로그인 IP 범위 제한 제어

제어 이름

사용자 프로필의 로그인 IP 범위

권장 구성

로그인 IP 범위는 사용자 프로필에 구성됩니다. 프로필의 로그인 IP 범위 설정 - 설정>프로필>로그인 IP 범위.

제어 개요

로그인 IP 범위는 프로필 수준에서 허가된 회사 제어 네트워크 환경(예: 기업 VPN 또는 사무실 IP)에만 Salesforce 액세스를 제한하여 제로 Trust 경계를 적용합니다. 이 프로필 및 네트워크 계층 방어 조합을 사용하면 사용자의 자격 증명이 도난된 경우에도 공격자가 신뢰할 수 없는 외부 위치에서 로그인할 수 없어 원격 무단 액세스 시도를 효과적으로 중단할 수 있습니다.

구성되지 않은 경우 보안 위험

암호가 손상되었거나 도난된 세션 토큰을 사용하면 공격자가 전 세계 모든 위치 또는 장치에서 사용할 수 있습니다. 로그인 IP 범위가 없으면 CRM을 지리적 및 논리적으로 묶을 수 있는 기능을 잃어버리므로 보안된 기업 네트워크 또는 VPN 외부에서 생성되는 원격 무단 액세스에 데이터가 노출됩니다.

위협 시나리오

자격 증명이 도난된 공격자는 외부 IP 주소 또는 공용 Wi-Fi 네트워크에서 로그인하여 내부 보안 경계를 완전히 우회할 수 있습니다. 연결을 차단할 로그인 IP 범위가 없으므로 전 세계 어디서나 중요한 CRM 데이터를 자동으로 추출하거나 시스템 구성을 변경할 수 있습니다.

예상 CVSS 점수 범위

중요(9.0~10.0)

위험 영향 고려 사항

위험 심각도는 로그인 시 부여된 사용자 모집단 규모 및 액세스 권한에 따라 다릅니다.

위험이 높은 경우

사용자 ID 확인이 적용되지 않음(MFA 또는 기타) 세션은 다음을 포함하여 세션을 제한하기 위해 세션 제어를 사용하여 구성되지 않았습니다.

• 비효과 세션 시간 제한 정책
• 과도하게 허용되는 액세스 범위

낮은 위험 또는 비위험

다음 중 하나 이상이 구현되면 이 제어가 낮은 위험으로 간주될 수 있습니다.

• MFA 적용 또는 ID 확인: Salesforce 사용자에게 MFA 적용
• 네트워크 계층의 IP 로그인 제한: 설정을 수정할 권한이 있는 사용자의 IP 로그인 제한
• 로그인 시간 제한: Salesforce에서 로그아웃하면 사용자가 서비스 공급자에서 자동으로 로그아웃됩니다.
• 단일 로그아웃: 사용자가 로그아웃한 후 모든 백그라운드 세션이 로그아웃되도록 단일 로그아웃이 구성됨
• 엄격한 암호 정책: 암호 순환/만료 일자가 자주 포함된 엄격한 암호 정책

비즈니스 및 통합 고려 사항

고객은 사용자의 끝점의 입력 지점과 각 사용자 프로필이 노출되는 데이터를 평가해야 합니다.

권장 수정

조직의 각 프로필에 대한 로그인 IP 범위를 설정합니다.

보안 상태 검토 지침

보안 상태 검토는 IP 범위와 관련된 플랫폼 구성을 식별합니다. IP 범위 설정은 네트워크 설정 또는 조직(신뢰할 수 있는 IP 범위) 또는 프로필 수준(로그인 IP 범위)을 통해 구성할 수 있습니다.