上下文: 我们有一个VSTS账户https://blahblahblah.visualtudio.com 我们已经配置它阻止外部访问,通过使用Azure Premium条件访问并指定我们工作网络的公有IP。因此交互式访问被内部网络之外的客户端阻止。我们如何保护VSTS中的数据免于通过API访问?
但是这不会阻止个人访问令牌(PAT)。我也看不到禁用或阻止使用PAT的设置。 PAT可以允许通过REST API访问我们VSTS账户中的大部分数据。如果没有像Azure AD Premium条件访问(白名单)这样的机制,世界上任何人都可以通过窃取PAT来访问或修改我们的数据。这对我来说似乎是一个巨大的安全漏洞。我是否缺少对该漏洞的控制?
理想情况下,我们将在VSTS中拥有白名单,而不必依赖Azure AD Premium。那么VSTS服务将阻止那些不是源自我们指定的安全位置的交互式和API调用。但据我所知,这并不存在。
那么,我们如何保护来自世界各地的用户的数据,这些用户可能通过API路径和被盗的PAT访问我们的账户数据?
谢谢你的回答,杰西。我很害怕这个。 –
我将为此创建一个用户语音项目。我认为这是一个安全缺口。由于我们今天不使用该API,因此它扩大了我们的附加风险,不会带来任何好处。你的建议在这一刻似乎是最好的。 –
关于不断变化的IP事情,你是对的,基于IP的白名单对于从个人ISP连接的家庭中工作的个人来说是有问题的。但对于许多具有可预测范围内的NAT和分配网络的企业来说,这是非常实用的。总的来说,我所看到的是供应商渴望提供新功能,并且努力确保具有多层和控制功能的这些功能滞后。 –