위치:
연결된 앱에 대해 신뢰할 수 있는 IP 범위 구성: 연결된 앱의 신뢰할 수 있는 IP 범위
이 제어는 확인된 "허용 목록" IP 주소의 특정 목록에서 생성된 인증 요청만 수락하도록 연결된 앱에 대한 액세스를 제한합니다.
제어 이름
연결된 앱: 연결된 앱에 대해 신뢰할 수 있는 IP 범위 구성: 연결된 앱의 신뢰할 수 있는 IP 범위
권장 구성
사용자가 로그인할 수 있는 신뢰할 수 있는 IP 범위를 지정합니다.
제어 개요
이 제어는 확인된 "허용 목록" IP 주소의 특정 목록에서 생성된 인증 요청만 수락하도록 연결된 앱에 대한 액세스를 제한합니다.
구성되지 않은 경우 보안 위험
IP 제한 없이 손상된 OAuth 토큰 또는 클라이언트 암호를 전 세계 어느 위치에서나 사용할 수 있으므로 공격자가 회사 네트워크 주변을 완전히 우회할 수 있습니다.
위협 시나리오
공격자가 통합의 클라이언트 암호를 훔쳐 다른 국가의 부정확한 서버에서 사용하여 프로그래밍 방식으로 데이터를 스크레이핑합니다. 앱이 알려진 데이터 센터 IP의 트래픽만 수락하면 차단됩니다.
예상 CVSS 점수 범위
중요(9.0~10.0)
위험 영향 고려 사항
IP 펜싱이 없으면 훨씬 더 큰 공격 면적이 생기므로 자동화된 지리 기반 대량 요소 또는 토큰 재생 공격을 거의 중지할 수 없습니다.
위험이 높은 경우
연결된 앱은 "시스템 관리자" 또는 "모든 데이터 수정" 권한이 있는 높은 권한이 있는 통합 사용자와 연결되어 있습니다.
낮은 위험 시기
또한 통합 사용자가 프로필 수준 IP 범위로 제한되어 있어 공격자가 VPN 또는 회사 네트워크에 있어야 하는 "이중 벽"을 만드는 경우 위험이 낮습니다.
비즈니스 및 통합 고려 사항
IP 범위를 구현하려면 인프라스트럭처의 변경 사항이 실수로 통합을 중단할 수 있으므로 타사 공급업체(MuleSoft, Workday 또는 AWS 등)의 정확한 정적 IP 목록을 유지해야 합니다.
권장 수정
연결된 앱으로 이동하여 정책 편집을 클릭하고 IP 완화 섹션 아래에서 "IP 제한 적용"을 선택하고 사용자 프로필 또는 조직 전체 설정에 특정 범위가 정의되어 있는지 확인합니다.
보안 상태 검토 지침
보안 상태 검토는 IP 신뢰할 수 있는 범위를 중요한 "네트워크 게이트키퍼"로 식별하므로 유효한 자격 증명이 있는 경우에도 통합이 사전 승인 및 관리 위치에서 호출되는 경우에만 "신뢰할 수 있습니다."
