Limiter les plages IP de connexion

Nom du contrôle

Plages IP de connexion dans les profils utilisateur

Configuration recommandée

Les plages IP de connexion sont configurées dans le profil utilisateur : Configuration Plage IP de connexion pour les profils - Configuration>Profil>Plages IP de connexion.

Vue d'ensemble du contrôle

Plages IP de connexion au niveau du profil est d'appliquer une frontière zéro Trust en limitant l'accès Salesforce uniquement aux environnements réseau autorisés et contrôlés par l'entreprise (comme un VPN d'entreprise ou IP de bureau). Cette combinaison profil et défense au niveau réseau garantit que même si les identifiants d'un utilisateur sont volés, un assaillant ne peut pas se connecter à partir d'un emplacement externe non approuvé, ce qui neutralise efficacement les tentatives d'accès non autorisé à distance.

Risque de sécurité s'il n'est pas configuré

Un mot de passe compromis ou un jeton de session volé permet à l'assaillant d'utiliser n'importe quel emplacement ou appareil dans le monde entier. Sans Plages IP de connexion, vous perdez la possibilité de clôturer géographiquement et logiquement votre CRM, laissant vos données exposées à un accès non autorisé distant provenant de l'extérieur de votre réseau d'entreprise sécurisé ou VPN.

Scénarios de menace

Un assaillant avec des identifiants volés peut se connecter depuis une adresse IP étrangère ou un réseau Wi-Fi public, en contournant entièrement votre périmètre de sécurité interne. Aucune plage IP de connexion ne bloque la connexion. Par conséquent, ils peuvent exfiltrer en silence des données CRM confidentielles ou modifier les configurations système depuis n'importe où dans le monde.

Plage de score CVSS estimée

Critique (9,0 à 10,0).

Considérations relatives à l'impact sur le risque

La sévérité du risque dépend de la taille de la population d'utilisateurs et des privilèges d'accès accordés lors de la connexion.

Risque plus élevé quand

La vérification de l'identité de l'utilisateur n'est pas en place (MFA ou autres) La session n'est pas configurée avec des contrôles de session pour limiter la session, qui comprennent :

• Stratégie d'expiration de session inefficace
• Étendue de l'accès trop permissif

Risque faible ou nul

Ce contrôle peut être considéré comme à faible risque lorsqu'un ou plusieurs des éléments suivants sont mis en œuvre :

• L'application automatique de la MFA ou la vérification de l'identité est en place : Application automatique de la MFA pour les utilisateurs de Salesforce
• Restriction de la connexion IP au niveau de la couche réseau : Restriction de la connexion IP pour les utilisateurs qui disposent de privilèges de modification de la configuration
• Expiration de la connexion : Déconnectez automatiquement les utilisateurs du fournisseur de services lorsqu'ils se déconnectent de Salesforce.
• Déconnexion unique : La déconnexion unique est configurée pour s'assurer que toutes les sessions en arrière-plan sont déconnectées après la déconnexion de l'utilisateur.
• Stratégie de mot de passe stricte : Politique de mot de passe stricte en place, qui inclut une rotation/date d'expiration fréquente des mots de passe

Considérations relatives à l'entreprise et à l'intégration

Les clients doivent évaluer les points d'entrée des points de terminaison de leurs utilisateurs et les données auxquelles chaque profil utilisateur est exposé.

Remédiation recommandée

Configurez des plages IP de connexion pour chaque profil de l'organisation.

Guide d'examen sanitaire de sécurité

Security Health Review identifie la configuration de la plate-forme associée aux plages IP. La configuration des plages IP peut être configurée via la configuration du réseau ou de l'organisation (plage IP de confiance) ou via le niveau du profil (plage IP de connexion).