파이프라인에서 프로젝트를 안전하게 구조화하기 위한 권장 사항

Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020

개별 리소스의 규모 외에도 리소스 그룹도 고려해야 합니다. Azure DevOps에서 리소스는 팀 프로젝트별로 그룹화됩니다. 프로젝트 설정 및 포함에 따라 파이프라인이 액세스할 수 있는 리소스를 이해하는 것이 중요합니다.

파이프라인의 모든 작업은 액세스 토큰을 받습니다. 이 토큰에는 열려 있는 리소스를 읽을 수 있는 권한이 있습니다. 경우에 따라 파이프라인이 해당 리소스를 업데이트할 수도 있습니다. 즉, 사용자 계정에 특정 리소스에 대한 액세스 권한이 없을 수 있지만 파이프라인에서 실행되는 스크립트 및 태스크는 해당 리소스에 액세스할 수 있습니다. 또한 Azure DevOps의 보안 모델을 사용하면 organization 다른 프로젝트에서 이러한 리소스에 액세스할 수 있습니다. 이러한 리소스 중 일부에 대한 파이프라인 액세스를 차단하기로 선택하면 프로젝트의 모든 파이프라인에 결정이 적용됩니다. 특정 파이프라인에는 열려 있는 리소스에 대한 액세스 권한을 부여할 수 없습니다.

별도의 프로젝트

오픈 리소스의 특성을 고려할 때 개별 프로젝트에서 각 제품 및 팀을 관리하는 것이 좋습니다. 이렇게 하면 한 제품의 파이프라인이 다른 제품의 열린 리소스에 액세스할 수 없습니다. 이러한 방식으로 횡적 노출을 방지합니다. 여러 팀 또는 제품이 프로젝트를 공유하는 경우 리소스를 서로 세분화하여 격리할 수 없습니다.

Azure DevOps organization 2019년 8월 이전에 만들어진 경우 실행은 모든 organization 프로젝트에서 열린 리소스에 액세스할 수 있습니다. organization 관리자는 파이프라인에 대한 프로젝트 격리를 가능하게 하는 Azure Pipelines의 주요 보안 설정을 검토해야 합니다. 이 설정은 Azure DevOps>조직 설정 파이프라인 설정>에서 찾을 수있습니다>. 또는 이 Azure DevOps 위치() https://dev.azure.com/ORG-NAME/_settings/pipelinessettings로 직접 이동합니다.

다음 단계

올바른 프로젝트 구조를 설정한 후 템플릿을 사용하여 런타임 보안을 강화 합니다.