Ti trovi qui:
Configurazione degli intervalli IP affidabili per un'applicazione connessa: Intervalli IP affidabili per un'applicazione connessa
Questo controllo limita l'accesso a un'applicazione connessa in modo che accetti solo le richieste di autenticazione provenienti da un elenco specifico di indirizzi IP verificati "inseriti nell'elenco consentiti".
Nome controllo
Applicazioni connesse: Configurazione degli intervalli IP affidabili per un'applicazione connessa: Intervalli IP affidabili per un'applicazione connessa
Configurazione consigliata
Specificare gli intervalli IP affidabili da cui un utente può accedere.
Panoramica sul controllo
Questo controllo limita l'accesso a un'applicazione connessa in modo che accetti solo le richieste di autenticazione provenienti da un elenco specifico di indirizzi IP verificati "inseriti nell'elenco consentiti".
Rischio per la sicurezza se non configurato
Senza restrizioni IP, un token OAuth o segreto client compromesso può essere utilizzato da qualsiasi posizione nel mondo, consentendo a un aggressore di aggirare completamente il perimetro della rete aziendale.
Scenari di minaccia
Un aggressore ruba il segreto client di un'integrazione e lo utilizza da un server rogue in un paese diverso per eseguire lo scraping dei dati a livello di programmazione, che sarebbe stato bloccato se l'app accettasse solo il traffico dall'IP del data center noto.
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
L'assenza di scherma IP porta a una superficie di attacco significativamente più ampia, rendendo quasi impossibile arrestare gli attacchi brute force o token-replay automatizzati basati sull'area geografica.
Rischio maggiore quando
Un'applicazione connessa è associata a un "amministratore di sistema" o a un utente integrazione con privilegi elevati che dispone delle autorizzazioni "Modifica tutti i dati".
Basso rischio quando
Lo scenario è più rischioso quando l'utente integrazione viene limitato anche dagli intervalli IP a livello di profilo, creando un "double-wall" che richiede che l'autore dell'attacco si trovi nella VPN o nella rete aziendale.
Considerazioni su Business e integrazione
L'implementazione degli intervalli IP richiede la gestione di un elenco preciso di IP statici di fornitori di terze parti (come MuleSoft, Workday o AWS), poiché qualsiasi modifica nell'infrastruttura potrebbe interrompere inavvertitamente l'integrazione.
Rimedio consigliato
Accedere all'applicazione connessa, fare clic su Modifica criteri e, nella sezione Riduzione IP, selezionare "Applica restrizioni IP" assicurando che gli intervalli specifici siano definiti nelle impostazioni del profilo utente o dell'organizzazione.
Guida all'esame dello stato della sicurezza
Security Health Review identifica gli intervalli affidabili IP come un "gatekeeper della rete" critico, in modo che anche con credenziali valide, un'integrazione sia "affidabile" solo quando chiama da una posizione pre-approvata e gestita.
