上下文: 我們有一個VSTS賬戶https://blahblahblah.visualtudio.com 我們已經配置它阻止外部訪問,通過使用Azure Premium條件訪問並指定我們工作網絡的公有IP。因此交互式訪問被內部網絡之外的客戶端阻止。我們如何保護VSTS中的數據免於通過API訪問?
但是這不會阻止個人訪問令牌(PAT)。我也看不到禁用或阻止使用PAT的設置。 PAT可以允許通過REST API訪問我們VSTS賬戶中的大部分數據。如果沒有像Azure AD Premium條件訪問(白名單)這樣的機制,世界上任何人都可以通過竊取PAT來訪問或修改我們的數據。這對我來說似乎是一個巨大的安全漏洞。我是否缺少對該漏洞的控制?
理想情況下,我們將在VSTS中擁有白名單,而不必依賴Azure AD Premium。那麼VSTS服務將阻止那些不是源自我們指定的安全位置的交互式和API調用。但據我所知,這並不存在。
那麼,我們如何保護來自世界各地的用戶的數據,這些用戶可能通過API路徑和被盜的PAT訪問我們的賬戶數據?
謝謝你的回答,傑西。我很害怕這個。 –
我將爲此創建一個用戶語音項目。我認爲這是一個安全缺口。由於我們今天不使用該API,因此它擴大了我們的附加風險,不會帶來任何好處。你的建議在這一刻似乎是最好的。 –
關於不斷變化的IP事情,你是對的,基於IP的白名單對於從個人ISP連接的家庭中工作的個人來說是有問題的。但對於許多具有可預測範圍內的NAT和分配網絡的企業來說,這是非常實用的。總的來說,我所看到的是供應商渴望提供新功能,並且努力確保具有多層和控制功能的這些功能滯後。 –