U bent hier:
Inlog-IP-bereiken beperken
Inlog-IP-bereiken op profielniveau zijn bedoeld om de nul Trust grens af te dwingen door Salesforce-toegang te beperken tot alleen geautoriseerde, door het bedrijf beheerde netwerkomgevingen (zoals een bedrijfs-VPN of kantoor-IP).
Controlenaam
Inlog-IP-bereiken in gebruikersprofielen
Aanbevolen configuratie
Inlog-IP-bereiken is geconfigureerd in het gebruikersprofiel: Set-up Inlog-IP-bereik voor profielen - Set-up>Profiel>Inlog-IP-bereiken.
Overzicht van besturingselementen
Inlog-IP-bereiken op profielniveau zijn bedoeld om een Trust grens van nul af te dwingen door Salesforce-toegang te beperken tot alleen geautoriseerde, door het bedrijf beheerde netwerkomgevingen (zoals een bedrijfs-VPN of kantoor-IP). Deze combinatie van profiel- en netwerklaagverdediging zorgt ervoor dat zelfs als de inloggegevens van een gebruiker worden gestolen, een aanvaller niet kan inloggen vanaf een externe, niet-vertrouwde locatie, waardoor pogingen tot externe ongeoorloofde toegang effectief worden geneutraliseerd.
Beveiligingsrisico indien niet geconfigureerd
Een gecompromitteerd wachtwoord of gestolen sessietoken laat aanvallers wereldwijd vanaf elke locatie of elk apparaat gebruiken. Zonder inlog-IP-bereiken verliest u de mogelijkheid om uw CRM geografisch en logisch af te schermen, waardoor uw gegevens worden blootgesteld aan externe ongeoorloofde toegang die afkomstig is van buiten uw beveiligde bedrijfsnetwerk of VPN.
Dreigingsscenario's
Een aanvaller met gestolen inloggegevens kan inloggen vanaf een buitenlands IP-adres of een openbaar Wi-Fi-netwerk, waardoor uw interne beveiligingsperimeter volledig wordt omzeild. Omdat er geen inlog-IP-bereiken zijn om de verbinding te blokkeren, kunnen ze overal ter wereld in stilte gevoelige CRM-gegevens exfiltreren of systeemconfiguraties wijzigen.
Geschatte CVSS-scorebereik
Kritiek (9,0–10,0).
Overwegingen bij risico-impact
De ernst van het risico is afhankelijk van de grootte van de gebruikerspopulatie en de toegangsprivileges die bij inloggen worden verleend.
Hoger risico wanneer
Gebruikersidentiteitsverificatie is niet aanwezig (MFA of anderen) Sessie is niet geconfigureerd met sessiebesturingselementen om de sessie te beperken, waaronder:
- Ineffectief sessietime-outbeleid
- Bereik van te toegestane toegang
Laag of geen risico wanneer
Deze controle kan als laag risico worden beschouwd wanneer een of meer van de volgende zaken worden geïmplementeerd:
- MFA-afdwinging of identiteitsverificatie is ingeschakeld: MFA wordt afgedwongen voor Salesforce-gebruikers
- IP-inlogbeperking op de netwerklaag: IP-inlogbeperking voor gebruikers met machtigingen om de set-up te wijzigen
- Time-out bij inloggen: Log gebruikers automatisch uit bij de serviceprovider wanneer ze uitloggen bij Salesforce.
- Enkelvoudig uitloggen: Enkelvoudig uitloggen is geconfigureerd om ervoor te zorgen dat alle achtergrondsessies worden uitgelogd nadat de gebruiker is uitgelogd
- Strikt wachtwoordbeleid: Strikt wachtwoordbeleid, inclusief frequente wachtwoordrotatie/vervaldatum
Overwegingen bij bedrijf en integratie
Klanten moeten invoerpunten van de eindpunten van hun gebruikers evalueren en aan welke gegevens elk gebruikersprofiel is blootgesteld.
Aanbevolen oplossing
Stel inlog-IP-bereiken in voor elk profiel in de organisatie.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand identificeert de platformconfiguratie die is gerelateerd aan IP-bereiken. Set-up van IP-bereiken kan worden geconfigureerd via de netwerkset-up of de organisatie (Vertrouwde IP-bereiken) of via het profielniveau (Inlog-IP-bereiken).
