Внедрение многофакторной проверки подлинности для организаций Salesforce

Управление именем

Внедрение многофакторной проверки подлинности (MFA) для организаций Salesforce

Рекомендованная конфигурация

Внедрите MFA для всех путей проверки подлинности пользователя, включительно с прямыми входами, единой регистрацией и доступом к API.

Общие сведения о контроле

MFA добавляет фактор помимо паролей, значительно снижая риск взлома организации. Salesforce поддерживает внедрение MFA для прямых входов, проверки подлинности на основе единого входа и доступа к API для защиты пользователей, интеграций и конфиденциальных данных в средах.

Риск безопасности, если он не настроен

Без MFA организации защищены только паролями, которые можно украсть, угадать или повторно использовать, что значительно повышает вероятность несанкционированного доступа. Это особенно актуально для привилегированных пользователей и интеграций API.

Сценарии угроз

Кража регистрационных данных на основе фишинга, атаки паролей с применением грубой силы, повторное использование скомпрометированных регистрационных данных в системах, несанкционированный доступ к API посредством украденных регистрационных данных или маркеров.

Примерный диапазон оценки CVSS

Критические (9,0-10,0).

Рекомендации по влиянию риска

Тяжесть риска зависит от метода проверки подлинности, уровней привилегий пользователя, доступа к организации и от того, происходит ли доступ посредством пользовательского интерфейса, SSO или API.

Повышенный риск при

MFA не применяется для производственных организаций, безопасной среды или организаций разработчика, если сеансы поставщика единой регистрации не поддерживают MFA или если разрешен доступ к API без дополнительных требований проверки подлинности.

Низкий риск при

• MFA прямого входа: MFA включена для всех прямых входов пользователей в производственной, безопасной, пробной и разработчиковой организациях.
• Внедрение MFA SSO: MFA внедряется в поставщике единой регистрации или посредством политик высоконадежной проверки подлинности Salesforce.
• Защита API MFA: Полномочие MFA для входов API включено для защиты доступа на основе API и клиентских приложений.
• Покрытие привилегированного пользователя: MFA применяется для всех без исключения пользователей-администраторов и пользователей с высокими правами.

Рекомендации по бизнесу и интеграции

Клиенты должны оценить совместимость MFA с пользователями, инструментами автоматизации и интеграциями. Бизнес-процессы на основе API могут требовать учетных записей служб или исключений на основе полномочий, поддерживающих надежное управление безопасностью.

Рекомендованное исправление

Обязательно MFA для всех прямых входов, единого входа и доступа к API. Регулярно проверяйте политики и обеспечивайте покрытие привилегированных пользователей.

Руководство по проверке состояния безопасности

Обзор состояния безопасности оценивает внедрение MFA в методах входа, помогая клиентам минимизировать риски на основе регистрационных данных и соответствовать базовым показателям безопасности Salesforce и стандартам Zero Trust.