Consigli strutturare in modo sicuro i progetti nella pipeline

Oltre alla scalabilità delle singole risorse, è consigliabile prendere in considerazione anche gruppi di risorse. In Azure DevOps, le risorse sono raggruppate in base ai progetti team. È importante comprendere le risorse a cui la pipeline può accedere in base alle impostazioni del progetto e al contenimento.

Ogni processo nella pipeline riceve un token di accesso. Questo token ha le autorizzazioni per leggere le risorse aperte. In alcuni casi, le pipeline potrebbero anche aggiornare tali risorse. In altre parole, l'account utente potrebbe non avere accesso a una determinata risorsa, ma gli script e le attività in esecuzione nella pipeline potrebbero avere accesso a tale risorsa. Il modello di sicurezza in Azure DevOps consente anche l'accesso a queste risorse da altri progetti nell'organizzazione. Se si sceglie di arrestare l'accesso alla pipeline ad alcune di queste risorse, la decisione si applica a tutte le pipeline in un progetto. A una pipeline specifica non può essere concesso l'accesso a una risorsa aperta.

Separare i progetti

Data la natura delle risorse aperte, è consigliabile gestire ogni prodotto e team in un progetto separato. Questa procedura garantisce che una pipeline da un prodotto non possa accedere alle risorse aperte da un altro prodotto. In questo modo si evita l'esposizione laterale. Quando più team o prodotti condividono un progetto, non è possibile isolare in modo granulare le risorse l'una dall'altra.

Se l Azure DevOps'organizzazione è stata creata prima di agosto 2019, le esecuzioni potrebbero essere in grado di accedere alle risorse aperte in tutti i progetti dell'organizzazione. L'amministratore dell'organizzazione deve esaminare un'impostazione di sicurezza chiave Azure Pipelines che consenta l'isolamento del progetto per le pipeline. È possibile trovare questa impostazione inImpostazioni Azure DevOps organizzazionePipelinesImpostazioni. Oppure passare direttamente al percorso Azure DevOps seguente: https://dev.azure.com/ORG-NAME/_settings/pipelinessettings .

Screenshot dell'interfaccia utente dell'ambito di autorizzazione del processo

Passaggi successivi

Dopo aver configurato la struttura del progetto giusta, migliorare la sicurezza di runtime usando i modelli.