Recomendaciones para estructurar de forma segura los proyectos de la canalización

Azure DevOps Services | | de Azure DevOps Server 2022 Azure DevOps Server 2020

Además de la escala de recursos individuales, también debe tener en cuenta los grupos de recursos. En Azure DevOps, los recursos se agrupan por proyectos de equipo. Es importante comprender a qué recursos puede acceder la canalización en función de la configuración del proyecto y la contención.

Cada trabajo de la canalización recibe un token de acceso. Este token tiene permisos para leer los recursos abiertos. En algunos casos, las canalizaciones también pueden actualizar esos recursos. Es decir, es posible que la cuenta de usuario no tenga acceso a un recurso determinado, pero es posible que los scripts y las tareas que se ejecutan en la canalización tengan acceso a ese recurso. El modelo de seguridad de Azure DevOps también permite el acceso a estos recursos desde otros proyectos de la organización. Si decide apagar el acceso de canalización a algunos de estos recursos, la decisión se aplica a todas las canalizaciones de un proyecto. No se puede conceder acceso a una canalización específica a un recurso abierto.

Proyectos independientes

Dada la naturaleza de los recursos abiertos, debe considerar la posibilidad de administrar cada producto y equipo en un proyecto independiente. Esta práctica garantiza que una canalización de un producto no pueda acceder a los recursos abiertos desde otro producto. De esta manera, se evita la exposición lateral. Cuando varios equipos o productos comparten un proyecto, no se pueden aislar pormenorizadas sus recursos entre sí.

Si la organización de Azure DevOps se creó antes de agosto de 2019, es posible que las ejecuciones puedan acceder a los recursos abiertos en todos los proyectos de la organización. El administrador de la organización debe revisar una configuración de seguridad clave en Azure Pipelines que permita el aislamiento del proyecto para canalizaciones. Puede encontrar esta configuración en Configuración decanalizaciones> dela organización> de Azure DevOps>. O vaya directamente a esta ubicación de Azure DevOps: https://dev.azure.com/ORG-NAME/_settings/pipelinessettings.

Captura de pantalla de la interfaz de usuario del ámbito de autorización del trabajo

Pasos siguientes

Después de configurar la estructura correcta del proyecto, mejore la seguridad en tiempo de ejecución mediante plantillas.