Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Azure Boards는 작업 추적 데이터를 보호하고, 중요한 정보에 대한 액세스를 제어하고, 조직 정책을 준수할 수 있는 여러 보안 계층을 제공합니다. 이 문서에서는 Azure Boards 구현을 보호하기 위한 보안 개념, 액세스 제어 및 모범 사례를 간략하게 설명합니다.
보안 모델 개요
Azure Boards 보안은 다음을 포함하는 다층 접근 방식에서 작동합니다.
- ID 및 액세스 관리 제어: 작업 항목에 액세스할 수 있는 사용자와 수행할 수 있는 작업을 관리합니다. 자세한 내용은 액세스 수준 정보를 참조하세요.
- 권한 기반 액세스 구현: 다양한 작업 추적 작업에 대해 세분화된 권한을 적용합니다. 자세한 내용은 작업 추적 권한 설정을 참조 하세요.
- 영역 및 반복 보안 구성: 프로젝트 영역에 따라 특정 작업 항목에 대한 액세스를 제한합니다. 자세한 내용은 영역 경로 설정 및 팀에 할당을 참조하세요.
- 작업 항목 유형 및 필드 보안 관리: 작업 항목 필드의 표시 유형 및 편집 가능성을 제어합니다. 자세한 내용은 필드 추가 및 수정을 참조하세요.
- 감사 및 규정 준수 사용: 변경 내용을 추적하고 규정 준수 요구 사항을 유지 관리합니다. 자세한 내용은 감사 로그 액세스, 내보내기 및 필터링을 참조하세요.
ID 및 액세스 관리
액세스 수준
Azure Boards는 액세스 수준을 사용하여 사용자가 액세스할 수 있는 기능을 제어합니다. 각 액세스 수준에 대한 기본 사용 권한에 대한 포괄적인 내용은 Azure Boards의 기본 권한 및 액세스 수준을 참조하세요.
| 액세스 수준 | Azure Boards 기능 |
|---|---|
| 이해 관계자 | 작업 항목 보기, 만든 작업 항목 추가 및 수정, 대시보드 보기, 제한된 쿼리 액세스 |
| Basic | 작업 항목, 쿼리, 대시보드, 보드 및 백로그에 대한 모든 권한 |
| 기본 + 테스트 계획 | 기본 액세스 및 테스트 계획 기능 포함 |
| Visual Studio Enterprise | 모든 기본 기능과 고급 기능 포함 |
자세한 내용은 액세스 수준 정보를 참조 하세요.
Authentication
Azure Boards는 다음과 같은 여러 인증 방법을 지원합니다.
- Microsoft Entra ID 사용: Single Sign-On을 사용하여 엔터프라이즈 ID 관리를 사용하도록 설정합니다. 자세한 내용은 Microsoft Entra ID에 조직 연결
- Microsoft 계정 구성: 개인 Microsoft 계정을 지원합니다. 자세한 내용은 등록, Azure DevOps에 로그인을 참조하세요.
- GitHub 인증 구현: GitHub 사용자 및 조직 인증 자세한 내용은 GitHub를 사용하여 인증을 참조하세요.
- Active Directory 통합: 온-프레미스 ID 통합 연결 자세한 내용은 Azure DevOps Server에서 사용할 그룹 설정을 참조하세요.
- 로컬 계정 만들기: 서버 기반 사용자 계정 관리
- Microsoft Entra ID 구성: 클라우드 기반 ID 관리를 사용하도록 설정합니다. 자세한 내용은 Microsoft Entra ID에 조직 연결
권한 모델
보안 그룹
Azure Boards는 보안 그룹을 사용하여 사용 권한을 효율적으로 관리합니다. 사용 가능한 모든 보안 그룹 및 해당 권한에 대한 자세한 내용은 사용 권한 및 보안 그룹 정보를 참조하세요. 팀 관리자 및 해당 권한 구성에 대한 자세한 지침은 팀 관리자 관리를 참조하세요.
| 보안 그룹 | 기본 사용 권한 |
|---|---|
| 프로젝트 관리자 | 프로젝트 설정, 작업 항목 유형 및 팀 구성에 대한 모든 권한 |
| 참여자 | 작업 항목 만들기, 수정 및 삭제 보드 및 백로그 관리 |
| Readers | 작업 항목 및 프로젝트 아티팩트 보기 |
| 프로젝트 컬렉션 관리자 | 보안 설정을 포함한 조직 전체 관리 |
작업 항목 사용 권한
이러한 키 권한을 통해 작업 항목에 대한 액세스를 제어합니다. 이러한 사용 권한 구성에 대한 단계별 지침은 작업 추적 권한 설정을 참조하세요.
| 허가 | Description |
|---|---|
| 이 노드에서 작업 항목 보기 | 특정 영역 경로의 작업 항목에 대한 읽기 액세스 권한 |
| 이 노드에서 작업 항목 편집 | 특정 영역 경로에서 작업 항목 수정 |
| 자식 노드 만들기 | 기존 노드 아래에 새 영역 경로 추가 |
| 작업 항목 삭제 및 복원 | 작업 항목 제거 및 삭제된 항목 복구 |
| 이 프로젝트에서 작업 항목 이동 | 작업 항목을 다른 프로젝트로 전송 |
영역 경로 보안
영역 경로는 계층적 보안 경계를 제공합니다.
Project Root
├── Team A (Restricted to Team A members)
├── Team B (Restricted to Team B members)
└── Shared Components (Accessible to all teams)
다음을 수행하도록 영역 경로 권한을 구성합니다.
- 특정 작업 항목에 대한 팀 액세스 제한
- 여러 부서에 대한 보안 작업 영역 만들기
- 중요한 프로젝트의 표시 유형 제어
영역 경로 사용 권한 설정에 대한 자세한 지침은 작업 추적 권한 설정을 참조하세요.
필드 수준 보안
중요한 데이터 보호
다음 전략을 사용하여 중요한 정보를 보호합니다.
- 특정 그룹만 보거나 편집할 수 있는 제한된 액세스 권한으로 사용자 지정 필드를 만듭니다. 자세한 내용은 필드 추가 및 수정을 참조하세요.
- 특정 작업 항목 유형을 만들거나 수정할 수 있는 사용자를 제어하도록 작업 항목 유형 제한을 제한합니다. 자세한 내용은 작업 항목 유형 사용자 지정을 참조하세요.
- 숨겨진 필드를 특정 사용자 그룹에 보이지 않게 구성합니다. 자세한 내용은 필드 추가 및 수정을 참조하세요.
- 중요한 데이터를 무단으로 수정하지 않도록 읽기 전용 필드를 설정합니다.
규정 준수 기능
- 데이터 스토리지 위치에 대한 규정 준수 요구 사항을 충족하도록 데이터 보존을 선택합니다. 자세한 내용은 Azure DevOps의 데이터 위치를 참조하세요.
- 감사 로그를 사용하여 작업 항목 및 보안 설정에 대한 모든 변경 내용을 추적할 수 있습니다. 자세한 내용은 감사 로그 액세스, 내보내기 및 필터링을 참조하세요.
- 규정 준수 보고서 및 데이터 추출을 생성하도록 내보내기 기능을 구성합니다. 자세한 내용은 액세스 수준을 사용하여 사용자 목록 내보내기 참조
- 자동 데이터 정리 및 보관을 위한 보존 정책을 구현합니다. 자세한 내용은 빌드, 릴리스 및 테스트에 대한 보존 정책 설정을 참조하세요.
Azure Boards 보안 모범 사례
액세스 관리
- 최소 권한 원칙 적용: 필요한 최소 사용 권한을 부여합니다. 자세한 내용은 사용 권한 및 보안 그룹 정보를 참조하세요.
- 정기적인 액세스 검토 수행: 주기적으로 사용자 권한 및 그룹 멤버 자격을 감사합니다. 자세한 내용은 액세스 수준을 사용하여 사용자 목록 내보내기 참조
- 그룹 기반 관리 사용: 개별 권한 대신 보안 그룹을 관리합니다. 자세한 내용은 사용 권한 및 보안 그룹 정보를 참조하세요.
- 조건부 액세스 구현: 위치 및 디바이스 기반 액세스 제어를 사용하도록 설정합니다. 자세한 내용은 조건부 액세스 관리를 참조하세요.
작업 항목 보안
- 디자인 영역 경로 전략: 보안 요구 사항에 맞는 계층 구조를 만듭니다. 자세한 내용은 작업 추적 권한 설정을 참조 하세요.
- 팀 격리 구성: 지정된 작업 항목에만 액세스하도록 팀을 설정합니다. 자세한 내용은 팀 추가, 한 기본 팀에서 여러 팀으로 이동
- 필드 보안 구현: 예산 또는 개인 정보와 같은 중요한 필드에 대한 액세스를 제한합니다. 자세한 내용은 필드 추가 및 수정을 참조하세요.
- 링크 보안 제어: 작업 항목 간에 종속성을 만들 수 있는 사용자를 관리합니다. 자세한 내용은 개체에 작업 항목 연결을 참조하세요.
데이터 보호
- 중요한 정보 신중하게 처리: 자격 증명 또는 개인 데이터를 작업 항목에 저장하지 마십시오.
- 파일 첨부 파일 관리: 허용되는 파일 형식 및 크기에 대한 정책 구현
- 외부 링크 유효성 검사: 작업 항목에서 외부 URL 링크 승인
- 보안 쿼리 액세스: 쿼리가 권한이 없는 데이터를 노출하지 않도록 합니다. 자세한 내용은 쿼리 및 쿼리 폴더에 대한 사용 권한 설정을 참조하세요.
모니터링 및 규정 준수
- 활동 패턴 모니터링: 작업 항목 액세스 패턴 및 비정상적인 활동을 추적합니다. 자세한 내용은 감사 로그 액세스, 내보내기 및 필터링을 참조하세요.
- 변경 로그 감사: 모든 작업 항목 수정의 로그를 유지 관리합니다. 자세한 내용은 쿼리 작업 항목 기록 및 감사를 참조하세요.
- 일반 백업 구현: 중요한 작업 추적 데이터에 대한 백업 전략을 만듭니다. 자세한 내용은 데이터 보호 개요를 참조하세요.
- 인시던트 대응 설정: 작업 항목과 관련된 보안 인시던트에 대한 절차를 만듭니다. 자세한 내용은 보안 모범 사례를 참조하세요.
일반적인 보안 시나리오
다중 팀 프로젝트
여러 팀이 단일 프로젝트 내에서 작업하는 경우 팀이 필요한 경우 공동 작업을 유지하면서 관련 작업 항목에만 액세스할 수 있도록 명확한 보안 경계를 설정해야 합니다. Azure Boards는 영역 경로를 사용하여 이러한 보안 경계를 만들 수 있으므로 다양한 팀과 조직 수준에 대해 세분화된 액세스 제어를 구성할 수 있습니다.
각 팀에 대한 팀 관리자를 설정하는 방법에 대한 지침은 팀 관리자 관리를 참조하세요.
예제 시나리오: 다양한 구성 요소에서 작업하는 특수 팀이 있는 소프트웨어 개발 프로젝트와 관리 감독:
Project: ProductDevelopment
├── Area: Frontend (Frontend team access)
├── Area: Backend (Backend team access)
├── Area: QA (QA team access)
└── Area: Management (Manager access only)
이 구성에서는 다음을 수행합니다.
- 프런트 엔드 팀 구성원은 프런트 엔드 영역에서만 작업 항목을 보고 편집할 수 있습니다.
- 백 엔드 팀 구성원 은 백 엔드 작업 항목으로 제한된 액세스 권한을 갖습니다.
- QA 팀 구성원은 조정을 테스트하기 위해 QA 관련 작업 항목에 액세스할 수 있습니다.
- 관리자는 전략적 계획 및 보고를 위한 관리 영역 항목에 대한 가시성을 갖습니다.
- 신중하게 구성된 공유 영역 또는 명시적 권한을 통해 팀 간 종속성을 관리할 수 있습니다.
이 방법을 사용하면 중요한 정보가 제한되므로 팀은 관련 없는 작업 항목의 방해 없이 특정 책임에 집중할 수 있습니다.
프로젝트 간 공동 작업
팀이 여러 프로젝트에서 작업할 때 보안을 관리합니다.
- 프로젝트 간 권한 부여: 외부 팀 구성원에게 특정 액세스 권한 제공
- 작업 항목 연결 제어: 프로젝트 간에 종속성을 만들 수 있는 사용자 관리
- 공유 쿼리 관리: 여러 프로젝트에 걸쳐 있는 쿼리에 대한 액세스를 제어합니다. 자세한 구성 단계는 쿼리 및 쿼리 폴더에 대한 권한 설정을 참조하세요.
계약자 및 공급업체 액세스
외부 참가자에 대한 보안 액세스. 외부 사용자 관리에 대한 포괄적인 지침은 조직에 외부 사용자 추가를 참조하세요.
- 제한된 액세스 수준 할당: 외부 사용자에 대한 적절한 액세스 수준 구성
- 시간 제한 권한 구현: 만료 날짜가 있는 임시 액세스 만들기
- 지역 액세스 제한: 특정 프로젝트 영역에 대한 계약자 액세스 제한
- 외부 활동 감사: 외부 사용자의 모든 작업 모니터링
보안 구성 검사 목록
초기 설정
- [ ] 모든 사용자에게 적절한 액세스 수준 구성
- [ ] 조직 구조에 맞게 보안 그룹 설정
- [ ] 보안 요구 사항에 따라 영역 경로 계층 구조 디자인
- [ ] 팀 권한 구성 및 경계 액세스
- [ ] 영역 경로 및 반복에 대한 작업 추적 권한 설정
- [ ] 공유 쿼리에 대한 액세스를 제어하는 쿼리 폴더 권한 구성
지속적인 관리
- [ ] 정기적인 권한 감사 및 액세스 검토 수행
- [ ] 작업 항목 액세스 패턴 및 변칙 모니터링
- [ ] 팀이 진화함에 따라 보안 구성 업데이트
- [ ] 보안 결정 및 변경 내용에 대한 설명서 유지 관리
- [ ] 필요에 따라 팀 관리자 할당 검토 및 업데이트
규정 준수 준비
- [ ] 문서 데이터 처리 절차
- [ ] 감사 로그 보존 정책 구현
- [ ] 규정 준수 보고를 위한 내보내기 기능 구성
- [ ] 인시던트 대응 절차 설정