Безопасный доступ к туннелю dev с помощью условных политик

Dev Tunnels предлагает упрощенный способ подключения к Dev Box непосредственно из Visual Studio Code, устраняя необходимость использования отдельных приложений, таких как приложение Windows или браузер. Этот метод обеспечивает более немедленный и интегрированный интерфейс разработки. В отличие от традиционных методов подключения, туннели Dev Tunnel упрощают доступ и повышают производительность.

Многие крупные предприятия, использующие Dev Box, имеют строгие политики безопасности и соответствия требованиям, и их код ценен для своего бизнеса. В этой статье объясняется, как настроить политики условного доступа для защиты использования Dev Tunnel в вашей среде.

Предпосылки

Прежде чем продолжить, убедитесь, что у вас есть:

  • Доступ к среде Dev Box.
  • Установлен Visual Studio Code.
  • PowerShell 7.x или более поздней (любая версия в серии 7.x допустима).
  • Соответствующие разрешения для настройки политик условного доступа в идентификаторе Microsoft Entra.

Преимущества условного доступа для туннелей разработки

Политики условного доступа для службы Dev Tunnels:

  • Позвольте Dev Tunnels подключаться с управляемых устройств, но запрещать подключения от неуправляемых устройств.
  • Пусть туннели Dev Tunnels подключаются из определенных диапазонов IP-адресов, но запрещают подключения из других диапазонов IP-адресов.
  • Поддержка других стандартных конфигураций условного доступа.
  • Применяется как к приложению Visual Studio Code, так и к веб-сайту VS Code.

Замечание

В этой статье рассматривается настройка политик условного доступа специально для туннелей разработки. Если вы настраиваете политики для Dev Box более широко, см. статью "Настройка условного доступа для Dev Box".

Настройка политик условного доступа

Чтобы защитить туннели dev с помощью условного доступа, необходимо настроить службу "Туннели разработки" с помощью настраиваемых атрибутов безопасности. В этом разделе описывается процесс настройки этих атрибутов и создание соответствующей политики условного доступа.

Включение службы Dev Tunnels для средства выбора условного доступа

Команда Microsoft Entra ID работает над устранением необходимости подключения приложений для их отображения в средство выбора приложений, с поставкой, ожидаемой в мае. Поэтому мы не работаем над подключением службы туннелирования Dev к средству выбора условного доступа. Вместо этого нацелим службу туннелей разработки в политике условного доступа с помощью настраиваемых атрибутов безопасности.

  1. Следуйте инструкциям по добавлению или отключению определений настраиваемых атрибутов безопасности в идентификаторе Microsoft Entra, чтобы добавить следующий набор атрибутов и новые атрибуты.

    Снимок экрана: процесс определения пользовательского атрибута безопасности в идентификаторе Microsoft Entra.

    Снимок экрана: создание нового атрибута в идентификаторе Microsoft Entra.

  2. Следуйте инструкциям по созданию политики условного доступа , чтобы создать политику условного доступа.

    Скриншот процесса создания политики условного доступа для службы Dev tunnels.

  3. Следуйте инструкциям по настройке настраиваемых атрибутов , чтобы настроить настраиваемый атрибут для службы туннелей разработки.

    Снимок экрана: настройка настраиваемых атрибутов для службы туннелей разработки в идентификаторе Microsoft Entra.

Тестирование

  1. Отключите политику BlockDevTunnelCA.

  2. Создайте Dev Box в тестовом клиенте и выполните следующие команды внутри него. Вы можете создавать и подключаться к туннелям разработки на внешних устройствах.

    code tunnel user login --provider microsoft
code tunnel

  3. Включите политику BlockDevTunnelCA.

    1. Вы не можете установить новые подключения к существующим "Dev туннелям". Если подключение уже установлено, проверьте его с помощью альтернативного браузера.

    2. Все новые попытки выполнить команды на шаге 2 завершаются ошибкой. Обе ошибки

      Снимок экрана: сообщение об ошибке, когда подключение к туннелям dev блокируется политикой условного доступа.

  4. В журналах входа в систему Microsoft Entra ID отображаются эти записи.

    Снимок экрана журналов входа в систему Microsoft Entra ID с записями, связанными с политикой условного доступа Dev-туннелей.

Ограничения

При использовании туннелей dev применяются следующие ограничения:

  • Ограничения назначения политик: невозможно настроить политики условного доступа для службы Dev Box для управления Dev Tunnels для пользователей Dev Box. Вместо этого настройте политики на уровне обслуживания Dev Tunnels, как описано в этой статье.
  • Самостоятельно созданные туннели разработки: нельзя ограничить туннели разработки, которые не управляются службой Dev Box. В контексте Dev Boxes, если объект групповой политики Dev Tunnels настроен для разрешения только избранных идентификаторов клиентов Microsoft Entra, политики условного доступа также могут ограничивать самосозданные туннели разработки.
  • Принудительное применение диапазона IP-адресов. Туннели разработки могут не поддерживать детализированные ограничения IP-адресов. Рассмотрите возможность использования элементов управления на уровне сети или обратитесь к группе безопасности для альтернативных стратегий применения.

Связанный контент

  • Last updated on