Sie befinden sich hier:
Konfigurieren vertrauenswürdiger IP-Bereiche für eine verbundene Anwendung: Vertrauenswürdige IP-Bereiche für eine verbundene Anwendung
Dieses Steuerelement schränkt den Zugriff auf eine verbundene Anwendung so ein, dass nur Authentifizierungsanforderungen akzeptiert werden, die von einer bestimmten Liste überprüfter IP-Adressen mit "Zulassungslisten" stammen.
Steuerelementname
Verbundene Anwendungen: Konfigurieren vertrauenswürdiger IP-Bereiche für eine verbundene Anwendung: Vertrauenswürdige IP-Bereiche für eine verbundene Anwendung
Empfohlene Konfiguration
Geben Sie die vertrauenswürdigen IP-Bereiche an, über die sich ein Benutzer anmelden kann.
Steuerelementübersicht
Dieses Steuerelement schränkt den Zugriff auf eine verbundene Anwendung so ein, dass nur Authentifizierungsanforderungen akzeptiert werden, die von einer bestimmten Liste überprüfter IP-Adressen mit "Zulassungslisten" stammen.
Sicherheitsrisiko, wenn nicht konfiguriert
Ohne IP-Einschränkungen kann ein kompromittiertes OAuth-Token oder Client-Geheimnis von jedem Standort auf der Welt aus verwendet werden, wodurch ein Angreifer Ihren Unternehmensnetzwerkbereich vollständig umgehen kann.
Bedrohungsszenarien
Ein Angreifer stiehlt das Client-Geheimnis einer Integration und verwendet es von einem Schurkenserver in einem anderen Land, um Daten programmgesteuert zu scrapen. Dies wäre blockiert worden, wenn die Anwendung nur Datenverkehr von Ihrer bekannten Datencenter-IP akzeptiert hätte.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Das Fehlen von IP-Fencing führt zu einer deutlich größeren Angriffsfläche, wodurch automatisierte, geografische Bruteforce- oder Token-Replay-Angriffe nahezu nicht gestoppt werden können.
Höheres Risiko, wenn
Eine verbundene Anwendung ist einem "Systemadministrator" oder einem Integrationsbenutzer mit hohen Berechtigungen zugeordnet, der über die Berechtigung "Alle Daten modifizieren" verfügt.
Geringes Risiko, wenn
Das Risiko ist geringer, wenn der Integrationsbenutzer auch durch IP-Bereiche auf Profilebene eingeschränkt wird, wodurch eine "Doppelwand" erstellt wird, bei der sich der Angreifer in Ihrem VPN oder Unternehmensnetzwerk befinden muss.
Überlegungen zu Unternehmen und Integration
Zum Implementieren von IP-Bereichen muss eine genaue Liste statischer IPs von Drittanbietern (wie MuleSoft, Workday oder AWS) geführt werden, da jede Änderung in ihrer Infrastruktur die Integration versehentlich beeinträchtigen könnte.
Empfohlene Sanierung
Wechseln Sie zur verbundenen Anwendung, klicken Sie auf Richtlinien bearbeiten und wählen Sie unter dem Abschnitt IP-Lockerung die Option IP-Einschränkungen erzwingen aus, während Sie sicherstellen, dass die spezifischen Bereiche in den Einstellungen "Benutzerprofil" oder "Organisationsweit" definiert sind.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert vertrauenswürdige IP-Bereiche als wichtigen "Netzwerk-Gatekeeper", sodass eine Integration selbst bei gültigen Anmeldeinformationen nur dann "vertrauenswürdig" ist, wenn sie von einem vorab genehmigten und verwalteten Standort aus aufgerufen wird.
