Você está aqui:
Limitar intervalos de IP de login
Os Intervalos de IP de login no nível de perfil são para impor o limite de zero Trust restringindo o acesso do Salesforce apenas a ambientes de rede autorizados e controlados pela empresa (como um IP corporativo ou de escritório).
Nome do controle
Intervalos de IP de login em perfis de usuário
Configuração recomendada
Os Intervalos de IP de login são configurados no perfil de usuário: Configurar intervalo de IP de login para perfis – Configuração>Perfil>Intervalos de IP de login.
Visão geral de controle
Os Intervalos de IP de login no nível de perfil são para impor um limite de Trust zero restringindo o acesso do Salesforce apenas a ambientes de rede autorizados e controlados pela empresa (como um IP corporativo ou de escritório). Essa combinação de proteção de perfil e camada de rede garante que, mesmo que as credenciais de um usuário sejam roubadas, um invasor não possa fazer login de um local externo não confiável, neutralizando de modo eficaz tentativas remotas de acesso não autorizado.
Risco de segurança, se não configurado
Uma senha comprometida ou um token de sessão roubado permite que o invasor use de qualquer local ou dispositivo globalmente. Sem Intervalos de IP de login, você perde a capacidade de delimitar geograficamente e logicamente seu CRM, deixando seus dados expostos a acesso não autorizado remoto que se origina fora de sua rede corporativa protegida ou VPN.
Cenários de ameaça
Um invasor com credenciais roubadas pode fazer login de um endereço IP estrangeiro ou de uma rede Wi-Fi pública, ignorando totalmente seu perímetro de segurança interno. Como não há Intervalos de IP de login para bloquear a conexão, eles podem silenciosamente extrair dados de CRM confidenciais ou alterar as configurações do sistema de qualquer lugar do mundo.
Intervalo de pontuação de CVSS estimado
Crítico (9.0 a 10.0).
Considerações sobre impacto de risco
A gravidade do risco depende do tamanho da população de usuários e dos privilégios de acesso concedidos no login.
Risco maior quando
A verificação de identidade do usuário não está em vigor (MFA ou outros) A sessão não está configurada com controles de sessão para limitar a sessão, que inclui:
- Política de tempo limite de sessão inativa
- Escopo de acesso permissivo demais
Baixo ou Sem risco quando
Esse controle pode ser considerado de baixo risco quando um ou mais dos seguintes são implementados:
- A imposição de MFA ou a verificação de identidade está em vigor: A MFA é imposta para usuários do Salesforce
- Restrição de login de IP na camada de rede: Restrição de login de IP para usuários com privilégios para modificar a configuração
- Tempo limite de login: Efetue logout automático dos usuários do provedor de serviços quando eles fizerem logout do Salesforce.
- Logout único: O logout único é configurado para garantir que todas as sessões em segundo plano sejam desconectadas após o logout do usuário
- Política de senha rígida: Política de senha rígida em vigor, que inclui rotação frequente/data de expiração da senha
Considerações de negócios e integração
Os clientes devem avaliar os pontos de entrada dos pontos de extremidade de seus usuários e aos quais dados cada perfil de usuário está exposto.
Remediação recomendada
Configure intervalos de IP de login para cada perfil na organização.
Diretriz de revisão de saúde de segurança
A Análise de integridade de segurança identifica a configuração da plataforma relacionada a intervalos de IP. A configuração de intervalos de IP pode ser configurada por meio da configuração de rede ou da organização (Intervalos de IP confiáveis) ou pelo nível de perfil (Intervalos de IP de login).
