Implementieren der Multi-Faktor-Authentifizierung für Salesforce-Organisationen

Steuerelementname

Durchsetzung der Multi-Faktor-Authentifizierung (MFA) für Salesforce-Organisationen

Empfohlene Konfiguration

Erzwingen Sie die MFA für alle Benutzerauthentifizierungspfade, einschließlich Direktanmeldungen, Single Sign-On (SSO) und API-Zugriff.

Steuerelementübersicht

Die Multi-Faktor-Authentifizierung fügt neben Kennwörtern einen weiteren Faktor hinzu, wodurch das Risiko von Accountkompromittierungen erheblich reduziert wird. Salesforce unterstützt die Erzwingung der Multi-Faktor-Authentifizierung für direkte Anmeldungen, SSO-basierte Authentifizierung und API-Zugriff, um Benutzer, Integrationen und sensible Daten in verschiedenen Umgebungen zu schützen.

Sicherheitsrisiko, wenn nicht konfiguriert

Ohne MFA werden Accounts nur durch Kennwörter geschützt, die gestohlen, erraten oder wiederverwendet werden können, was die Wahrscheinlichkeit eines nicht autorisierten Zugriffs erheblich erhöht. Dies gilt insbesondere für berechtigte Benutzer und API-Integrationen.

Bedrohungsszenarien

Phishing-basierter Diebstahl von Anmeldeinformationen, Brute-Force-Angriffe mit Kennwörtern, kompromittierte systemübergreifend wiederverwendete Anmeldeinformationen, nicht autorisierter API-Zugriff mit gestohlenen Anmeldeinformationen oder Token.

Geschätzter CVSS-Bewertungsbereich

Kritisch (9.0–10.0).

Überlegungen zu Risikoauswirkungen

Der Risikoschweregrad hängt von der Authentifizierungsmethode, den Benutzerberechtigungsebenen, der Offenlegung der Organisation und davon ab, ob der Zugriff über die Benutzeroberfläche, SSO oder APIs erfolgt.

Höheres Risiko, wenn

Die Multi-Faktor-Authentifizierung wird nicht für Produktionsorganisationen, Sandbox- oder Entwicklerorganisationen erzwungen, wenn SSO-Anbietersitzungen keine Multi-Faktor-Authentifizierung aufweisen oder wenn API-Zugriff ohne zusätzliche Authentifizierungsanforderungen zulässig ist.

Geringes Risiko, wenn

• Direct Login MFA: Die MFA ist für alle direkten Benutzeranmeldungen in Produktions-, Sandbox-, Test- und Entwicklerorganisationen aktiviert.
• SSO MFA Enforcement: Die MFA wird beim SSO-Anbieter oder über Salesforce-Richtlinien für die Authentifizierung mit hoher Sicherung erzwungen.
• API-MFA-Schutz: Die Berechtigung "MFA für API-Anmeldungen" ist aktiviert, um den API-basierten Zugriff und Client-Anwendungen zu schützen.
• Privilegierte Benutzerabdeckung: Die Multi-Faktor-Authentifizierung wird ausnahmslos für alle Administratoren und Benutzer mit hohen Rechten erzwungen.

Überlegungen zu Unternehmen und Integration

Kunden sollten die MFA-Kompatibilität mit Benutzerpopulationen, Automatisierungstools und Integrationen bewerten. API-basierte Workflows können Serviceaccounts oder berechtigungsbasierte Ausnahmen erfordern, die weiterhin strenge Sicherheitskontrollen gewährleisten.

Empfohlene Sanierung

Mandatieren Sie die MFA für alle direkten Anmeldungen, SSO- und API-Zugriffe. Überprüfen Sie Richtlinien regelmäßig und stellen Sie die Abdeckung für berechtigte Benutzer sicher.

Anleitung zur Sicherheitsintegritätsprüfung

Die Sicherheitsintegritätsüberprüfung bewertet die Durchsetzung der Multi-Faktor-Authentifizierung über alle Anmeldemethoden hinweg und hilft Kunden, qualifikationsbasierte Risiken zu minimieren und die Salesforce-Sicherheitsgrundlagen und Zero Trust Standards zu erfüllen.