Вы находитесь здесь:
Настройка диапазонов надежных IP-адресов для связанного приложения: Диапазоны надежных IP-адресов для элемента управления связанным приложением
Этот элемент управления ограничивает доступ к связанному приложению, поэтому он принимает только запросы проверки подлинности, исходящие из определенного списка проверенных IP-адресов, «указанных в списке разрешенных».
Управление именем
Связанные приложения: Настройка диапазонов надежных IP-адресов для связанного приложения: Диапазоны надежных IP-адресов для связанного приложения
Рекомендованная конфигурация
Укажите диапазоны надежных IP-адресов, с которых пользователь может войти.
Общие сведения о контроле
Этот элемент управления ограничивает доступ к связанному приложению, поэтому он принимает только запросы проверки подлинности, исходящие из определенного списка проверенных IP-адресов, «указанных в списке разрешенных».
Риск безопасности, если он не настроен
Без ограничений IP-адресов скомпрометированный маркер OAuth или секрет клиента можно использовать из любого расположения в мире, что позволит взломщику полностью обойти периметр корпоративной сети.
Сценарии угроз
Злоумышленник похищает секрет клиента интеграции и использует его с сервера-изгоя в другой стране для программного удаления данных, которые были бы заблокированы, если бы приложение принимало трафик только из известного IP-адреса центра обработки и хранения данных.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Отсутствие IP-ограждения приводит к значительному увеличению поверхности атаки, что делает практически невозможным прекращение автоматических атак грубой силой на основе географии или атак с использованием маркера.
Повышенный риск при
Связанное приложение связано с «Системным администратором» или пользователем интеграции с высокими полномочиями «Изменение всех данных».
Низкий риск при
Сценарий ниже, если пользователь интеграции также ограничен диапазонами IP-адресов на уровне профиля, создавая «двойную стену», которая требует наличия злоумышленника в VPN или корпоративной сети.
Рекомендации по бизнесу и интеграции
Внедрение диапазонов IP-адресов требует сохранения точного списка статических IP-адресов от сторонних поставщиков (например, MuleSoft, Workday или AWS), поскольку любые изменения в их инфраструктуре могут случайно нарушить интеграцию.
Рекомендованное исправление
Перейдите в связанное приложение, нажмите «Редактировать политики» и в разделе «Смягчение IP-адресов» выберите «Применить ограничения IP-адресов», убедившись, что определенные диапазоны определены в профиле пользователя или единых параметрах.
Руководство по проверке состояния безопасности
Проверка состояния безопасности определяет надежные диапазоны IP-адресов в качестве важного «Вратаря сети», поэтому даже с действительными регистрационными данными интеграция «надежна» только при вызове из предварительно утвержденного и управляемого расположения.
