Обеспечение организации в Azure DevOps — довольно важно вещь которую нужно сделать.
Сегодня я покажу вам, как вы можете сделать это, используя инструменты, такие как политики безопасности, многофакторная аутентификация и многое другое.
вступление
Я решил сделать этот пост, потому что работа со многими компаниями и организациями, я заметил, что часто безопасность инструментов развития и сред не является приоритетом.
Но вопрос: Как вы можете сохранить свою продукцию, если вы не заботитесь обо всех предыдущих этапах и средах ? И в любом случае часто бывают инструменты, такие как Azure DevOps и Azure Povelines, доступа к производству в какой-то форме, особенно для развертывания … Итак, лучше держать все безопасно и безопасно, верно?
Есть много инструментов, которые мы можем использовать для Защитите нашу организацию Azure DevOps . Я постараюсь прикрыть большинство из них здесь, но дайте мне знать в разделе «Комментарий» ниже, если у вас есть какое-либо другое дело или сценарий, вы хотели бы, чтобы я охватил, или если вы используете инструмент или методику, я не упомянул.
видео
Как обычно, если вы Визуальный учащийся или просто предпочитаю смотреть и слушать вместо чтения, здесь у вас есть Видео со всем объяснением и демонстрацией , который, чтобы быть честным, много более полный чем этот пост.
Ссылка на видео: https://youtu.be/nrYSu_046cw
Если вы скорее предпочитаете читать, ну … Давайте просто продолжим:)
Подключиться к AAD
Первое, что вы хотите сделать в вашей организации Azure DevOps, это Соединение организации Azure DevOps с вашим арендом Azure Ad Отказ Это, как мы увидим, приносит так много преимуществ к столу. Преимущества, такие как сильные управление личности , MFA (Мультифакторная аутентификация), Политики доступа , и т.д.
Смотреть видео Чтобы увидеть, как подключить Azure для AD
Обратите внимание, что вам нужно сделать это с учетной записью, которая имеет правильные разрешения В вашем Adure AD.
Кроме того, если у вас уже есть другие пользователи в вашей организации Azure DEVOPS, которые не принадлежат к Azure Ad Aredant, вы выбрали, они временно потеряют доступ к организации. Вы можете в конце концов карта их обратно другим пользователям или пригласить их к вашему Azure AD.
Хорошо, теперь, когда ваша организация Azure DevOps подключена к Azure AD, давайте посмотрим, что мы можем сделать с этим.
Динамический доступ пользователя
Первая классная вещь — это динамический доступ пользователя. Допустим, у вас есть несколько групп в Azure AD, где все ваши разработчики. Вы можете Динамически добавить доступ Для проекта Azure DEVOPS используют правило группы Azure AD.
Просто пойти в Пользователи Под настройками вашей организации, затем нажмите Групповые правила и Добавить групповое правило Отказ
Поиск группы у вас в Azure AD, выберите уровень доступа, который вы хотите предоставить, и проекты, которые вы хотите предоставить.
Вот и все, теперь Каждый пользователь рекламы в этой группе сможет получить доступ Проекты, которые вы выбрали, с установленным вами уровнем доступа.
Вы всегда можете добавлять или удалять проекты, а администраторы AD могут управлять этими доступами, не используя настройки Azure DEVOPS, непосредственно от Azure AD.
Об этом больше, мы просто царапаем здесь поверхность, поэтому дайте мне знать в разделе комментариев ниже, если вы хотите увидеть, как это рассмотрен более подробно.
Условные политики доступа
Вероятно, самая полезная вещь, которую вы можете сделать благодаря Azure Active Directory, и я обещаю, что после этого мы перейдем к чему-то, что не требует AAD, кроме бонуса один в конце, включает в себя Валидация политики условного доступа Отказ
Вы можете найти этот параметр под меню « Policies » меню « Настройки организации ».
Когда вы включите его, вы сможете обеспечить все, что у вас есть политики в AAD.
Такие вещи, как позволить соединению на Azure DevOps только от Конкретные IP-адреса или Авторизованные компьютеры , и так далее.
Больше политики
Мы только что видели страницу политики при включении условного доступа от AAD, но к нему больше. Как видите, Доступные политики, которые вы можете включить варьироваться Есть ли у вас ваша организация, связанная с AAD или нет, но есть некоторые распространенные.
Первый, Альтернативные полномочия Для аутентификации не следует на самом деле больше там. Уйду очень скоро, так отключите его сразу и вместо этого используйте личные токены доступа. Если вы хотите знать, как создать патент в Azure DEVOPS, у меня есть пост и видео, которое объясняет только что Отказ
Вторая политика заключается в том, чтобы включить 3-е сторонние приложения для подключения к Azure DevOps, используя ОАУТ Отказ
По умолчанию он включен, но вы можете отключить его, если не планируете использовать любое стороннее приложение. Я бы не рекомендовал это Хотя, потому что больше всего, как вы будете использовать приложения, которые нуждаются в ОАУТ.
Следующий аналогичен, но это покрывает SSH Аутентификация Отказ
Опять же, это включено по умолчанию, и, как называется, он позволяет Azure DEVOPS на генерировать ключи шифрования Для использования с Linux, MacOS и Windows Runing Git для Windows. Я бы не рекомендовал отключить это.
Наконец, здесь у нас есть Разрешить публичные проекты политика.
Как говорит название, когда включено он дает возможность пользователям создавать публичные проекты . Он отключен по умолчанию, потому что Общественные проекты видны для всех У кого есть ссылка на них. Включите это только в том случае, если вы хотите, чтобы ваш код публично доступен.
Разрешения организации
Последняя тема Я хочу поговорить о сегодняшнем дворе, — это точная настройка разрешений вашей организации. Azure DevOps имеет Большая и богатая система управления разрешениями Отказ
Смотреть видео чтобы увидеть это в действии
Перейти к меню « Разрешения » в меню Настройки организации , ты можешь Тонкая настройка всех разрешений Если они не соответствуют политикам вашей компании или они не соответствуют вашим потребностям. Здесь вы можете управлять политиками для Группы и пользователи отдельно Отказ
Работа на Группы , вы можете установить разрешения для каждой части услуги. Например, группа, которая должна работать только на Ci \ CD, не понадобится доступа к созданию процессов для азаронных досок, чтобы вы могли удалить это. Вы можете добавить членов в группу и изменить его Общие настройки Отказ
При работе на Пользователи вместо этого вы действительно можете точно настроить все свои разрешения. Допустим, у вас есть пользователь, который должен быть в состоянии выполнить некоторые дополнительные операции , либо экстраорная или как часть его долга. Вы можете легко получить доступ к своему профилю и включить их на необходимые разрешения. Это будет Переопределить Разрешения пользователя в составе групп, которые они находятся.
Отключить создание организации
Хорошо, почти сделано. Но как обещал, а Бонусная политика для тебя.
Работа с множеством клиентов, я заметил, что есть тенденция, где Все отделы компании создают новые организации В Azure DEVOPS, и IT-отдел не может контролировать настройки безопасности, и у кого есть права на доступ к исходному коду.
Однако благодаря интеграции Azure AD У нас есть решение Отказ
В Azure Active Directory Страница под Настройки организации На самом деле, у нас есть этот Ограничение межггита создания организации .
При включении создание новых организаций для пользователей в вашем AAD будет отключено. Только пользователи в Администратор Azure DevOps Группа и пользователи, которые вы добавляете в « Разрешить список », смогут создавать новые ORGS.
Если вы не видите переключателя в ваших настройках, убедитесь, что пользователь вы вошли в систему в Azure DEVOPS, с добавленным в «Azure DEVOPS DEVOPOOPS MARGES COMPORE » в вашем Adure AD. По умолчанию пользователя нет.
Выводы
Хорошо, вот это за сегодня.
Дайте мне знать в разделе «Комментарий» ниже, если вы нашли это руководство полезным, если вы используете любую другую технику, чтобы обеспечить Azure DEVOPS, и если есть какая-либо область, которую вы хотели бы, чтобы я хотел бы глубже.
Вы также можете посмотреть Это видео здесь , где я объясню, как создать токены личного доступа.
Вроде, поделиться и следуй за мной 🚀 Для получения дополнительной информации:
📽 YouTube ☕. Купи мне кофе 💖 Парреон 👕 Merch 👦🏻 Страница в Facebook 🐱💻 Github 👲🏻 Twitter 👴🏻 LinkedIn 🔉 Подкас
Оригинал: «https://dev.to/n3wt0n/secure-your-azure-devops-organization-now-42l2»