Du er her:
Begrense IP-områder for pålogging
IP-områder for pålogging på profilnivå er å håndheve Trust null ved å begrense Salesforce-tilgang til bare autoriserte, firmakontrollerte nettverksmiljøer (som en firmanettverks- eller kontor-IP-adresse).
Navn på kontroll
IP-områder for pålogging i brukerprofiler
Anbefalt konfigurasjon
IP-områder for pålogging er konfigurert i brukerprofilen: Konfigurere IP-område for pålogging for profiler - Oppsett>Profil>IP-områder for pålogging.
Oversikt over kontroll
IP-områder for pålogging på profilnivå er å håndheve en grense for null Trust ved å begrense Salesforce-tilgang til bare autoriserte, firmakontrollerte nettverksmiljøer (som en firmanettverks- eller kontor-IP-adresse). Denne kombinasjonen av profil- og nettverkslagbeskyttelse sikrer at selv om en brukers legitimasjon blir stjålet, kan ikke en angriper logge seg på fra et eksternt, ikke-klarert sted, noe som effektivt nøytraliserer eksterne uautoriserte tilgangsforsøk.
Sikkerhetsrisiko hvis ikke konfigurert
Et kompromittert passord eller stjålet økttoken lar angriperen bruke fra hvilket som helst sted eller enhet globalt. Uten IP-områder for pålogging mister du muligheten til å geografisk og logisk avgrense CRM-et, slik at dataene eksponeres for ekstern uautorisert tilgang som kommer utenfor det sikre firmanettverket eller VPN-et.
Trusselscenarier
En angriper med stjålet legitimasjon kan logge seg på fra en fremmed IP-adresse eller et offentlig Wi-Fi-nettverk og omgå den interne sikkerhetsperioden helt. Fordi det ikke er noen IP-områder for pålogging som blokkerer tilkoblingen, kan de stille eksfiltrere sensitive CRM-data eller endre systemkonfigurasjoner fra hvor som helst i verden.
Beregnet CVSS Score-område
Kritisk (9.0–10.0).
Viktige punkter om risikoinnvirkning
Risikoens alvorlighetsgrad avhenger av brukerpopulasjonens størrelse og tilgangsrettigheter som gis ved pålogging.
Høyere risiko når
Brukeridentitetsbekreftelse er ikke på plass (MFA eller andre) Økt er ikke konfigurert med økskontroller for å begrense økt, som inkluderer følgende:
- Policy for ineffektiv tidsavbrudd for økt
- Omfang for tillatt tilgang
Lav eller ingen risiko når
Denne kontrollen kan vurderes som lav risiko når ett eller flere av følgende er implementert:
- MFA-håndhevelse eller identitetsbekreftelse er på plass: MFA håndheves for Salesforce-brukere
- IP-påloggingsrestriksjon på nettverkslaget: IP-påloggingsrestriksjon for brukere med rettigheter til å endre oppsettet
- Påloggingstidsavbrudd: Logg brukere automatisk av tjenesteleverandøren når de logger seg av Salesforce.
- Enkeltavlogging: Enkeltavlogging konfigureres for å sikre at alle bakgrunnsøkter logges av etter at brukeren har logget av
- Streng passordpolicy: Streng passordpolicy på plass, som inkluderer hyppig rotasjon av passord/utløpsdato
Viktige punkter om virksomheten og integrasjonen
Kunder bør evaluere inngangspunkter for brukernes sluttpunkter og hvilke data hver brukerprofil er eksponert for.
Anbefalt rettelse
Konfigurer IP-områder for pålogging for hver profil i organisasjonen.
Veiledning for vurdering av sikkerhetstilstand
Sikkerhetstilstandsvurdering identifiserer plattformkonfigurasjonen relatert til IP-områder. Oppsett av IP-områder kan konfigureres via nettverksoppsettet eller organisasjonen (klarerte IP-områder) eller via profilnivået (påloggings-IP-områder).
