Veri korumaya genel bakış
Azure DevOps Services
Azure DevOps Services, geliştirme projeleriniz için planlamadan dağıtıma kadar bulutta barındırılan bir uygulamadır. Diğer bulut hizmetleriyle Visual Studio Team Foundation Server özelliklerine bağlı olarak Azure DevOps kodunuzu, iş öğelerinizi, derlemelerinizi ve testlerinizi yönetir. Geliştirme projeleriniz için güvenilir, küresel olarak kullanılabilir bir hizmet sunmak için hizmet olarak platform (PaaS) altyapısını ve Azure SQL dahil birçok Azure hizmetini kullanır.
Bu makalede, Microsoft'un projelerinizi güvende, kullanılabilir, güvenli ve gizli tutmaya yardımcı olmak için attığı adımlar açıklanmıştır. Ayrıca, projelerinizi güvenli ve güvenli tutmak için oynadığınız rolü de açıklar.
Bu makale, proje varlıklarını her gün yöneten kuruluş yöneticileri ve BT uzmanlarına yöneliktir. Bu, en çok microsoft hakkında zaten bilgi sahibi Azure DevOps ve Microsoft'un Azure DevOps'de depolanan varlıkları nasıl koruması hakkında daha fazla bilgi Azure DevOps.
Taahhüdümüz
Microsoft, özel durum olmadan projenizin güvenli ve güvenli kalmasını sağlamaya yardımcı olur. Projeleriniz Azure DevOps güvenlik ve idare teknolojileri, operasyonel uygulamalar ve uyumluluk ilkeleri katmanlarından faydalanabilir. Microsoft hem hem de taşıma sırasında veri gizliliğini ve bütünlüğünü zorunlu kabul eder.
Karşı karşıya olduğunuz tehditler dört temel kategoriye ayrılır: veri kullanılabilirliği, hizmet kullanılabilirliği, hizmet güvenliği ve veri gizliliği. Bu makalede her kategorideki belirli tehditler inceler ve bu tehditleri Azure DevOps ne yaptığı açıklanmıştır. İlk olarak, makalede verilerin nasıl depolandığı ve verilerin Azure DevOps nasıl yönetlandığı açıklanmıştır.
Düzgün veri koruması ayrıca yöneticilerin ve kullanıcıların etkin katılımını gerektirdiğinden, proje varlıklarınızı yetkisiz ifşaya ve kurcalamaya karşı korumak için atılması gereken adımları da biliyor olun. Yalnızca doğru kişilerin kullanıcı erişim noktaları içindeki verilere erişirken güven olması için kullanıcı erişim noktalarına izinler verilmesi konusunda açık Azure DevOps.
Yaklaşımınız ne olursa olsun, nerede olduğu veya nasıl kullanıldıkları fark etmez tüm verileri "risk altında" olarak düşünebilirsiniz. Bu durum hem buluttaki veriler hem de özel veri merkezinde depolanan veriler için doğrudur. Bu nedenle verilerinizi sınıflandırmak, duyarlılığını ve riskini ve tehlikeye atılmışsa ne kadar zarara yol açabileceklerini sınıflandırmak önemlidir. Ayrıca, verilerinizi genel bir bilgi güvenliği yönetim ilkesine göre kategorilere ayırabilirsiniz.
Azure'da yerleşik
Azure DevOps Services tamamen Azure veri merkezlerinde barındırıldı ve işlem, depolama, ağ, Azure SQL, kimlik ve erişim yönetimi ve Azure depolama gibi temel Azure hizmetlerinin çoğunu Service Bus.
Azure DevOps Services, hizmet meta Depolama müşteri verileri için birincil depo olarak Azure Depolama'i kullanır. Veri türüne, depolama ve alma gereksinimlerine bağlı olarak, Azure DevOps Services Azure Blob Depolama (ikili büyük nesneler için) ve Azure blob Depolama veri SQL kullanır. Veri korumaya Azure DevOps Services yaklaşımını anlamak için bu öğelerle ilgili bazı arka plan bilgileri önemlidir.
Azure Blob Depolama yapılandırılmamış veri öbeklerini depolar. Tüm projeler Azure Blob depolama Depolama kullanır. Bu veriler, kaynak dosyaların içeriği ve iş öğelerinde ekler gibi hassas veya özel olabilecek bilgileri içerir. Çoğu proje için kullanılan depolamanın çoğunluğu bu tür yapılandırılmamış blob depolamadır. Daha fazla bilgi için bkz. Azure Blob Depolama.
Azure SQL Veritabanı, proje meta verileri, sürüme sahip kaynak denetimi geçmişi ve iş öğesi ayrıntıları dahil olmak üzere, kuruluşun yapılandırılmış ve işlemsel yönlerini depolar. Veritabanı depolama, projenizin önemli öğelerine hızlı erişim sağlar ve dosyaları ve ekleri aramanız için blob depolamaya dizinler sağlar. Daha fazla bilgi için bkz. Azure SQL Veritabanı.
Yöneticiler, kullanıcı kimlikleri veya grupları üzerinde izinler vermek veya kısıtlamak için kaynaklara erişimi yönetebilir. Azure DevOps kimliklerinin federasyon kimlik doğrulamasını Azure Active Directory (Azure AD) ve Microsoft hesapları aracılığıyla kullanır.
Kimlik doğrulaması sırasında, kullanıcı kimlik bilgilerini sağlayan kimlik doğrulama sağlayıcısına yönlendirildi. Kimlik doğrulama sağlayıcısı kullanıcının kimlik bilgilerini doğruladıktan sonra Azure DevOps kimlik doğrulaması tanımlama bilgisini kullanıcıya verir ve bu da kullanıcının kimlik doğrulamasının kullanıcıya göre Azure DevOps.
Bu şekilde, kullanıcının kimlik bilgileri hiçbir zaman doğrudan kullanıcı kimlik bilgileriyle Azure DevOps. Her Azure DevOps kullanıcının erişmeye çalışma kaynağı için, izinler kullanıcının açık izinlerine ve grup üyeliği aracılığıyla devralınan izinlere göre doğrulanır. Yöneticiler kuruluşa, proje koleksiyonlarına, takım projelerine ve takım kapsamlı verilere ve işlevlere erişimi korumak için erişim denetimlerini kullanabilir. Yöneticiler ayrıca sürüm denetimi klasörleri ve iş öğesi alanı yolları gibi daha belirli varlıkları koruyabilir.
Veri kullanılabilirliği
Azure DevOps Services donanım arızası, hizmet kesintisi veya bölge olağanüstü durumlarında veri kullanılabilirliğini sağlamak için Azure Depolama özelliklerinin çoğunu kullanır. Azure DevOps ekibi ayrıca verileri yanlışlıkla veya kötü niyetli kişiler tarafından silinmeye karşı korumak için gerekli yordamları izler.
Veri yedekliği
Donanım veya hizmet hataları durumunda verileri korumak için Azure Depolama müşteri verilerini aynı coğrafyada iki bölge arasında coğrafi olarak çoğaltır. Örneğin Azure, Kuzey ve Güney Batı Avrupa arasında veya Kuzey ve Güney Birleşik Devletler.
Azure Blob Depolama müşteri verileri tek bir bölge içinde üç kez çoğaltılır ve aynı coğrafyada zaman uyumsuz olarak ikinci bir bölgeye çoğaltılır. Bu nedenle, Azure her zaman verilerinizin altı kopyasının eşdeğerini sürdürür. Bu, büyük bir kesinti veya olağanüstü durum durumunda ayrı bir bölgeye yük devretme ve aynı zamanda bir bölge içindeki donanım hataları için yerel yedeklilik de sağlar. Daha Azure SQL Veritabanı için bölgesel bir olağanüstü durum olması durumlarda günlük yedeklemeler site dışında tutulmaktadır.
Not
Veri yedekliliği ve yük devretme ile ilgili olarak:
- Microsoft verilerinizi birincil ve ikincil bölge arasında çoğaltarak dakikalar içinde ölçülen doğal bir delta vardır.
- İkincil bölgeye yük devretme, etkilenen ölçek biriminin tüm müşterilerini etkilediği için Microsoft'un merkezi olarak vermesi gereken bir karardır. Aşırı koşullar dışında Microsoft, müşteri verilerini kaybetmeden yük devretmeyi tercih ediyor.
- Azure DevOps yüzde 99,9 çalışma süresi SLA garantisi sunar ve belirli bir ay içinde bu SLA'nın gözden kaçmış olduğu durumda aylık ücretlerin bir kısmını para iadesiyle karşılar.
- Brezilya'da yalnızca bir bölge olduğundan, Brezilya'daki müşteri verileri olağanüstü durum kurtarma amacıyla Orta Güney ABD bölgeye çoğaltılır.
Hatalar olur
Microsoft, verilerin yanlışlıkla silinmesine karşı koruma için hem Azure Blob Depolama'daki blobların hem de Depolama'daki veritabanlarının zaman Azure SQL Veritabanı. Tüm blobların ayrı bir kopyası vardır ve değişiklikler her depolama hesabına eklenir. Bu veriler sabit olduğundan, yedekleme yordamlarının bir parçası olarak mevcut depolamaları yeniden yazmanız gerek yoktur.
Yedeklemeler, yedeklemelerin standart Azure SQL Veritabanı ve Azure DevOps Services bunu kullanır. Her iki durumda da, bu yedeklemeler eşleştirilmiş bir bölgede çoğaltılır ve bölgesel bir kesintiden kurtarmayı sağlamaya yardımcı olur.
Daha fazla koruma, Microsoft'un tüm kuruluşları silme işleminin ardından 28 gün boyunca kurtarmasıdır. Bunun nedeni, Microsoft'un kuruluş silme işlemleri için "yazılım silme" işlemi gerçekleştirdiğidir.
Uygulama kritik
Verilerinizin birden çok yedekli yedeklemesi olması iyi bir yöntemdir ancak uygulama olmadan geri yükleme tahmin edilemez. "Yedeklemeler hiçbir zaman başarısız olmaz, bunu geri yüklemeler yapar" dendi. Teknik açıdan yanlış, yaklaşım doğru.
Microsoft, çeşitli veri kümelerini yedeklemeden geri yüklemeyi düzenli olarak yöntemler. Azure'dan coğrafi olarak yedekli depolama düzenli olarak test edilir. Ayrıca Microsoft, zaman zaman yedeklerden geri yüklemeler ile insan hatasından kurtarıyor. Örneğin, bir müşteri bir projeyi yanlışlıkla Azure DevOps. Olağanüstü durum ve veri bozulması senaryolarında birçok farklı permütasyon vardır ve Microsoft düzenli olarak yeni testler planlamaya ve çalıştırmaya devam eder.
Hizmet kullanılabilirliği
Azure DevOps Services, kuruluşa ve ilişkili varlıklara erişiminizin olduğundan emin olmak için dağıtılmış hizmet reddi (DDoS) korumaları ve canlı site yanıtı sunar.
DDoS korumaları
Bazı durumlarda kötü amaçlı bir DDoS saldırısı hizmet kullanılabilirliğini etkileyebilir. Azure'da hizmetimize yönelik saldırıları önlemeye yardımcı olan bir DDoS savunma sistemi vardır. SYN tanımlama bilgileri, hız sınırlama ve bağlantı sınırları gibi standart algılama ve risk azaltma tekniklerini kullanır. Sistem yalnızca dışarıdan değil Azure'dan gelen saldırılara da dayanacak şekilde tasarlanmıştır.
Azure savunma sistemlerini geçenin uygulamaya özgü saldırılar için Azure DevOps ve kuruluş düzeyinde kotalar ve azaltma sağlar. Bu, bir saldırı veya kaynakların yanlışlıkla kötüye kullanılması sırasında önemli hizmet kaynaklarının aşırı kullanılmasını önlemeye yardımcı olur.
Canlı site yanıtı
Nadir durumlarda, hizmet kullanılabilirliğiyle ilgili bir soruna canlı site yanıtı gerekli olabilir. Microsoft, sorunu hızla tanımlamak ve gerekli geliştirme ekibi kaynaklarını devreye dahil etmek için 7/24 kullanılabilir bir operasyon ekibine sahip. Daha sonra bu kaynaklar sorunu ele alar. Ayrıca hizmeti etkileyen bir sorunu tespit etmek için dakikalar içinde hizmet durumu sayfasını güncelleştirmeyi amaçlarlar. Ekip bir sorunu giderdikten sonra sorunun kök nedenini belirleyecek ve gelecekte benzer sorunları önlemek için gerekli değişiklikleri takip ediyor.
Azure DevOps site yönetimi süreçleri deneyiminize ve hizmetinizin durumuna odaklanır. Bu işlemler sorunları algılama, yanıtlama ve azaltmak için gereken zamanı en aza indirmektedir. Tüm mühendislik disiplinleri dahil ve sorumlu olduğu için doğrudan deneyimden sürekli olarak gelişen geliştirmeler vardır. Bu, izleme, tanılama, resilians ve kalite güvencesi işlemlerinin zaman içinde iyileştirildikleri anlamına gelir.
Azure DevOps'da canlı site yönetimi üç ayrı ize sahip: telemetri, olay yönetimi ve canlı site incelemesi. Bu parçalar şunları gerektirir:
İşlemler ekibi ayrıca ayrı kuruluşların kullanılabilirlik ölçümlerini de izler. Bu ölçümler, müşterilerimizin yalnızca bir kısmını etkileyebilecek belirli koşullara yönelik öngörüler sağlar. Bu verilere yönelik araştırmalar genellikle müşterilere özgü sorunları ele almak için hedeflenen geliştirmelere neden olabilir. Microsoft, bazı durumlarda deneyiminizi anlamak için doğrudan sizinle iletişim kurabilme ve hizmeti geliştirmek için sizinle birlikte çalışabilir.
Microsoft, bir hizmet düzeyi sözleşmesi (SLA) yayımlar ve bu Sözleşmeyi her ay karşıladığımızda bir mali garanti sağlar. Daha fazla bilgi için bkz. Azure DevOps Için SLA.
Bazen iş ortağı ekiplerinin veya bağımlılıklarının Azure DevOps etkileyen olayları vardır. Tüm iş ortağı takımları, bu hizmet kesintilerini tanımlamak, çözmek ve öğrenirken benzer yaklaşımları izler.
Hizmet güvenliği
Hizmet güvenliği, uygun tasarım ve kodlama tekniklerinden işlemsel faktörlere kadar sabit dikkatli gerektirir. Microsoft, güvenlik boşluklarını ve ihlal algılamayı önlemeye karşı etkin bir şekilde yatırım yapıyor. Bir ihlal varsa, Microsoft, veri sızıntısını, kaybını veya bozulmasını en aza indirmek için Güvenlik Yanıt planlarını kullanır. Daha fazla bilgi için bkz. güvenlik, kimlik doğrulaması ve yetkilendirme hakkında.
Tasarıma göre güvenli
Azure DevOps Services güvenli olacak şekilde tasarlanmıştır. Geliştirme sürecinin çekirdekli Microsoft güvenlik geliştirme yaşam döngüsünü kullanır ve Microsoft operasyonel güvenlik güvencesi programı, bulut işlemi yordamlarını rehberlik eder. Bu yöntemler aşağıdaki gereksinimleri belirtir:
- Hizmet tasarımı sırasında tehdit modelleme.
- Aşağıdaki tasarım ve kod en iyi uygulamaları.
- Standart araç ve test ile güvenlik doğrulanıyor.
- İşletimsel ve müşteri verilerine erişimi sınırlandırma.
- Bir rigıd onay süreci aracılığıyla yeni özelliklerin dağıtımı.
Azure DevOps Services ekibi, tüm mühendisler ve işlemler personeli için yıllık eğitim gereksinimlerine ve Microsoft mühendisleri tarafından barındırılan resmi olmayan "kahverengi paket" toplantılarına sahiptir. Bir kahverengi paket toplantısında oluşan bir sorunu çöztıktan sonra, takımın geri kalanı ile öğrendiklerini paylaşır.
Bulut hizmeti yalnızca ana bilgisayar platformu olarak güvenlidir. Azure DevOps, altyapısının çoğu için paas 'yi kullanır. PaaS otomatik olarak bilinen güvenlik açıkları için düzenli güncelleştirmeler sağlar. Azure 'da barındırılan VM 'Ler, barındırılan bir derleme hizmetigibi hizmet olarak altyapı (IaaS) kullanır. bu görüntüler, Windows Update tarafından kullanılabilen en son güvenlik düzeltme eklerini dahil etmek için düzenli güncelleştirmeler alırlar. Aynı güncelleştirme, dağıtım, izleme ve raporlama için kullanılanlar da dahil olmak üzere şirket içi makineler için de geçerlidir.
Azure DevOps Services takım, Azure DevOps düzenli, güvenlikle odaklanmış bir test testi yapmaktadır. Kötü amaçlı saldırganlar ile aynı teknikleri ve mekanizmaları kullanarak, sızma testi, canlı üretim hizmetleri ve Azure DevOps altyapısından yararlanmaya çalışır. Amaç, denetlenen bir işlemdeki gerçek dünyada güvenlik açıklarını, konfigürasyonları, hataları veya diğer güvenlik boşluklarını belirlemektir. Takım, diğer geliştirme alanını belirlemek ve önleyici sistemlerin ve eğitimin kalitesini artırmak için sonuçları gözden geçirir.
Kimlik bilgileri güvenliği
Azure DevOps 'daki kimlik bilgileriniz, sektör en iyi uygulamaları kullanılarak depolanır. Kimlik bilgisi depolamahakkında daha fazla bilgi edinin.
Güvenlik sorunlarını bildirme
sızma testiniz sırasında, Azure DevOps hizmetiyle ilgili olası bir güvenlik kusurunu buldığınızı düşündüm, bunu 24 saat içinde Microsoft 'a bildirin. Daha fazla bilgi için bkz. bilgisayar güvenlik açığı bildirme.
Önemli
Microsoft, sızma testi etkinliklerinin artık gerekli olmamasına rağmen, katılım için Microsoft bulut birleştirilmiş test kurallarınıkullanmaya uyum sağlamalısınız.
Sıçrama programı
Azure DevOps, Microsoft Online Services sıçrama programı'nda yer alır. bu program, sorunları bize veren güvenlik araştırmacıları ve Azure DevOps güvende tutmaya yardımcı olmak için daha fazla insan teşvik eder. daha fazla ayrıntı için Azure DevOps sıçrama programı' na bakın.
Erişimi kısıtlama
Microsoft, üretim ortamımız ve müşteri verilerimize kimlerin erişebileceği kesin denetim sağlar. Erişim yalnızca gerekli olan en düşük ayrıcalık düzeyinde ve yalnızca uygun gerekçeler sağlandığında ve doğrulandıktan sonra verilir. Bir takım üyesinin acil bir sorunu çözümlemek veya bir yapılandırma değişikliği dağıtmak için erişmesi gerekiyorsa, bu kişiler üretim hizmetine "tam zamanında" erişim için uygulanmalıdır. Durum çözümlendikten hemen sonra erişim iptal edilir.
Erişim istekleri ve onayları ayrı bir sistemde izlenir ve izlenir. Sisteme tüm erişim bu onaylarla aynı ve onaylanmayan erişim algılanırsa, işlemler ekibinin araştırması için bir uyarı oluşturulur.
Geliştiricilerimizden biri veya işlem personeli için Kullanıcı adı ve parola çalındıysa, tüm uzak sistem erişimi için iki öğeli kimlik doğrulaması kullandığımızda veriler hala korunur. Bu, hizmete uzaktan erişim izni verilmeden önce, akıllı kart aracılığıyla ek kimlik doğrulama denetimlerinin veya önceden onaylanmış bir numaraya telefon çağrısının gerçekleşmesi gerektiği anlamına gelir.
Ayrıca, Microsoft, RDP parolaları, SSL sertifikaları ve şifreleme anahtarları gibi hizmetleri yönetmek ve korumak için gizli dizileri kullanır. Bunlar, Azure portal aracılığıyla güvenli bir şekilde yönetilir, depolanır ve iletilir. Bu gizli dizi erişimleri, günlüğe kaydedilen ve güvenli bir şekilde kaydedilen belirli izinleri gerektirir. Tüm gizli dizileri düzenli bir temposunda döndürülür ve bir güvenlik olayı varsa isteğe bağlı olarak döndürülebilir.
Azure DevOps işlemler ekibi, hizmeti yönetmek için sıkı yönetici iş istasyonları kullanır. Bu makineler, en az sayıda uygulama çalıştırır ve mantıksal olarak kesimli bir ortamda çalışır. İşletim ekibi üyeleri, iş istasyonlarına erişmek için iki öğeli kimlik doğrulama ile belirli kimlik bilgilerini sağlamalıdır. Tüm erişim izlenir ve güvenli şekilde günlüğe kaydedilir. hizmeti izinsiz bir şekilde yalıtmak için, Outlook ve Office gibi uygulamalar bu ortamda genellikle bu kimlik avına ve diğer saldırı türlerine hedefler ve bu ortamda izin verilmez.
Yetkisiz erişim koruması ve yanıt
siz ve Azure DevOps arasındaki aktarım sırasında verilerin yakalandığından veya değiştirilmediğinden emin olmak için, bunu HTTPS ve SSL aracılığıyla şifreliyoruz.
ayrıca, Azure DevOps adınıza depoladığımız veriler aşağıdaki gibi şifrelenir:
Azure SQL veritabanlarında depolanan veriler için, Azure DevOps Saydam Veri Şifrelemesi (tde)kullanır. Bu, veritabanında, ilişkili yedeklemelerde ve bekleyen işlem günlüğü dosyalarında gerçek zamanlı şifreleme gerçekleştirerek kötü amaçlı etkinlik tehditlerine karşı koruma sağlar.
Azure Blob Depolama bağlantıları, aktarım sırasında verilerinizi korumak için şifrelenir. azure Blob Depolama saklanan verileri korumak için Azure DevOps azure Depolama Hizmeti Şifrelemesi (SSE)kullanır.
Azure altyapısı, Azure DevOps Services ekibin hizmetin ana yönlerini günlüğe kaydetme ve izleme konusunda yardımcı olur. Bu, hizmet içindeki etkinliklerin meşru olmasını sağlar ve ihlal olup olmadığından emin olun. Ayrıca, üretim depolamasına operatör erişimi olarak tüm dağıtım ve yönetici etkinlikleri güvenli bir şekilde günlüğe kaydedilir. Gerçek zamanlı uyarılar, günlük bilgileri olası kötü amaçlı ya da yetkisiz davranışları ortaya çıkarmak üzere otomatik olarak analiz edildiği için oluşturulur.
Olası bir yetkisiz erişim algılandığı veya yüksek öncelikli güvenlik güvenlik açığı tanımlanmışsa, takımın açık bir güvenlik olay yanıtı planı vardır. Bu planda sorumlu taraflar, müşteri verilerinin güvenliğini sağlamak için gereken adımlar ve Microsoft 'un güvenlik uzmanlarıyla nasıl etkileşim yapılacağı özetlenmektedir. Ekip, verilerin büyük olasılıkla duyurulduğuna veya bozulmasına yol açtığında, durumu çözmek için uygun adımları götürebilecekleri tüm kuruluş sahiplerine de bildirimde bulunur.
son olarak, gelişmekte olan tehditlere karşı mücadele etmek için, Azure DevOps Services "ihlal varsay" stratejisini kullanır. Microsoft 'taki, kırmızı ekip olarak bilinen, yüksek düzeyde özelleştirilmiş bir güvenlik uzmanı grubu, Gelişmiş reklam işlemleri rolünü varsayar. Bu takım, hazır olma ve gerçek hayatta etkileri doğru ölçmek için ihlal algılamayı ve yanıtı sınar. Bu strateji, hizmetin tehdit algılamasını, yanıtını ve savunmasını güçlendirir. Ayrıca, ekibin tüm güvenlik programının verimliliğini doğrulamasını ve iyileştirmesine de olanak tanır.
Veri gizliliği
Verilerinizin uygun şekilde işlendiğinden ve meşru kullanımlar için emin olmanız gerekir. Bu güvence kapsamında, verilerinizin yalnızca meşru nedenlerle kullanılması için kullanımı uygun şekilde kısıtlanıyor.
Genel Veri Koruma Mevzuatı (GDPR)
Genel Veri Koruma Yönetmeliği (GDPR), Avrupa Birliği (AB) veri koruma yönergesi 95/46/EC 'nin 1995 ' inden beri Avrupa 'daki veri koruma kanunlarına yönelik en büyük değişiklik niteliğindedir. GDPR Yönetmeliği hakkında daha fazla bilgi edinmek için Microsoft Güven Merkezi ' nde genel bakış sayfasınabakın.
Veri yerleşimi ve bağımsız
Azure DevOps dünyanın dört bir yanında şu sekiz coğrafi bölgelerde sunulmaktadır: Birleşik Devletler, kanada, avrupa, birleşik krallık, hindistan, avustralya, Asya Pasifik ve brezilya. Varsayılan olarak, kuruluşunuz en yakın coğrafya 'ya atanır, ancak farklı bir Coğrafya seçme seçeneğiniz vardır. Daha sonra fikrinizi değiştirirseniz, Microsoft destek yardımı ile kuruluşunuzun farklı bir Coğrafya 'ya geçirilmesi mümkündür.
Azure DevOps, müşteri verilerini seçilen coğrafya dışında taşımaz veya çoğaltmıyor. Bunun yerine, verileriniz aynı coğrafya içindeki ikinci bir bölgeye coğrafi olarak çoğaltılır. Tek istisna, verileri olağanüstü durum kurtarma amacıyla Orta Güney ABD Coğrafya 'ya çoğaltan Brezilya ' dir.
Not
Microsoft tarafından sağlanmış macos aracılarında çalışan derlemeler ve yayınlar için verileriniz abd 'deki bir GitHub veri merkezine aktarılır.
daha fazla bilgi için bkz. Azure DevOps veri konumu.
Yasalar zorlama erişimi
Bazı durumlarda, yasaları zorlama varlıkları gibi üçüncü taraflar Microsoft 'un Azure DevOps içinde depolanan müşteri verilerine erişmesini sağlamak için Microsoft 'a yaklaşımda bulunabilir. Microsoft, istekleri çözüm için kuruluş sahibine yönlendirmeye çalışır. Etmek zorunda kalırsak by mahkeme sırasında müşteri verilerini üçüncü bir tarafa açıklayacağından, Microsoft, yasal olarak yasaklanmış olmadığı müddetçe kuruluş sahibini önceden bildirmek için makul bir çaba yapmaktadır.
Bazı müşteriler belirli bir coğrafi konumda veri depolama alanı gerektirir. Kaynak kodu, iş öğeleri, test sonuçları ve coğrafi olarak yedekli yansıtmalar ve şirket dışı yedeklemeler gibi tüm müşteri verileri, önceki bölümde bahsedilen coğrafi öğelerin biri içinde tutulur.
Microsoft Access
Zaman zaman, Microsoft çalışanlarının Azure DevOps içinde depolanan müşteri verilerine erişim alması gerekir. Bir önlem olarak, müşteri verilerine erişimi olan veya bu kişilerin sahip olduğu tüm çalışanlar, önceki işe ve cezai yarışmaları doğrulayan bir arka plan denetimi iletmelidir. Ayrıca, üretim sistemlerine yalnızca, günlüğe kaydedilen ve izlenen bir canlı site olayı veya diğer onaylanmış bakım etkinliği olduğunda erişilmesine izin veririz.
sistemimizin tüm verileri aynı şekilde değerlendirilmediği için, veriler müşteri verileri (Azure DevOps 'ye yüklediğiniz), kuruluş verileri (kuruluşunuz için kaydolurken veya yönetildiğinde kullanılan bilgiler) ve Microsoft verileri (hizmetin çalışması için gerekli bilgiler) arasında ayrım yapmak için sınıflandırılmaktadır. Sınıflandırma temel alınarak, Microsoft kullanım senaryolarını, coğrafi konum gereksinimlerini, erişim kısıtlamalarını ve bekletme gereksinimlerini denetler.
Microsoft promosyon kullanımı
Microsoft, bazen yararlı olabilecek ek özellikler ve hizmetler hakkında bilgi sahibi olmak için müşterilerle iletişim kurmak istiyor. Tüm müşteriler bu tekliflerle ilgili olarak iletişim kurmak istemebileceğinden, pazarlama e-posta iletişimlerini kabul edebilir ve devre dışı bırakabilirsiniz.
Microsoft, belirli kullanıcılar veya kuruluşlar için belirli teklifleri hedeflemek üzere hiçbir şekilde müşteri verilerini kullanmaz. Bunun yerine, belirli teklifleri alması gereken kuruluşların gruplarını öğrenmek için kuruluş düzeyinde kuruluş verilerini ve toplam kullanım istatistiklerini kullanırız.
Yapılandırma güveni
Bu korumaların yanı sıra, Microsoft 'un Azure DevOps adına yaptığı diğer çabalara da emin olabilirsiniz. Bunlar, Microsoft 'ta iç benimseme ilkelerini, hizmetimizin durumuna sunulan saydamlığın düzeyini ve bilgi güvenliği yönetim sistemlerimizin sertifikasını almaya yönelik ilerleme durumunu içerir.
İç benimseme
Microsoft üzerinde Teams, dahili olarak Azure DevOps benimseme. Azure DevOps ekibi, 2014 içindeki bir kuruluşa taşınır ve bu öğeyi yoğun bir şekilde kullanır. Daha geniş bir deyişle, diğer takımlar için benimseme planlarını etkinleştirmeye yönelik yönergeler sunuyoruz.
kuşkusuz, büyük ekipler, mevcut DevOps sistemlerdeki yatırımlarına göre daha küçük olanlara daha yavaş hareket taşır. Ekipler hızlı bir şekilde taşınamayacak bir proje sınıflandırma yaklaşımı sunuyoruz. Projenin Azure DevOps uygun olup olmadığını anlamak için, proje özelliklerine göre risk toleransı değerlendirir. Daha Büyük takımlar için, benimseme genellikle daha fazla planlama ile evrelerde oluşur.
dahili projelere yönelik ek gereksinimler, doğru kullanıcı kimliği yaşam döngüsü ve parola karmaşıklığı sağlamak için kuruluşun Microsoft.com Azure Active Directory ilişkilendirilmesini içerir. Daha hassas projeler için iki öğeli kimlik doğrulaması da gerekir.
Uyumluluk sertifikasyonları
Veri güvenliği yordamlarımızın üçüncü taraf değerlendirmesini anlamak istiyorsunuz. Azure DevOps aşağıdaki sertifikaları elde etti:
- ISO 27001:2013
- HIPAA (sağlık sigortası taşınabilirlik ve Sorumluluk Yasası)
- BAA (Iş ile Ilgili sözleşme)
- AB Model Maddeleri
- SOC 1 tür 2
- SOC 2 tür 2
Azure DevOps için SOC audit, veri güvenliği, kullanılabilirlik, işleme bütünlüğü ve gizliliği için denetimleri ele alır. Azure DevOps için SOC raporları Microsoft hizmet güveni portalıüzerinden kullanılabilir. Ayrıca, bu SOC raporlarının bir kopyasını isteyebilirsiniz.
Gerçekleştirebileceğiniz adımlar
Uygun veri koruması, etkin katılımlarınızın yanı sıra yöneticileriniz ve kullanıcılarınız için de gereklidir. Azure DevOps içinde depolanan proje verileriniz, son kullanıcı erişim noktaları kadar güvenlidir. Bu kuruluşlar için, projenizin duyarlık düzeyiyle, izin kümesi ve ayrıntı düzeyi eşleşmesi önemlidir.
Verilerinizi sınıflandırma
İlk adım, verilerinizi duyarlılık ve risk ufklığına göre sınıflandırmanız ve tehlikeye girerse oluşabilecek hasardan kaynaklanabilir. Birçok kuruluş, projeler Azure DevOps taşındığında yeniden kullanılabilecek mevcut sınıflandırma yöntemlerine sahiptir. Daha fazla bilgi için, Microsoft güvenilir bilgi Işlem 'dan "bulut hazırlığı için veri sınıflandırması" belgesini indirebilirsiniz.
Azure Active Directory benimseyin
son kullanıcılarınızın kimlik bilgilerinizin güvenliğini artırmanın başka bir yolu da, kuruluşunuzun Azure DevOps erişimini yönetmek için Azure Active Directory (Azure AD) kullanmaktır. Azure AD, BT departmanınızın parola karmaşıklığı, parola yenilemeleri ve Kullanıcı kuruluşunuzu terk ederse süre sonu gibi Son Kullanıcı erişim ilkesini yönetmesine olanak tanır. Active Directory Federasyonu aracılığıyla doğrudan Azure AD 'yi kuruluşunuzun merkezi dizinine bağlayabilir ve bu ayrıntıları yalnızca bir konuma dağıtabilirsiniz.
aşağıdaki tabloda, Azure DevOps erişimi ile ilgili Microsoft hesabı ve Azure AD özellikleri karşılaştırılmaktadır:
| Özellikler | Microsoft hesabı | Azure AD |
|---|---|---|
| Kimlik Oluşturucu | Kullanıcı | Kuruluş |
| Tüm iş varlıkları için tek Kullanıcı adı/parola | Hayır | Yes |
| Parola ömrü & karmaşıklık denetimi | Kullanıcı | Kuruluş |
| üyelik sınırlarını Azure DevOps | Herhangi bir MSA | Kuruluşun dizini |
| İzlenebilecek kimlik | Hayır | Yes |
| Kuruluş & IP sahipliği | NET | Kuruluş |
| 2 öğeli kimlik doğrulama kaydı | Kullanıcı | Kuruluş |
| Cihaz tabanlı koşullu erişim | No | Kuruluş |
Kuruluşunuz için bu desteği yapılandırmahakkında daha fazla bilgi edinin.
İki öğeli kimlik doğrulama isteme
Bazı durumlarda, oturum açmak için birden fazla faktör isteyerek kuruluşunuza erişimi kısıtlamak isteyebilirsiniz. Azure AD ile birden çok faktör olmasını isteyebilirsiniz. Örneğin, tüm kimlik doğrulama istekleri için Kullanıcı adı ve parolaya ek olarak telefon kimlik doğrulaması gerekli kılabilirsiniz.
BitLocker 'ı kullanma
hassas projeler için Windows dizüstü bilgisayarınızda veya masaüstü bilgisayarınızda BitLocker 'ı kullanabilirsiniz. BitLocker, Windows ve verilerinizin bulunduğu tüm sürücüyü şifreler. BitLocker etkinleştirildiğinde, o sürücüde yaptığınız herhangi bir dosyayı otomatik olarak şifreler. Dizüstü bilgisayarınız veya masaüstü makineniz yanlış bir ele girerse, BitLocker, projelerinizden yerel veri kopyalarının yetkisiz erişimini engeller.
Alternatif kimlik doğrulama kimlik bilgileri kullanımını sınırlayın
Git ile ilgili araç oluşturma için varsayılan kimlik doğrulama mekanizması alternatif kimlik doğrulamadır (bazen temel kimlik doğrulaması olarak adlandırılır). Bu mekanizma, son kullanıcının git komut satırı işlemleri sırasında kullanılmak üzere alternatif bir Kullanıcı adı ve parola ayarlamasına olanak tanır. Bu Kullanıcı adı ve parola birleşimi, kullanıcının izinleri olan diğer verilere erişmek için de kullanılabilir. Doğası gereği, alternatif kimlik doğrulama bilgileri varsayılan federal kimlik doğrulamasından daha az güvenlidir.
Daha fazla güvenlik için de seçimler yapabilirsiniz. Örneğin, tüm iletişimler HTTPS üzerinden gönderilir ve parola karmaşıklığı gereksinimleri vardır. Bununla birlikte, kuruluşunuz, proje güvenlik gereksinimlerinizi karşılamak için ek ilkeler gerekip gerekmediğini değerlendirmelidir. Kuruluşunuzun güvenlik gereksinimlerini karşılamayacağına karar verirseniz alternatif kimlik doğrulama kimlik bilgilerini tamamen devre dışı bırakabilirsiniz. Daha fazla bilgi için bkz. Kurum için uygulama bağlantısı güvenlik ilkelerini değiştirme.
Kuruluşa güvenli erişim
Azure AD, yöneticilerin azure kaynakları ve uygulamalarına erişimi denetlemesine izin Azure DevOps. Koşullu erişim denetimi hazırken Azure AD, bir kullanıcının bir uygulamaya erişmesi için ayarda bulundurarak belirli koşulları denetler. Erişim gereksinimleri karşılandıktan sonra kullanıcının kimliği doğrulanır ve uygulamaya erişebilir.
Azure DevOps kimlik doğrulama mekanizmaları için belirli türlerde koşullu erişim ilkesi (örneğin, IP yalıtma) Azure DevOps destekler. Bu mekanizmalar kişisel erişim belirteçlerini, alternatif kimlik doğrulamasını, OAuth'ı ve SSH anahtarlarını içerir. Kullanıcılarınız bir üçüncü Azure DevOps istemci üzerinden erişiyorsa, yalnızca IP tabanlı ilkeler (yalnızca IPv4 tabanlı) kabul edildi.