为 Salesforce 组织实施多重身份验证

控件名称

Salesforce 组织的多重身份验证 (MFA) 实施

推荐配置

对所有用户身份验证路径强制实施 MFA，包括直接登录、单点登录 (SSO) 和 API 访问。

控制概览

MFA 添加了密码以外的一个因素，大大降低了客户泄露的风险。Salesforce 支持直接登录、基于 SSO 的身份验证和 API 访问的 MFA 实施，以保护用户、集成和跨环境的敏感数据。

安全风险（如果未配置）

如果没有 MFA，帐户仅受密码保护，密码可能被盗、猜测或重复使用，这大大增加了未经授权访问的可能性。对于特权用户和 API 集成来说尤其如此。

威胁场景

基于网络钓鱼的凭据盗窃、暴力密码攻击、跨系统重复使用的泄露凭据、使用盗窃凭据或令牌的未授权 API 访问。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

风险严重性取决于身份验证方法、用户权限级别、组织的暴露程度，以及访问是通过 UI、SSO 还是 API 进行的。

高风险

当 SSO 提供商会话缺少 MFA 时，或者当允许 API 访问而没有额外的身份验证要求时，不会对生产组织、Sandbox 或开发人员组织强制执行 MFA。

低风险

• 直接登录 MFA：对于生产、Sandbox、试用和开发人员组织中的所有直接用户登录，启用 MFA。
• SSO MFA 强制执行：MFA 在 SSO 提供商处或通过 Salesforce 高保证身份验证策略强制执行。
• API MFA 保护：启用适用于 API 登录的 MFA 权限，以保护基于 API 的访问和客户端应用程序。
• 特权用户覆盖范围：对于所有管理员和高权限用户，将毫无例外地强制执行 MFA。

业务和集成注意事项

客户应评估 MFA 与用户群体、自动化工具和集成的兼容性。基于 API 的工作流可能需要服务帐户或基于权限的异常，这些异常仍保持强大的安全控制。

建议的补救措施

为所有直接登录、SSO 和 API 访问强制实施 MFA。定期审计策略，并确保特权用户的覆盖范围。

安全健康审查指导

安全健康审查评估了各种登录方法的 MFA 实施，帮助客户最大限度地减少基于凭据的风险，并满足 Salesforce 安全基准和 Zero Trust 标准。