您在此处:
为连接的应用程序配置受信 IP 范围:连接的应用程序的受信 IP 范围
此控制会限制对连接的应用程序的访问,以便它只接受来自特定已验证“允许列表”IP 地址列表的身份验证请求。
控件名称
连接的应用程序:为连接的应用程序配置受信 IP 范围:连接的应用程序的受信 IP 范围
推荐配置
指定用户可以登录的受信 IP 范围。
控制概览
此控制会限制对连接的应用程序的访问,以便它只接受来自特定已验证“允许列表”IP 地址列表的身份验证请求。
安全风险(如果未配置)
在没有 IP 限制的情况下,可以从全球任何位置使用被盗用的 OAuth 令牌或客户端密码,使攻击者能够完全绕过您的公司网络周边。
威胁场景
攻击者窃取集成的客户端密码,并将其从不同国家/地区的流氓服务器用于以编程方式提取数据,如果应用程序仅接受来自已知数据中心 IP 的流量,这些数据将被阻止。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
没有 IP 屏蔽会导致攻击面明显变大,几乎不可能阻止基于地理位置的自动化暴力或令牌重放攻击。
高风险
连接的应用程序与“系统管理员”或拥有“修改所有数据”权限的高权限集成用户相关联。
低风险
当集成用户也受到简档级 IP 范围的限制时,这种情况的风险更低,从而产生了要求攻击者在您的 VPN 或公司网络上的“双重屏障”。
业务和集成注意事项
实施 IP 范围需要维护来自第三方供应商(例如 MuleSoft、Workday 或 AWS)的静态 IP 的准确列表,因为基础设施中的任何更改都会无意中破坏集成。
建议的补救措施
转到连接的应用程序,单击编辑策略,并在 IP 放宽部分下,选择“强制执行 IP 限制”,同时确保在用户简档或组织范围设置中定义特定范围。
安全健康审查指导
安全运行状况审查将 IP 受信范围识别为关键的“网络守门人”,因此,即使具有有效的凭据,集成也只有在从预先批准和管理的位置调用时才是“受信”的。
另请参阅:
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
