我們如何保護VSTS中的數據免於通過API訪問？

Question

上下文： 我們有一個VSTS賬戶https://blahblahblah.visualtudio.com 我們已經配置它阻止外部訪問，通過使用Azure Premium條件訪問並指定我們工作網絡的公有IP。因此交互式訪問被內部網絡之外的客戶端阻止。

但是這不會阻止個人訪問令牌（PAT）。我也看不到禁用或阻止使用PAT的設置。 PAT可以允許通過REST API訪問我們VSTS賬戶中的大部分數據。如果沒有像Azure AD Premium條件訪問（白名單）這樣的機制，世界上任何人都可以通過竊取PAT來訪問或修改我們的數據。這對我來說似乎是一個巨大的安全漏洞。我是否缺少對該漏洞的控制？

理想情況下，我們將在VSTS中擁有白名單，而不必依賴Azure AD Premium。那麼VSTS服務將阻止那些不是源自我們指定的安全位置的交互式和API調用。但據我所知，這並不存在。

那麼，我們如何保護來自世界各地的用戶的數據，這些用戶可能通過API路徑和被盜的PAT訪問我們的賬戶數據？

Answer 1

您可以禁用基本身份驗證和備用憑證，但是這也會禁用VSTS上的一些功能（例如，SSH Git和一些不支持OAuth工作流的工具訪問Git）。

個人訪問令牌不能被禁用不幸的是這種方式。雖然你可以讓人們將範圍限制在他們的令牌中，並讓他們只創造有限的時間令牌。

未來與AAD的整合將更加緊密，並且能夠檢查AAD條件接入。

另一個重要的注意事項：一旦用戶使用AAD登錄，他們可以將他們的筆記本電腦/設備隨身攜帶到另一個位置。只要AAD身份驗證仍然有效，它們就不會被阻止從其他位置訪問。就我所知，在VSTS的情況下，在登錄和續訂令牌時檢查條件訪問。

現在只有您的用戶盡職調查可以防止未經授權訪問您的帳戶。讓他們像對待其他重要的祕密信息一樣對待他們的PAT。使用持續時間較短的PAT，將其範圍限制爲僅需要的並將其安全地存儲在密碼保險庫（如Lastpass或Keepass）中。 PS：在一個雲計算世界中，機器會定期分配新的IP地址，而IPv6將使得難以挑選出多組機器，純粹的IP限制是而不是確保數據安全的方式。知識產權也是相對容易被欺騙或隱藏的事情之一。