Azure DevOps Services | Azure DevOps Server | Azure DevOps Server 2022
Azure DevOps 분석 및 보고는 개발 프로세스에 대한 강력한 인사이트를 제공하지만, 이러한 기능을 통해 중요한 데이터를 보호하고 조직 메트릭에 대한 액세스를 제어할 책임이 있습니다. 이 문서에서는 분석 및 보고 구현을 보호하기 위한 보안 개념, 액세스 제어 및 모범 사례를 간략하게 설명합니다.
보안 모델 개요
분석 및 보고 보안은 다음을 포함하는 다층 접근 방식에서 작동합니다.
- 데이터 가시성 제어: 분석 데이터를 볼 수 있는 사용자와 액세스할 수 있는 프로젝트를 관리합니다.
- 대시보드 사용 권한 구현: 대시보드 및 해당 기본 데이터에 대한 액세스를 제어합니다. 자세한 내용은 대시보드 권한 설정을 참조하세요.
- 프로젝트 수준 액세스 구성: 프로젝트 멤버 자격에 따라 분석 액세스를 제한합니다. 자세한 내용은 보고에 대한 기본 권한 및 액세스를 참조하세요.
- Power BI 통합 관리: Azure DevOps와 Power BI 간의 보안 연결 자세한 내용은 Power BI Data Connector에 연결을 참조하세요.
- 감사 및 규정 준수 사용: 데이터 액세스를 추적하고 규정 준수 요구 사항을 유지 관리합니다. 자세한 내용은 감사 로그 액세스, 내보내기 및 필터링을 참조하세요.
ID 및 액세스 관리
보고에 대한 액세스 수준
분석 및 보고 기능은 액세스 수준에 따라 다릅니다. 각 액세스 수준에 대한 기본 사용 권한에 대한 포괄적인 내용은 보고에 대한 기본 권한 및 액세스를 참조하세요.
| 액세스 수준 | 분석 및 보고 기능 |
|---|---|
| 이해 관계자 | 공유 대시보드, 제한된 분석 보기, 기본 차트 위젯 보기 |
| Basic | 분석 보기, 대시보드 만들기 및 편집, 모든 차트 위젯에 대한 모든 권한 |
| 기본 + 테스트 계획 | 기본 액세스 및 테스트 계획 분석 및 보고 포함 |
| Visual Studio Enterprise | 모든 기본 기능과 고급 분석 기능 포함 |
자세한 내용은 액세스 수준 정보를 참조 하세요.
외부 도구에 대한 인증
외부 보고 도구를 Azure DevOps에 연결하는 경우 보안 인증이 필수적입니다.
- Microsoft Entra 토큰 사용: 향상된 보안 및 중앙 집중식 관리를 위해 조직 ID를 사용합니다. 자세한 내용은 Microsoft Entra 토큰 사용을 참조하세요.
- OAuth 애플리케이션 구성: 비 Microsoft 통합에 대한 보안 OAuth 흐름을 설정합니다. 자세한 내용은 OAuth 2.0을 사용하여 REST API에 대한 액세스 권한 부여를 참조하세요.
- 필요한 경우 PAT(개인용 액세스 토큰) 사용: Microsoft Entra ID를 사용할 수 없는 경우에만 필요한 범위를 최소화하여 토큰을 만듭니다. 자세한 내용은 개인용 액세스 토큰 사용을 참조하세요.
- 서비스 계정 만들기: 보고 도구 연결에 전용 계정을 사용합니다.
- Windows 인증 구성: 원활한 액세스를 위해 Active Directory와 통합합니다. 자세한 내용은 Azure DevOps Server에서 사용할 그룹 설정을 참조하세요.
- 대체 인증 사용: 외부 도구에 대한 토큰 기반 인증을 사용하도록 설정합니다. 자세한 내용은 REST API에 대한 인증 지침을 참조하세요.
분석 보안
데이터 액세스 권한
분석 보안은 원본 프로젝트의 데이터 표시 유형 상속 원칙을 기반으로 합니다.
- 프로젝트 기반 액세스: 사용자는 액세스 권한이 있는 프로젝트에 대한 분석 데이터만 볼 수 있습니다. 자세한 내용은 프로젝트 수준 권한 변경을 참조하세요.
- 작업 항목 표시 유형: 분석은 작업 항목 영역 경로 권한을 존중합니다. 자세한 내용은 작업 추적 권한 설정을 참조 하세요.
- 리포지토리 액세스: 코드 메트릭은 리포지토리 권한에 따라 필터링됩니다. 자세한 내용은 Git 리포지토리 권한 설정을 참조하세요.
- 파이프라인 가시성: 빌드 및 릴리스 분석은 파이프라인 보안 설정을 따릅니다. 자세한 내용은 파이프라인 권한 설정을 참조하세요.
애널리틱스 보기
분석 보기를 통해 특정 데이터 집합에 대한 액세스를 제어합니다. 분석 뷰를 만들고 관리하는 방법에 대한 자세한 내용은 분석 보기 만들기를 참조하세요.
| 보기 유형 | 보안 특성 |
|---|---|
| 공유 보기 | 적절한 권한이 있는 모든 프로젝트 멤버가 액세스할 수 있음 |
| 프라이빗 보기 | 작성자만 액세스할 수 있습니다. |
| 팀 보기 | 특정 팀 구성원으로 제한됨 |
데이터 필터링 및 개인 정보
중요한 정보를 보호하기 위해 데이터 필터링을 구현합니다.
- 영역 경로 제한 구성: 분석 데이터를 특정 작업 항목 영역으로 제한합니다. 자세한 내용은 작업 추적 권한 설정을 참조 하세요.
- 필드 수준 보안 적용: 분석에서 중요한 작업 항목 필드를 숨깁니다. 자세한 내용은 필드 추가 및 수정을 참조하세요.
- 프로젝트 간 액세스 관리: 여러 프로젝트에서 가시성을 제어합니다.
대시보드 보안
대시보드 권한
대시보드를 보고, 편집하고, 관리할 수 있는 사용자를 제어합니다. 대시보드 사용 권한 구성에 대한 단계별 지침은 대시보드 사용 권한 설정을 참조하세요.
| 사용 권한 수준 | 역량 |
|---|---|
| View | 대시보드 및 해당 위젯 보기 |
| 편집 | 대시보드 레이아웃 및 위젯 구성 수정 |
| Manage | 공유 및 권한 관리를 포함한 모든 권한 |
| Delete | 대시보드 및 관련 구성 제거 |
위젯 보안 고려 사항
위젯마다 보안에 미치는 영향은 다양합니다.
- 쿼리 기반 위젯: 기본 작업 항목 쿼리에서 보안을 상속합니다. 자세한 내용은 쿼리에 대한 사용 권한 설정을 참조하세요.
- 분석 위젯: 분석 보기 권한 및 프로젝트 액세스를 따릅니다.
- 외부 위젯: 다른 인증 및 데이터 공유 고려 사항이 필요할 수 있습니다. 자세한 내용은 보안 모범 사례를 참조하세요.
- 사용자 지정 위젯: 보안은 구현 및 데이터 원본에 따라 달라집니다. 자세한 내용은 대시보드 추가, 이름 바꾸기 및 삭제를 참조하세요.
팀 및 프로젝트 대시보드
다양한 조직 수준에서 대시보드 액세스를 관리합니다.
- 팀 대시보드: 팀 구성원 및 프로젝트 관련자가 액세스할 수 있습니다. 자세한 내용은 팀 추가, 한 기본 팀에서 여러 팀으로 이동
- 프로젝트 대시보드: 모든 프로젝트 기여자가 사용할 수 있습니다. 자세한 내용은 프로젝트 수준 권한 변경을 참조하세요.
- 개인 대시보드: 개인 사용자에 대한 비공개
- 조직 대시보드: 전체 조직에서 볼 수 있습니다. 자세한 내용은 조직 또는 컬렉션 수준에서 권한 변경을 참조하세요.
대시보드 유형 및 액세스에 대한 자세한 내용은 대시보드 추가, 이름 바꾸기 및 삭제를 참조하세요.
Power BI 통합 보안
데이터 커넥터 보안
Azure DevOps에서 Power BI를 사용하는 경우 이러한 보안 조치를 구현합니다. 자세한 설정 지침은 Power BI Data Connector에 연결을 참조하세요.
- Microsoft Entra ID와 함께 서비스 주체 사용: 중앙 집중식 ID 관리를 사용하여 자동화된 새로 고침을 위한 애플리케이션 기반 인증을 구현합니다. 자세한 내용은 Microsoft Entra 토큰 사용을 참조하세요.
- 행 수준 보안 구성: 사용자 ID에 따라 Power BI 데이터 필터링
- 새로 고침 자격 증명 관리: Microsoft Entra ID 인증을 사용하여 데이터 원본 자격 증명을 안전하게 저장 및 회전
- 작업 영역 권한 적용: Azure DevOps 데이터를 포함하는 Power BI 작업 영역에 대한 액세스 제어
Power BI의 데이터 개인 정보
Power BI 보고서를 공유할 때 중요한 데이터 보호:
- 데이터 민감도 레이블 구성: 보고서 및 데이터 세트에 적절한 분류 적용
- 공유 제한 구현: Power BI 콘텐츠에 액세스하고 공유할 수 있는 사용자 제어
- 데이터 사용량 모니터링: 액세스 패턴 추적 및 잠재적 보안 문제 식별
- 내보내기 제한 적용: 조직 정책에 따라 데이터 내보내기 기능 제한
Power BI 보안 모범 사례에 대한 자세한 내용은 Power BI 보안 기준을 참조하세요.
규정 준수 및 감사
감사 로깅
포괄적인 감사 로그를 통해 분석 및 보고 활동을 추적합니다.
- 대시보드 액세스 모니터링: 대시보드를 보고 수정하는 사용자를 추적합니다. 자세한 내용은 감사 로그 액세스, 내보내기 및 필터링을 참조하세요.
- 데이터 내보내기 감사: 사용자가 분석 데이터를 내보낼 때 로그
- Power BI 연결 추적: 외부 도구 연결 및 데이터 액세스 모니터링
- 권한 변경 검토: 보안 구성 수정 로그 유지 관리
데이터 보존 및 규정 준수
적절한 데이터 보존 정책 구현:
- 분석 데이터 보존 구성: 기록 데이터에 적절한 보존 기간 설정
- 대시보드 수명 주기 관리: 대시보드 보관 및 삭제에 대한 프로세스 설정
- 문서 데이터 계보: 데이터 원본 및 변환의 레코드 유지 관리
- 규정 준수 보고 구현: 규정 요구 사항에 대한 보고서 생성
데이터 보호에 대한 자세한 내용은 데이터 보호 개요를 참조하세요.
분석 및 보고 보안에 대한 모범 사례
액세스 관리
- 최소 권한 원칙 적용: 분석 및 보고 요구 사항에 필요한 최소 액세스 권한 부여
- 정기적인 액세스 검토 수행: 주기적으로 감사 대시보드 및 분석 권한
- 그룹 기반 관리 사용: 개별 할당이 아닌 보안 그룹을 통해 권한 관리
- 역할 기반 액세스 구현: 다양한 보고 요구 사항에 대한 표준 역할 정의
데이터 보호
- 데이터 민감도 분류: 중요한 메트릭 및 보고서를 식별하고 보호합니다. 자세한 내용은 데이터 보호 개요를 참조하세요.
- 데이터 마스킹 구현: 공유 보고서에서 중요한 정보를 숨기거나 난독 처리합니다. 자세한 내용은 필드 추가 및 수정을 참조하세요.
- 데이터 내보내기 제어: 사용자 역할에 따라 대량 데이터 내보내기 기능을 제한합니다. 자세한 내용은 액세스 수준 변경을 참조하세요.
- 비정상적인 액세스 모니터링: 데이터 액세스 및 보고에서 비정상적인 패턴을 확인합니다. 자세한 내용은 감사 로그 액세스, 내보내기 및 필터링을 참조하세요.
통합 보안
- 외부 연결 보호: 모든 외부 보고 도구에 암호화된 연결을 사용합니다. 자세한 내용은 Microsoft Entra 토큰 사용을 참조하세요.
- 타사 도구 유효성 검사: 외부 분석 도구가 보안 요구 사항을 충족하는지 확인합니다. 자세한 내용은 보안 모범 사례를 참조하세요.
- Microsoft Entra 인증 관리: 개별 토큰 대신 외부 통합에 조직 ID 관리를 사용합니다. 자세한 내용은 Microsoft Entra 토큰 사용을 참조하세요.
- 통합 사용량 모니터링: API 및 외부 연결을 통해 데이터 액세스를 추적합니다. 자세한 내용은 감사 로그 액세스, 내보내기 및 필터링을 참조하세요.
조직 거버넌스
- 보고 표준 설정: 조직 보고를 위해 승인된 도구 및 사례를 정의합니다. 자세한 내용은 보안 모범 사례를 참조하세요.
- 데이터 거버넌스 정책 만들기: 데이터 정확도, 개인 정보 및 사용에 대한 정책을 구현합니다. 자세한 내용은 데이터 보호 개요를 참조하세요.
- 보안에 대한 사용자 교육: 보안 보고 관행 및 잠재적 위험에 대해 팀을 교육합니다. 자세한 내용은 보안 모범 사례를 참조하세요.
- 문서 보안 절차: 보안 구성 및 프로세스에 대한 up-to-date 설명서를 유지 관리합니다. 자세한 내용은 사용 권한 및 보안 그룹 정보를 참조하세요.
일반적인 보안 시나리오
다중 프로젝트 분석
여러 프로젝트에서 분석을 구현하는 경우 명확한 보안 경계를 설정합니다.
예제 시나리오: 여러 제품 팀이 있는 조직은 프로젝트 격리를 유지하면서 통합된 보고가 필요합니다.
Organization: TechCorp
├── Project: ProductA (Team A access only)
├── Project: ProductB (Team B access only)
├── Project: Shared Services (All teams access)
└── Project: Executive Dashboard (Managers only)
이 구성에서는 다음을 수행합니다.
- 팀 구성원은 할당된 프로젝트에 대해서만 분석에 액세스할 수 있습니다. 자세한 내용은 프로젝트 수준 권한 변경을 참조하세요.
- 공유 서비스 메트릭은 종속성 추적을 위해 모든 팀에 표시됩니다.
- 경영진 대시보드 는 중요한 프로젝트 세부 정보를 노출하지 않고도 높은 수준의 메트릭을 제공합니다. 자세한 내용은 대시보드 권한 설정을 참조하세요.
- 프로젝트 간 쿼리는 사용자 권한에 따라 제한됩니다. 자세한 내용은 분석 보기 만들기를 참조하세요.
외부 이해 관계자 보고
외부 관련자와 보고서를 공유할 때 보안을 관리합니다.
- 관련자별 대시보드 만들기: 중요한 세부 정보 없이 관련 메트릭을 표시하는 디자인 보기
- 읽기 전용 액세스 사용: 외부 사용자에 대한 보기 전용 권한 제공
- 시간 제한 액세스 구현: 외부 사용자 액세스에 대한 만료 날짜 설정
- 데이터 필터링 적용: 외부 사용자에게 승인된 정보만 표시되는지 확인
외부 사용자 관리에 대한 지침은 조직에 외부 사용자 추가를 참조하세요.
규정 준수 보고
규정 준수 요구 사항이 있는 조직의 경우:
- 감사 내역 구현: 모든 데이터 액세스 및 수정에 대한 자세한 로그를 유지 관리합니다. 자세한 내용은 감사 로그 액세스, 내보내기 및 필터링을 참조하세요.
- 데이터 보존 정책 적용: 분석 데이터가 규정 보존 요구 사항을 충족하는지 확인합니다. 자세한 내용은 데이터 보호 개요를 참조하세요.
- 데이터 위치 제어: 클라우드 인스턴스의 경우 분석 데이터가 저장되는 위치를 이해합니다. 자세한 내용은 Azure DevOps의 데이터 위치를 참조하세요.
- 규정 준수 보고서 생성: 규정 제출에 대한 표준화된 보고서를 만듭니다. 자세한 내용은 액세스 수준을 사용하여 사용자 목록 내보내기 참조
보안 구성 검사 목록
초기 설정
- [ ] 분석 사용자를 위한 적절한 액세스 수준 구성
- [ ] 보고 요구 사항에 맞게 보안 그룹 설정
- [ ] 분석 액세스에 대한 프로젝트 권한 구성
- [ ] 팀 및 프로젝트 대시보드에 대한 대시보드 권한 설정
- [ ] 적절한 액세스 제어를 사용하여 분석 뷰 구성
- [ ] 데이터 표시 유형을 제어하는 작업 추적 권한 설정
외부 통합
- [ ] 외부 보고 도구에 대한 Microsoft Entra 인증 구성
- [ ] Microsoft Entra ID 인증을 사용하여 Power BI 연결 구성
- [ ] 다중 테넌트 시나리오에 대한 Power BI에서 행 수준 보안 설정
- [ ] 모든 외부 도구 연결 문서화 및 승인
지속적인 관리
- [ ] 분석 및 대시보드 액세스에 대한 정기적인 권한 감사 수행
- [ ] 감사 로그에서 비정상적인 분석 활동 모니터링
- [ ] 팀이 변경됨에 따라 대시보드 권한 검토 및 업데이트
- [ ] Microsoft Entra 인증 관리 및 외부 통합을 위한 자격 증명 회전
- [ ] 분석 데이터 필터링이 올바르게 작동하는지 확인