Ti trovi qui:
Limitazione degli intervalli IP di accesso
Intervalli IP di accesso a livello di profilo è imporre il limite zero Trust limitando l'accesso a Salesforce solo agli ambienti di rete autorizzati e controllati dall'azienda (ad esempio, una VPN aziendale o un IP ufficio).
Nome controllo
Intervalli IP di accesso nei profili utente
Configurazione consigliata
Gli intervalli IP di accesso sono configurati nel profilo utente: Imposta Intervallo IP di accesso per i profili - Imposta>Profilo>Intervalli IP di accesso.
Panoramica sul controllo
Intervalli IP di accesso a livello di profilo è imporre un limite di Trust zero limitando l'accesso a Salesforce solo agli ambienti di rete autorizzati e controllati dall'azienda (ad esempio, una VPN aziendale o un IP ufficio). Questa combinazione di profilo e difesa a livello di rete garantisce che, anche se le credenziali di un utente vengono rubate, un aggressore non possa accedere da una posizione esterna non affidabile, neutralizzando efficacemente i tentativi di accesso remoto non autorizzato.
Rischio per la sicurezza se non configurato
Una password compromessa o un token di sessione rubato consente all'autore dell'attacco di utilizzarlo da qualsiasi posizione o dispositivo a livello globale. Senza Intervalli IP di accesso, si perde la possibilità di recintare geograficamente e logicamente il CRM, lasciando i dati esposti all'accesso remoto non autorizzato che ha origine all'esterno della rete aziendale protetta o della VPN.
Scenari di minaccia
Un aggressore con credenziali rubate può accedere da un indirizzo IP straniero o da una rete Wi-Fi pubblica, aggirando completamente il perimetro di sicurezza interno. Poiché non esistono intervalli IP di accesso per bloccare la connessione, possono esfiltrare silenziosamente dati CRM sensibili o modificare le configurazioni di sistema da qualsiasi parte del mondo.
Intervallo di punteggi CVSS stimato
Critico (9.0–10.0).
Considerazioni sull'impatto del rischio
La gravità del rischio dipende dalle dimensioni della popolazione degli utenti e dai privilegi di accesso concessi al momento dell'accesso.
Rischio maggiore quando
La verifica dell'identità dell'utente non è attiva (MFA o altro) La sessione non è configurata con controlli di sessione per limitare la sessione, che includono:
- Policy di timeout sessione inefficace
- Ambito di accesso eccessivamente permissivo
Rischio basso o nullo quando
Questo controllo può essere considerato a basso rischio quando vengono implementati uno o più dei seguenti elementi:
- L'imposizione della MFA o la verifica dell'identità è attiva: La MFA viene applicata per gli utenti Salesforce
- Limitazione di accesso IP a livello di rete: Limitazione di accesso IP per gli utenti con privilegi di modifica dell'impostazione
- Timeout di accesso: Disconnette automaticamente gli utenti dal fornitore di servizi quando si disconnettono da Salesforce.
- Single Logout: Single Logout è configurato per garantire che tutte le sessioni in background vengano disconnesse dopo che l'utente si è disconnesso
- Policy password rigorosa: Policy rigorosa sulle password in vigore, che include una frequente rotazione/data di scadenza delle password
Considerazioni su Business e integrazione
I clienti devono valutare i punti di ingresso degli endpoint degli utenti e i dati a cui è esposto ogni profilo utente.
Rimedio consigliato
Impostare gli intervalli IP di accesso per ogni profilo dell'organizzazione.
Guida all'esame dello stato della sicurezza
Security Health Review identifica la configurazione della piattaforma correlata agli intervalli IP. L'impostazione degli intervalli IP può essere configurata tramite l'impostazione di rete o l'organizzazione (Intervalli IP affidabili) o tramite il livello di profilo (Intervalli IP di accesso).
