您位於此處:
設定連線的應用程式的信任 IP 範圍:連線應用程式的信任 IP 範圍
此控制項會限制對「連線的應用程式」的存取權,以便僅接受來自已驗證且「允許清單」之 IP 位址特定清單的驗證要求。
控制名稱
連線的應用程式:設定連線的應用程式的信任 IP 範圍:連線應用程式的信任 IP 範圍
建議組態
指定使用者可從中登入的信任 IP 範圍。
控制概觀
此控制項會限制對「連線的應用程式」的存取權,以便僅接受來自已驗證且「允許清單」之 IP 位址特定清單的驗證要求。
未設定安全性風險
若沒有 IP 限制,則已入侵的 OAuth 權杖或用戶端密碼可從全球的任何位置使用,讓攻擊者完全略過您的公司網路周圍。
威脅情況
攻擊者竊取整合的「用戶端密碼」,並從不同國家/地區的流氓伺服器使用該密碼,以程式設計的方式取用資料,如果應用程式只接受來自您已知資料中心 IP 的流量,則會封鎖該資料。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
缺少 IP 框架會導致攻擊面積明顯較大,幾乎無法停止以地理為基礎的自動暴力或權杖重新執行攻擊。
風險愈高時機
「連線的應用程式」與「系統管理員」或具有「修改所有資料」權限的高權限整合使用者相關聯。
低度風險時機
當整合使用者也受到「設定檔層級 IP 範圍」限制時,此情況會降低風險,進而建立需要攻擊者位於 VPN 或公司網路上的「雙牆」。
業務與整合考量事項
實作 IP 範圍需要維護來自第三方廠商 (例如 MuleSoft、Workday 或 AWS) 的靜態 IP 精確清單,因為其基礎結構的任何變更可能會不小心中斷整合。
建議的補救措施
前往連線的應用程式,按一下「編輯原則」,然後在「放寬 IP」區段下選取「強制執行 IP 限制」,同時確保在「使用者設定檔」或「組織範圍」設定中定義特定範圍。
安全性健康檢閱指南
「安全性健康審查」會將「IP 信任範圍」識別為重要「網路保護員」,因此即使具有有效認證,整合只會在從預先批准和受管理的位置呼叫時「信任」。
另請參照:
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
