重要行動應用程式安全性控制

控制名稱

重要行動應用程式安全性控制

建議組態

• 封鎖中斷的裝置 - 選取「啟用中」與「嚴重性層級」
• 封鎖中間人攻擊 - 選取「啟用中」和「嚴重性層級」
• 最低作業系統版本 - 選取「已啟用」和「嚴重性層級」。指定使用者行動裝置必須符合的最低作業系統 (作業系統) 版本。
• 最高作業系統版本 - 選取「啟用中」與「嚴重性層級」。指定使用者行動裝置不可超過的作業系統 (作業系統) 版本上限。
• 最低應用程式版本 - 選取「已啟用」和「嚴重性層級」。指定必須安裝在使用者行動裝置上的最低應用程式版本。
• 申請版本上限 - 選取「啟用中」與「嚴重性層級」。指定可安裝在使用者行動裝置上的最大應用程式版本。
• 檢查生物識別登入資料 - 選取「已啟用」與「嚴重性層級」。
• 變更生物識別登入資料後登出使用者 - 選取「啟用」
• 裝置重新啟動後登出使用者 - 選取「啟用」
• 封鎖的裝置清單 - 選取「已啟用」並指定值
• 允許的裝置清單 - 選取「已啟用」並指定值
• 封鎖 OS 共用動作 - 選取「啟用」
• 停用 URL 快取 - 選取「啟用」
• 無保單重新整理的離線天數上限 - 選取「已啟用」並指定值
• 封鎖檔案備份 - 選取「啟用」
• 記錄安全性原則評估結果 - 選取「已啟用」
• 記錄螢幕快照 - 選取「已啟用」

控制概觀

此套件的控制項可透過驗證裝置整合度 (洩漏偵測)、作業系統和應用程式健康度 (OS/應用程式版本化),以及資料周邊保護 (封鎖備份、快取和共用動作),來強制執行「零 Trust」行動環境。

未設定安全性風險

敏感資料位於可能有入侵作業系統、過期安全性修補程式或本機儲存空間漏洞的未受管理裝置上,這些漏洞允許其他惡意應用程式將 Salesforce 資料遭到裁切。

威脅情況

攻擊者利用公用 Wi-Fi 上的「中間人」漏洞攔截未加密的流量,或者因為生物特徵變更並未觸發登出,因此可以完全存取 Salesforce 應用程式,因此使用者的竊取電話會容易略過。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

無法透過本機裝置備份或作業系統層級共用動作,將行動安全性商機強制執行至大規模的 PII 洩漏。

風險愈高時機

員工會在沒有這些控制項的情況下使用「自帶裝置」(BYOD),因為公司無法瞭解這些裝置是根式、中斷或執行報廢軟體。

低度風險時機

這些原則與集中式行動裝置管理 (MDM) 解決方案配對,其提供額外一層遠端清除與加密功能。

業務與整合考量事項

實作嚴格的作業系統和應用程式版本需求可能會暫時鎖定使用舊硬體的使用者,因此需要明確的內部通訊計畫和硬體重新整理預算,以避免中斷現場作業。

建議的補救措施

前往「設定>行動應用程式安全性」,啟用每個特定原則 (例如「封鎖中斷的裝置」、「停用 URL 快取」),然後設定「嚴重性層級」(例如「封鎖」以防止不符合的裝置連線)。選擇適用於所需動作的嚴重性層級 (例如,嚴重、錯誤、警告、資訊)。

安全性健康檢閱指南

Security Health Review 會將這些行動特定控制項識別為遠端工作的「硬化邊界」,因此 Salesforce 應用程式即使部署在不受信任或個人硬體上也是安全的 Sandbox。