Olet tässä:
Luotettujen IP-alueiden määrittäminen yhdistetylle sovellukselle: Yhdistetyn sovelluksen luotetut IP-alueet
Tämä ohjaus rajoittaa yhdistetyn sovelluksen käyttöoikeuksia siten, että se hyväksyy vain todennuspyynnöt, jotka ovat peräisin vahvistettujen ja "sallittujen" IP-osoitteiden tietystä luettelosta.
Ohjaimen nimi
Yhdistetyt sovellukset: Luotettujen IP-alueiden määrittäminen yhdistetylle sovellukselle: Yhdistetyn sovelluksen luotetut IP-alueet
Suositeltu kokoonpano
Määritä luotetut IP-osoitealueet, joista käyttäjä voi kirjautua sisään.
Ohjauksen yleiskatsaus
Tämä ohjaus rajoittaa yhdistetyn sovelluksen käyttöoikeuksia siten, että se hyväksyy vain todennuspyynnöt, jotka ovat peräisin vahvistettujen ja "sallittujen" IP-osoitteiden tietystä luettelosta.
Tietoturvariski, jos ei määritetty
Ilman IP-rajoituksia, vaarantunutta OAuth-valtuutta tai asiakassalaisuutta voidaan käyttää mistä tahansa paikasta maailmassa, jolloin hyökkääjä voi ohittaa yrityksen verkon alueen kokonaan.
Uhkien skenaariot
Hyökkääjä varastaa integraation asiakassalaisuuden ja käyttää sitä toisessa maassa sijaitsevasta roskapostipalvelimesta kaappaakseen dataa ohjelmallisesti, mikä olisi estetty, jos sovellus hyväksyisi liikenteen vain datakeskuksesi tunnetusta IP-osoitteesta.
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0).
Riskien vaikutuksissa huomioitavia asioita
IP-rajoitusten puuttuminen johtaa merkittävästi suurempaan hyökkäysalueeseen, mikä tekee automatisoitujen, maantieteellisiin rajoituksiin perustuvien brute force- tai token-replay-hyökkäysten pysäyttämisestä lähes mahdotonta.
Korkeampi riski, kun
Yhdistetty sovellus liittyy "järjestelmän pääkäyttäjään" tai korkean käyttöoikeuden integraatiokäyttäjään, jolla on kaikkien tietojen muokkausoikeudet.
Matalan riskin milloin
Tämä skenaario on vähemmän riskialtis, kun integrointikäyttäjä on myös rajoitettu profiilitason IP-alueilla, mikä luo "kaksinkertaisen seinän", joka vaatii, että hyökkääjä on VPN- tai yritysverkostossasi.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
IP-alueiden käyttöönotto vaatii, että ylläpidät tarkan luettelon staattisista IP-osoitteista kolmansien osapuolten toimittajilta (kuten MuleSoftilta, Workdayilta tai AWS:ltä), koska niiden infrastruktuurin muutokset saattavat rikkoa integraation vahingossa.
Suositeltu korjaus
Avaa yhdistetty sovellus, napsauta Muokkaa käytäntöjä ja valitse IP-rajoitusten lieventäminen -osiosta "Käytä IP-rajoituksia" varmistaaksesi, että tietyt alueet on määritetty käyttäjäprofiili- tai organisaationlaajuisissa asetuksissa.
Tietoturvan terveystarkastuksen ohjeet
Tietoturvan terveystarkastus tunnistaa IP-luotetut alueet kriittisiksi ”Verkon portinvalvojiksi”, joten integraatio on ”luotettu” vain, jos se soittaa valmiiksi hyväksytystä ja hallitusta sijainnista, vaikka sillä olisi kelvolliset tunnukset.
