3

コンテキスト: VSTS アカウント を持っていますhttps://blahblahblah.visualtudio.com Azure Premium 条件付きアクセスを使用し、職場ネットワークのパブリック IP を指定することで、外部アクセスをブロックするように構成しました。そのため、内部ネットワーク外のクライアントからのインタラクティブ アクセスはブロックされます。

ただし、これは Personal Access Token (PAT) をブロックしません。また、PAT の使用を無効またはブロックする設定も表示されません。PAT を使用すると、REST API を介して VSTS アカウントのほとんどのデータにアクセスできます。Azure AD Premium 条件付きアクセス (ホワイトリスト) のようなメカニズムがなければ、世界中の誰もが PAT を盗むだけでデータにアクセスしたり変更したりできます。これは私にとって巨大なセキュリティ ホールのように思えます。その脆弱性を制御できていないのでしょうか?

理想的には、Azure AD Premium に依存するのではなく、VSTS にホワイトリストを用意する必要があります。VSTS サービスは、指定された安全な場所以外で発生したインタラクティブな呼び出しと API 呼び出しの両方をブロックします。しかし、それは私の知る限り存在しません。

では、API パスと盗まれた PAT を介してアカウント データにアクセスする可能性のある世界中のユーザーからデータを保護するにはどうすればよいでしょうか?

4

1 に答える 1

2

基本認証と代替資格情報を無効にすることもできますが、VSTS のいくつかの機能 (OAuth ワークフローをサポートしていないツールからの SSH Git や Git アクセスなど) も無効になります。

ここに画像の説明を入力

残念ながら、この方法で Personal Access Token を無効にすることはできません。ただし、スコープを自分のトークンに制限し、限られた時間のトークンのみを作成させることもできます。

将来的には、AAD との統合がより緊密になり、AAD 条件付きアクセスを確認できるようになる可能性があります。

もう 1 つの重要な注意事項: ユーザーが AAD を使用してログオンすると、ラップトップ/デバイスを別の場所に持ち込むことができます。AAD 認証がまだ有効である限り、他の場所からのアクセスはブロックされません。私の知る限り、VSTSの場合、ログインとトークンの更新時に条件付きアクセスがチェックされます。

現時点では、アカウントへの不正アクセスを防止できるのは、ユーザー側のデューデリジェンスのみです。他の重要な秘密情報を扱うのと同じように PAT を扱うように指示します。短期間の PAT を使用し、スコープを必要なものだけに限定して、Lastpass や Keepass などのパスワード ボールトに安全に保存します。

追伸: マシンに定期的に新しい IP アドレスが割り当てられ、IPv6 によってマシンのグループを特定することが難しくなるクラウドの世界では、純粋な IP 制限はデータを安全に保つ方法ではありません。IP は、なりすましや隠蔽が比較的容易なものの 1 つでもあります。

于 2016-07-15T18:17:52.513 に答える