我们如何保护VSTS中的数据免于通过API访问？

Question

上下文： 我们有一个VSTS账户https://blahblahblah.visualtudio.com 我们已经配置它阻止外部访问，通过使用Azure Premium条件访问并指定我们工作网络的公有IP。因此交互式访问被内部网络之外的客户端阻止。

但是这不会阻止个人访问令牌（PAT）。我也看不到禁用或阻止使用PAT的设置。 PAT可以允许通过REST API访问我们VSTS账户中的大部分数据。如果没有像Azure AD Premium条件访问（白名单）这样的机制，世界上任何人都可以通过窃取PAT来访问或修改我们的数据。这对我来说似乎是一个巨大的安全漏洞。我是否缺少对该漏洞的控制？

理想情况下，我们将在VSTS中拥有白名单，而不必依赖Azure AD Premium。那么VSTS服务将阻止那些不是源自我们指定的安全位置的交互式和API调用。但据我所知，这并不存在。

那么，我们如何保护来自世界各地的用户的数据，这些用户可能通过API路径和被盗的PAT访问我们的账户数据？

Answer 1

您可以禁用基本身份验证和备用凭证，但是这也会禁用VSTS上的一些功能（例如，SSH Git和一些不支持OAuth工作流的工具访问Git）。

个人访问令牌不能被禁用不幸的是这种方式。虽然你可以让人们将范围限制在他们的令牌中，并让他们只创造有限的时间令牌。

未来与AAD的整合将更加紧密，并且能够检查AAD条件接入。

另一个重要的注意事项：一旦用户使用AAD登录，他们可以将他们的笔记本电脑/设备随身携带到另一个位置。只要AAD身份验证仍然有效，它们就不会被阻止从其他位置访问。就我所知，在VSTS的情况下，在登录和续订令牌时检查条件访问。

现在只有您的用户尽职调查可以防止未经授权访问您的帐户。让他们像对待其他重要的秘密信息一样对待他们的PAT。使用持续时间较短的PAT，将其范围限制为仅需要的并将其安全地存储在密码保险库（如Lastpass或Keepass）中。 PS：在一个云计算世界中，机器会定期分配新的IP地址，而IPv6将使得难以挑选出多组机器，纯粹的IP限制是而不是确保数据安全的方式。知识产权也是相对容易被欺骗或隐藏的事情之一。