上下文:我们有一个 VSTS 帐户 https://blahblahblah.visualtudio.com 我们已将其配置为通过使用 Azure Premium 条件访问并指定我们工作网络的公共 IP 来阻止外部访问。因此,内部网络外部的客户端会阻止交互式访问。
但这不会阻止个人访问令牌 (PAT)。我也没有看到禁用或阻止使用 PAT 的设置。PAT 可以允许通过 REST API 访问我们 VSTS 帐户中的大部分数据。如果没有像 Azure AD Premium 条件访问(白名单)这样的机制,世界上任何人都可以通过窃取 PAT 来访问或修改我们的数据。这对我来说似乎是一个巨大的安全漏洞。我是否缺少对该漏洞的控制?
理想情况下,我们应该在 VSTS 中有一个白名单,而不必依赖 Azure AD Premium。那么 VSTS 服务将阻止并非源自我们指定的安全位置的交互和 API 调用。但据我所知,这并不存在。
那么,我们如何保护我们的数据免受世界各地可能通过 API 路径和被盗 PAT 访问我们的帐户数据的用户的影响呢?
您可以禁用基本身份验证和备用凭据,但这也会禁用 VSTS 上的一些功能(例如 SSH Git 和来自不支持 OAuth 工作流的某些工具的 Git 访问)。
不幸的是,不能以这种方式禁用个人访问令牌。尽管您可以让人们将范围限制在他们的代币上,并让他们只创建有限时间的代币。
将来与 AAD 的集成可能会更加紧密,并且能够检查 AAD 条件访问。
另一个重要注意事项:一旦用户使用 AAD 登录,他们就可以将他们的笔记本电脑/设备带到另一个位置。只要 AAD 身份验证仍然有效,就不会阻止他们从其他位置访问。据我所知,在 VSTS 的情况下,登录和更新令牌时会检查条件访问。
目前,只有在您的用户方面进行尽职调查才能防止未经授权访问您的帐户。让他们像对待其他重要秘密信息一样对待他们的 PAT。使用短期 PAT,将其范围限制在需要的范围内,并将其安全地存储在 Lastpass 或 Keepass 等密码库中。
PS:在云世界中,机器会定期获得新的 IP 地址分配,而 IPv6 将使挑选出机器组变得更加困难,纯粹的 IP 限制并不是保证数据安全的方法。IP也是比较容易被欺骗或隐藏的东西之一。