您位於此處:
ApexClassCheckforIP 檢查設定為「True」
當他們叫用 Apex 類別時,在 Omnistudio 整合程序中強制執行 IP 限制驗證。
控制名稱
Omnistudio - 物件和欄位級安全性 (選取「ApexClassCheckforIP 檢查設定」設為「True」)。
控制概觀
當他們叫用 Apex 類別時,在 Omnistudio 整合程序中強制執行 IP 限制驗證,確保後端程式碼遵循組織層級信任的 IP 範圍,即使透過低程式碼協調流程層級。
描述
透過「自訂設定」啟用時,Omnistudio 會先根據「登入 IP 範圍」和「網路存取 IP」篩選條件檢查執行使用者的 IP,再允許「整合程序」、「DataRaptors」或其他後端呼叫內的 Apex 類別執行。
建議組態
在「設定」>「自訂設定」>「Omnistudio」全域安全性設定中,選取「ApexClassCheckforIP 檢查設定」設為「True」。
安全性影響
防止透過 Omnistudio 工作流程略過以 IP 為基礎的信任存取;來自不受信任 IP 的入侵帳戶無法執行隱藏為合法整合程序呼叫的敏感 Apex 邏輯。
業務影響
在自訂低程式碼和傳統 Apex 開發中維持一致的 IP 安全性原則。支援 Vlocity/Omnistudio 實作中網路存取控制的合規性需求。
未設定安全性風險
缺少進階安全性檢查強制執行,以嚴格驗證所有使用 Omnistudio 整合程序的使用者其物件、欄位層級和 Apex 類別權限,可允許略過 IP 限制。
威脅情況
入侵的外部/合作夥伴帳戶透過 Omnistudio 整合程序叫用敏感的 Apex 類別來略過 IP 允許清單;來自不受信任網路的攻擊者會透過低程式碼 UI 流程執行特權後端作業。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
IP 限制保護生產資料存取時十分重要。除非在「網路存取」設定中正確設定 VPN IP 範圍,否則可能會封鎖合法的遠端工作人員。
風險愈高時機
Omnistudio 整合程序呼叫 Apex 類別以處理 PII/財務/PHI 資料、強制執行嚴格的 IP 允許清單、啟用外部/Experience Cloud 使用者,或複雜的多雲端 IP 篩選。
低度風險時機
不會設定 IP 限制、內部使用者僅在公司網路上,或 Omnistudio 用於唯讀/顯示目的,無需後端 Apex 整合。
業務與整合考量事項
針對具有 IP 限制的任何生產 Omnistudio 部署必須有。啟用之前,請先確認所有「網路存取」IP 範圍皆包含合法的遠端存取模式。
安全性健康檢閱指南
必須。
受影響的人員
Omnistudio 開發人員建立「整合程序」、安全性管理員管理 IP 允許清單、存取生產環境的遠端/混合式工作人員、使用 Omnistudio 入口網頁的外部合作夥伴。
