Usted estĆ” aquĆ:
Configurar intervalos de direcciones IP de confianza para una aplicaciĆ³n conectada: Intervalos de direcciones IP de confianza para un control de aplicaciĆ³n conectada
Este control restringe el acceso a una aplicaciĆ³n conectada de modo que solo acepta solicitudes de autenticaciĆ³n originadas desde una lista especĆfica de direcciones IP verificadas "incluidas en la lista de admisiĆ³n".
Nombre de control
Aplicaciones conectadas: Configurar intervalos de direcciones IP de confianza para una aplicaciĆ³n conectada: Intervalos de direcciones IP de confianza para una aplicaciĆ³n conectada
ConfiguraciĆ³n recomendada
Especifique los intervalos de IP de confianza desde los que un usuario puede iniciar sesiĆ³n.
DescripciĆ³n general de control
Este control restringe el acceso a una aplicaciĆ³n conectada de modo que solo acepta solicitudes de autenticaciĆ³n originadas desde una lista especĆfica de direcciones IP verificadas "incluidas en la lista de admisiĆ³n".
Riesgo de seguridad si no estĆ” configurado
Sin restricciones de IP, se puede utilizar un token de OAuth o un secreto de cliente comprometidos desde cualquier ubicaciĆ³n del mundo, lo que permite a un atacante omitir completamente el perĆmetro de su red corporativa.
Escenarios de amenazas
Un atacante roba el secreto de cliente de una integraciĆ³n y lo utiliza desde un servidor errĆ³neo en un paĆs diferente para raspar datos de forma programĆ”tica, que se habrĆan bloqueado si la aplicaciĆ³n solo aceptara el trĆ”fico desde su IP de centro de datos conocida.
Intervalo de puntuaje de CVSS estimado
CrĆtico (9,0 a 10,0).
Consideraciones de impacto de riesgo
La ausencia de vallado de PI conduce a una superficie de ataque significativamente mayor, haciendo casi imposible detener ataques automatizados de fuerza bruta o reproducciĆ³n de tokens basados en geografĆa.
Mayor riesgo cuando
Una aplicaciĆ³n conectada estĆ” asociada con un "administrador del sistema" o un usuario de integraciĆ³n de privilegios altos que tiene permisos "Modificar todos los datos".
Bajo riesgo cuando
El escenario es de menor riesgo cuando el usuario de integraciĆ³n tambiĆ©n estĆ” restringido por Intervalos de IP a nivel de perfil, creando un "doble muro" que requiere que el atacante estĆ© en su VPN o red corporativa.
Consideraciones de negocio e integraciĆ³n
La implementaciĆ³n de intervalos de direcciones IP requiere mantener una lista precisa de direcciones IP estĆ”ticas de proveedores externos (como MuleSoft, Workday o AWS), ya que cualquier cambio en su infraestructura podrĆa interrumpir la integraciĆ³n inadvertidamente.
RemediaciĆ³n recomendada
Vaya a la aplicaciĆ³n conectada, haga clic en Modificar polĆticas y, bajo la secciĆ³n RelajaciĆ³n de IP, seleccione "Aplicar restricciones de IP" mientras se asegura de que los intervalos especĆficos estĆ”n definidos en la configuraciĆ³n de Perfil de usuario o Toda la organizaciĆ³n.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica Intervalos de confianza de IP como un "Guardador de red" crĆtico, de modo que incluso con credenciales vĆ”lidas, una integraciĆ³n solo es de "confianza" cuando llama desde una ubicaciĆ³n gestionada y aprobada previamente.
