie podwyższonych uprawnień tylko wtedy, gdy jest to konieczne, co zmniejsza ryzyko związane z trwałym dostępem. Aby uzyskać więcej informacji, zobacz Konfigurowanie dostępu just in time dla grup administratorów.
• Włącz uwierzytelnianie wieloskładnikowe firmy Microsoft (MFA): Dodaj dodatkową warstwę zabezpieczeń przy użyciu uwierzytelniania wieloskładnikowego. Aby uzyskać więcej informacji, zobacz Włącz Microsoft Entra uwierzytelnianie wieloskładnikowe.
• Zmień zasady zabezpieczeń: Zarządzanie zasadami zabezpieczeń, w tym dostępem warunkowym. Aby uzyskać więcej informacji, zobacz Zmień połączenie aplikacji & polityki bezpieczeństwa dla Twojej organizacji.

Aby uzyskać więcej informacji na temat uprawnień, zobacz następujące artykuły:

• Przewodnik wyszukiwania uprawnień i ról
• Ustawianie indywidualnych uprawnień
• Odniesienie do uprawnień, grup zabezpieczeń i kont usług

Wybieranie odpowiedniej metody uwierzytelniania

Podczas wybierania odpowiedniej metody uwierzytelniania dla środowiska usługi Azure DevOps należy wziąć pod uwagę korzyści z zabezpieczeń i zarządzania różnymi opcjami. Korzystanie z bezpiecznych metod uwierzytelniania pomaga chronić zasoby i zapewnia, że tylko autoryzowani użytkownicy i usługi mogą uzyskiwać dostęp do środowiska usługi Azure DevOps. Rozważ użycie podmiotów usługi, tożsamości zarządzanych oraz Microsoft Entra, aby zwiększyć bezpieczeństwo i usprawnić zarządzanie dostępem.

• Użyj jednostek usługi: Reprezentują obiekty zabezpieczeń w aplikacji Microsoft Entra. Zdefiniuj, co aplikacja może zrobić u danego najemcy. Konfiguracja podczas rejestracji aplikacji w portalu Azure. Konfigurowanie dostępu do zasobów platformy Azure, w tym usługi Azure DevOps. Przydatne w przypadku aplikacji wymagających określonego dostępu i kontroli.
• Użyj tożsamości zarządzanych: podobnie jak podmiot usługi aplikacji. Podaj tożsamości dla zasobów platformy Azure. Zezwalaj usługom obsługującym uwierzytelnianie Microsoft Entra na udostępnianie poświadczeń. Platforma Azure automatycznie obsługuje zarządzanie poświadczeniami i rotację. Idealne rozwiązanie do bezproblemowego zarządzania szczegółami logowania.
• użyj identyfikatora Entra firmy Microsoft:
  • Utwórz pojedynczą płaszczyznę dla tożsamości, łącząc usługę Azure DevOps z identyfikatorem Entra firmy Microsoft. Ta spójność zmniejsza dezorientację i minimalizuje zagrożenia bezpieczeństwa wynikające z błędów konfiguracji ręcznej.
  • Uzyskać dostęp do organizacji za pomocą identyfikatora Entra firmy Microsoft i przypisać różne role i uprawnienia do określonych grup w różnych zakresach zasobów. Ta akcja implementuje szczegółowe zarządzanie, zapewnia kontrolowany dostęp i jest zgodny z najlepszymi rozwiązaniami w zakresie zabezpieczeń.
  • Użyj zasad dostępu warunkowego , które definiują reguły dostępu na podstawie warunków, takich jak lokalizacja , urządzenie lub poziom ryzyka.

Zarządzanie dostępem gościa zewnętrznego

Aby zapewnić bezpieczeństwo i właściwe zarządzanie dostępem gościa zewnętrznego, zaimplementuj określone środki kontrolujące i monitorujące sposób interakcji użytkowników zewnętrznych ze środowiskiem usługi Azure DevOps. Dostęp gościa zewnętrznego może powodować potencjalne zagrożenia bezpieczeństwa, jeśli nie są prawidłowo zarządzane. Wykonując te działania, można zminimalizować te zagrożenia i zapewnić, że goście zewnętrzni mają odpowiedni poziom dostępu bez naruszania bezpieczeństwa środowiska.

• Blokuj dostęp gościa zewnętrznego: wyłącz zasadę "Zezwalaj na wysyłanie zaproszeń do dowolnej domeny", aby zapobiec dostępowi gościa zewnętrznego, jeśli nie ma ku temu potrzeby biznesowej.
• Użyj odrębnych wiadomości e-mail lub nazw UPN: użyj różnych adresów e-mail lub głównych nazw użytkowników (UPN) dla kont osobistych i biznesowych, aby wyeliminować niejednoznaczność między kontami osobistymi i służbowymi.
• Grupuj zewnętrznych użytkowników-gości: umieść wszystkich zewnętrznych użytkowników-gości w jednej grupie Firmy Microsoft Entra i odpowiednio zarządzaj uprawnieniami dla tej grupy. Usuń przypisania bezpośrednie, aby upewnić się, że reguły grupy mają zastosowanie do tych użytkowników.
• Regularnie oceniaj reguły: regularnie przeglądaj reguły na karcie Reguły grupy na stronie Użytkownicy. Rozważ wszelkie zmiany członkostwa w grupie w identyfikatorze Entra firmy Microsoft, które mogą mieć wpływ na Twoją organizację. Microsoft Entra ID może zająć do 24 godzin na zaktualizowanie członkostwa w grupie dynamicznej, a reguły są automatycznie ponownie oceniane co 24 godziny oraz za każdym razem, gdy zmienia się reguła grupy.

Aby uzyskać więcej informacji, zobacz B2B Gości w Microsoft Entra ID.

Implementowanie zera zaufania

Aby zwiększyć bezpieczeństwo, należy przyjąć zasady zero trust w procesach DevOps. Takie podejście zapewnia, że każde żądanie dostępu jest dokładnie weryfikowane, niezależnie od jego pochodzenia. Zero Trust działa na zasadzie "nigdy nie ufaj, zawsze sprawdzaj", co oznacza, że żadna jednostka, zarówno wewnątrz, jak i poza siecią, nie jest domyślnie zaufana. Implementując zero trust, można znacznie zmniejszyć ryzyko naruszeń zabezpieczeń i upewnić się, że tylko autoryzowani użytkownicy i urządzenia mogą uzyskiwać dostęp do zasobów.

• Przyjmij podejście Zero Trust: Wdrażanie zasad Zero Trust w celu wzmocnienia platformy DevOps, zabezpieczenia środowiska deweloperskiego orazbezproblemową integrację z przepływami pracy deweloperów. Zero Trust pomaga chronić przed ruchem lateralnym w sieci, zapewniając, że nawet jeśli istnieje naruszona część sieci, zagrożenie jest powstrzymane i nie może się rozprzestrzeniać.

Aby uzyskać więcej informacji, zapoznaj się z przewodnikiem oceny Zero Trust .

Usuwanie użytkowników

Aby upewnić się, że tylko aktywni i autoryzowani użytkownicy mają dostęp do środowiska usługi Azure DevOps, regularnie przeglądaj dostęp użytkowników i zarządzaj nimi. Usunięcie nieaktywnych lub nieautoryzowanych użytkowników pomaga zachować bezpieczne środowisko i zmniejszyć ryzyko potencjalnych naruszeń zabezpieczeń. Wykonując te czynności, możesz upewnić się, że środowisko usługi Azure DevOps pozostaje bezpieczne i że tylko niezbędne osoby mają dostęp.

• Usuń nieaktywnych użytkowników z kont Microsoft (MSA): Bezpośrednio usuwać nieaktywnych użytkowników z organizacji, jeśli korzystają z kont MSA. Nie można tworzyć zapytań dotyczących elementów roboczych przypisanych do usuniętych kont MSA. Aby uzyskać więcej informacji, zobacz Usuwanie użytkowników z organizacji.
• Wyłącz lub usuń konta użytkowników usługi Microsoft Entra: jeśli nawiązane połączenie z identyfikatorem Entra firmy Microsoft, wyłącz lub usuń konto użytkownika Microsoft Entra przy zachowaniu aktywnego konta użytkownika usługi Azure DevOps. Ta akcja umożliwia kontynuowanie wykonywania zapytań dotyczących historii elementów roboczych przy użyciu identyfikatora użytkownika usługi Azure DevOps.
• Cofnij użytkowników PAT: Zapewnij bezpieczne zarządzanie tymi krytycznymi tokenami uwierzytelniania, regularnie przeglądając i cofając wszelkie istniejące PAT użytkowników. Aby uzyskać więcej informacji, zobacz Cofnięcie tokenów dostępu osobistego użytkowników dla administratorów.
• Odwoływanie specjalnych uprawnień przyznanych poszczególnym użytkownikom: przeprowadź inspekcję i odwoływanie wszelkich specjalnych uprawnień przyznanych poszczególnym użytkownikom w celu zapewnienia zgodności z zasadą najniższych uprawnień.
• Przypisz ponownie pracę od usuniętych użytkowników: Przed usunięciem użytkowników przydziel ponownie zadania do bieżących członków zespołu w celu efektywnego rozłożenia obciążenia.

Zakres kont usług

Konta usług są używane do uruchamiania zautomatyzowanych procesów i usług i często mają podwyższone uprawnienia. Prawidłowo określając zakres kont usług i zarządzając nimi, można zminimalizować zagrożenia bezpieczeństwa i upewnić się, że te konta są odpowiednio używane.

• Tworzenie kont usług jednofunkcyjnych: każda usługa powinna mieć swoje dedykowane konto, aby zminimalizować ryzyko. Unikaj używania zwykłych kont użytkowników jako kont usług.
• Użyj menedżera zasobów Azure: Uwierzytelniaj się z zasobami Azure, korzystając z federacji tożsamości dla aplikacji za pomocą rejestracji aplikacji lub tożsamości zarządzanej, zamiast używania rejestracji aplikacji z sekretem. Aby uzyskać więcej informacji, zobacz Use Azure Resource Manager.
• Identyfikowanie i wyłączanie nieużywanych kont usług: regularnie przeglądaj i identyfikuj konta, które nie są już używane. Wyłącz nieużywane konta przed rozważeniem usunięcia.
• Ogranicz uprawnienia: ogranicz uprawnienia konta usługi do minimum niezbędnego. Unikaj interaktywnych praw logowania dla kont usług.
• Użyj oddzielnych tożsamości dla czytelników raportów: jeśli używasz kont domeny dla kont usług, użyj innej tożsamości dla czytelników raportów, aby odizolować uprawnienia i zapobiec niepotrzebnemu dostępowi.
• Użyj kont lokalnych dla instalacji grup roboczych: podczas instalowania składników w grupie roboczej użyj kont lokalnych dla kont użytkowników. Unikaj kont użytkowników domeny w tym scenariuszu.
• Użyj połączeń usług: Używaj połączeń z usługami, gdy jest to możliwe, aby bezpiecznie łączyć się z usługami bez bezpośredniego przekazywania zmiennych tajnych do kompilacji. Ogranicz połączenia z określonymi przypadkami użycia. Aby uzyskać więcej informacji, zobacz sekcję Połączenia usług w zakresie w tym artykule.
• Monitorowanie aktywności konta usługi: zaimplementuj audyt i utwórz strumienie audytu w celu monitorowania aktywności konta usługi.

Zakres połączeń usługowych

Aby zapewnić bezpieczny i wydajny dostęp do zasobów platformy Azure, należy prawidłowo określać zakres połączeń usług. Połączenia usług umożliwiają usłudze Azure DevOps łączenie się z usługami i zasobami zewnętrznymi, a określenie zakresu tych połączeń pozwala ograniczyć dostęp tylko do niezbędnych zasobów i zmniejszyć ryzyko nieautoryzowanego dostępu.

• Ogranicz dostęp: Ogranicz dostęp, określając zakres połączeń usługi Azure Resource Manager z określonymi zasobami i grupami. Nie udzielaj szerokich praw współautora w całej subskrypcji platformy Azure.
• Użyj usługi Azure Resource Manager: Uwierzytelnianie za pomocą zasobów platformy Azure przy użyciu federacji tożsamości dla obciążeń z rejestracją aplikacji lub tożsamością zarządzaną zamiast używania rejestracji aplikacji z tajnym kluczem. Aby uzyskać więcej informacji, zobacz Utwórz połączenie usługi Azure Resource Manager, które wykorzystuje federację tożsamości obciążenia.
• Określ zakres grup zasobów: upewnij się, że grupy zasobów zawierają tylko maszyny wirtualne lub zasoby potrzebne do procesu tworzenia.
• Unikaj połączeń usługi klasycznej: Wybierz nowoczesne połączenia usługi Azure Resource Manager zamiast klasycznych, które nie mają opcji określania zakresu.
• Użyj kont usług zespołowych specyficznych dla celu: Uwierzytelnianie połączeń usług przy użyciu kont usług zespołowych specyficznych dla celu w celu zachowania zabezpieczeń i kontroli.

Aby uzyskać więcej informacji, zobacz Typowe typy połączeń usługi.

Włączanie i przeglądanie zdarzeń audytowych

Aby zwiększyć bezpieczeństwo i monitorować wzorce użycia w organizacji, włącz i regularnie przeglądaj zdarzenia inspekcji. Inspekcja ułatwia śledzenie akcji użytkownika, zmian uprawnień i zdarzeń zabezpieczeń, co pozwala na szybkie identyfikowanie i rozwiązywanie potencjalnych problemów z zabezpieczeniami.

• Włącz inspekcję: Śledzenie i wyświetlanie zdarzeń związanych z akcjami użytkownika, uprawnieniami, zmianami i zdarzeniami zabezpieczeń. Aby uzyskać więcej informacji, zobacz Włączanie lub wyłączanie inspekcji.
• Regularnie przeglądać wydarzenia audytowe: Regularnie przeglądać dzienniki inspekcji w celu monitorowania działań użytkowników i wykrywania wszelkich podejrzanych zachowań. Poszukaj nieoczekiwanych wzorców użycia, zwłaszcza przez administratorów i innych użytkowników. Ta akcja pomaga zidentyfikować potencjalne naruszenia zabezpieczeń i podejmuje działania naprawcze. Aby uzyskać więcej informacji, zobacz Przejrzyj dziennik inspekcji i zdarzenia inspekcji .
• Konfigurowanie alertów zabezpieczeń: Konfigurowanie alertów w celu powiadamiania o wszelkich zdarzeniach zabezpieczeń lub naruszeniach zasad. Ta akcja zapewnia terminowe reagowanie na potencjalne zagrożenia.

Ochrona danych

Aby zapewnić bezpieczeństwo i integralność danych, zaimplementuj środki ochrony danych. Ochrona danych obejmuje strategie szyfrowania, tworzenia kopii zapasowych i odzyskiwania w celu ochrony przed utratą danych i nieautoryzowanym dostępem.

• Chroń dane: Chroń dane przy użyciu strategii szyfrowania, tworzenia kopii zapasowych i odzyskiwania. Aby uzyskać więcej informacji, zobacz Ochrona danych.
• Dodaj adresy IP i adresy URL do listy dozwolonych: Jeśli organizacja jest zabezpieczona za pomocą zapory lub serwera proxy, dodaj adresy IP i adresy URL do listy dozwolonych. Aby uzyskać więcej informacji, zobacz Dozwolone adresy IP i adresy URL domeny.

Powiązane artykuły

• Lokalizacje danych dla usługi Azure DevOps
• Microsoft Security Development Lifecycle
• Centrum zaufania Azure