Sie befinden sich hier:
IP-Bereiche für die Anmeldung begrenzen
IP-Bereiche für die Anmeldung auf Profilebene sollen die Grenze von null Trust erzwingen, indem der Salesforce-Zugriff nur auf autorisierte, unternehmensgesteuerte Netzwerkumgebungen (z. B. Unternehmens-VPN oder Office-IP) eingeschränkt wird.
Steuerelementname
Anmelde-IP-Bereiche in Benutzerprofilen
Empfohlene Konfiguration
IP-Bereiche für die Anmeldung sind im Benutzerprofil konfiguriert: IP-Bereich für die Anmeldung für Profile einrichten – Setup>Profil>IP-Bereiche für die Anmeldung.
Steuerelementübersicht
IP-Bereiche für die Anmeldung auf Profilebene sollen eine Zero Trust Grenze erzwingen, indem der Salesforce-Zugriff nur auf autorisierte, unternehmensgesteuerte Netzwerkumgebungen (z. B. Unternehmens-VPN oder Office-IP) eingeschränkt wird. Durch diese Kombination aus Profil und Netzwerkebene wird sichergestellt, dass sich ein Angreifer nicht über einen externen, nicht vertrauenswürdigen Ort anmelden kann, selbst wenn die Anmeldeinformationen eines Benutzers gestohlen werden. Dadurch werden nicht autorisierte Remote-Zugriffsversuche neutralisiert.
Sicherheitsrisiko, wenn nicht konfiguriert
Ein kompromittiertes Kennwort oder gestohlenes Sitzungstoken ermöglicht Angreifern die Verwendung von jedem Standort oder Gerät weltweit. Ohne IP-Bereiche für die Anmeldung verlieren Sie die Möglichkeit, Ihr CRM geografisch und logisch abzugrenzen, wodurch Ihre Daten einem nicht autorisierten Remote-Zugriff ausgesetzt sind, der außerhalb Ihres geschützten Unternehmensnetzwerks oder VPNs erfolgt.
Bedrohungsszenarien
Ein Angreifer mit gestohlenen Anmeldeinformationen kann sich über eine fremde IP-Adresse oder ein öffentliches WLAN-Netzwerk anmelden und dabei Ihren internen Sicherheitsbereich vollständig umgehen. Da keine IP-Bereiche für die Anmeldung vorhanden sind, um die Verbindung zu blockieren, können sie vertrauliche CRM-Daten stillschweigend exfiltrieren oder Systemkonfigurationen von überall auf der Welt ändern.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Der Risikoschweregrad hängt von der Benutzerpopulationsgröße und den Zugriffsberechtigungen ab, die bei der Anmeldung gewährt werden.
Höheres Risiko, wenn
Die Benutzeridentitätsüberprüfung ist nicht vorhanden (MFA oder andere) Die Sitzung ist nicht mit Sitzungssteuerungen konfiguriert, um die Sitzung zu begrenzen. Dazu zählen:
- Ineffektive Sitzungs-Timeout-Richtlinie
- Zugriffsumfang für zu hohe Berechtigungen
Geringes oder kein Risiko, wenn
Diese Steuerung kann als risikoarm angesehen werden, wenn eine oder mehrere der folgenden Aktionen implementiert sind:
- Die MFA-Erzwingung oder Identitätsüberprüfung ist vorhanden: Die MFA wird für Salesforce-Benutzer erzwungen
- IP-Anmeldeeinschränkung auf Netzwerkebene: IP-Anmeldeeinschränkung für Benutzer mit Berechtigungen zum Ändern des Setups
- Anmelde-Timeout: Melden Sie Benutzer automatisch beim Serviceanbieter ab, wenn sie sich bei Salesforce abmelden.
- Single Logout: Single Logout ist konfiguriert, um sicherzustellen, dass alle Hintergrundsitzungen abgemeldet werden, nachdem sich der Benutzer abgemeldet hat.
- Strenge Kennwortrichtlinie: Strenge Kennwortrichtlinie, einschließlich häufiger Kennwortrotation/Ablaufdatum
Überlegungen zu Unternehmen und Integration
Kunden sollten die Eintrittspunkte der Endpunkte ihrer Benutzer auswerten und die Daten, denen die einzelnen Benutzerprofile ausgesetzt sind.
Empfohlene Sanierung
Richten Sie IP-Bereiche für die Anmeldung für jedes Profil in der Organisation ein.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die Plattformkonfiguration in Bezug auf IP-Bereiche. Das Setup von IP-Bereichen kann über das Netzwerk-Setup oder die Organisation (vertrauenswürdige IP-Bereiche) oder über die Profilebene (Anmelde-IP-Bereiche) konfiguriert werden.
