breadcrumbDescription
Konfigurer sikre IP-områder for en tilsluttet app: Sikrede IP-områder for en tilsluttet app
Denne kontrol begrænser adgang til en tilsluttet app, så den kun accepterer godkendelsesanmodninger, der stammer fra en specifik liste over bekræftede, "tilladte" IP-adresser.
Kontrolnavn
Tilsluttede apps: Konfigurer sikre IP-områder for en tilsluttet app: Sikrede IP-områder for en tilsluttet app
Anbefalet konfiguration
Angiv de betroede IP-områder, hvorfra en bruger kan logge ind.
Kontroller oversigt
Denne kontrol begrænser adgang til en tilsluttet app, så den kun accepterer godkendelsesanmodninger, der stammer fra en specifik liste over bekræftede, "tilladte" IP-adresser.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Uden IP-begrænsninger kan et kompromitteret OAuth-token eller en klienthemmelighed bruges fra enhver placering i verden, så en angriber kan tilsidesætte din virksomheds netværksperimeter fuldstændigt.
Trusselscenarier
En angriber stjæler en integrations klienthemmelighed og bruger den fra en rogue-server i et andet land til programmeringsmæssigt at scrape data, som ville være blevet blokeret, hvis appen kun accepterede trafik fra din kendte datacenter-IP.
Estimeret CVSS-scoringsinterval
Kritisk (9,0-10,0).
Overvejelser i forbindelse med risikopåvirkning
Fraværet af IP-hegn fører til en væsentligt større angrebsoverflade, hvilket gør det næsten umuligt at stoppe automatiserede, geografisk baserede brute force- eller token-replay-angreb.
Højere risiko når
En tilsluttet app er knyttet til en "systemadministrator" eller en højrettighedsintegrationsbruger, der har tilladelsen "Rediger alle data".
Lav risiko når
Scenariet er lavere risiko, når integrationsbrugeren også er begrænset af IP-områder på profilniveau, hvilket skaber en "dobbeltvæg", der kræver, at angriberen er på din VPN eller dit virksomhedsnetværk.
Overvejelser i forbindelse med forretning og integration
Implementering af IP-områder kræver vedligeholdelse af en nøjagtig liste over statiske IP'er fra tredjepartsleverandører (f.eks. MuleSoft, Workday eller AWS), da enhver ændring i deres infrastruktur utilsigtet kan afbryde integrationen.
Anbefalet rettelse
Gå til den tilsluttede app, klik på Rediger politikker, og vælg "Gennemtving IP-begrænsninger" under afsnittet IP-lempelse, mens du sikrer, at de specifikke områder er defineret i indstillingerne Brugerprofil eller For hele organisationen.
Vejledning til sikkerhedstilstandsgennemgang
Sikkerhedstilstandscheck identificerer IP-sikrede områder som en vigtig "Network Gatekeeper", så selv med gyldige legitimationsoplysninger er en integration kun "sikret", når den kaldes fra en forhåndsgodkendt og administreret placering.
