Вы находитесь здесь:
Ограничение диапазонов IP-адресов входа
Диапазоны IP-адресов входа на уровне профиля — это внедрение нулевой границы Trust посредством ограничения доступа Salesforce только к авторизованным, контролируемым компанией сетевым средам (например, корпоративный VPN или IP-адрес офиса).
Управление именем
Диапазоны IP-адресов входа в профилях пользователей
Рекомендованная конфигурация
Диапазоны IP-адресов входа настроены в профиле пользователя: Настройка Диапазон IP-адресов входа для профилей - Настройка>Профиль>Диапазоны IP-адресов входа.
Общие сведения о контроле
Диапазоны IP-адресов входа на уровне профиля — это внедрение нулевой границы Trust посредством ограничения доступа Salesforce только к авторизованным, контролируемым компанией сетевым средам (например, корпоративный VPN или IP-адрес офиса). Эта комбинация защиты профиля и уровня сети обеспечивает, что даже при краже регистрационных данных пользователя взломщик не может войти из внешнего ненадежного расположения, эффективно нейтрализуя попытки удаленного несанкционированного доступа.
Риск безопасности, если он не настроен
Взломанный пароль или украденный маркер сеанса позволяет злоумышленнику использовать его из любого расположения или устройства в глобальном масштабе. Без диапазонов IP-адресов входа вы теряете возможность географически и логично оградить CRM, оставляя данные открытыми для удаленного несанкционированного доступа, исходящего из-за пределов защищенной корпоративной сети или VPN.
Сценарии угроз
Злоумышленник с украденными регистрационными данными может войти с иностранного IP-адреса или общедоступной сети Wi-Fi, полностью минуя периметр внутренней безопасности. Поскольку нет диапазонов IP-адресов входа для блокировки подключения, они могут негласно извлекать конфиденциальные данные CRM или изменять конфигурации системы из любой точки мира.
Примерный диапазон оценки CVSS
Критические (9,0-10,0).
Рекомендации по влиянию риска
Тяжесть риска зависит от численности пользователей и прав доступа, предоставленных при входе.
Повышенный риск при
Проверка подлинности пользователя отсутствует (MFA или другие) Сеанс не настроен с элементами управления сеансом для ограничения сеанса, что включает:
- Неэффективная политика времени ожидания сеанса
- Сверхразрешительная область доступа
Низкий или нулевой риск при
Этот элемент управления можно считать низкорисковым при внедрении одного или нескольких из следующих элементов:
- Применяется MFA или проверка подлинности: MFA применяется для пользователей Salesforce
- Ограничение входа IP-адресов на уровне сети: Ограничение входа IP-адресов для пользователей с полномочиями на изменение настроек
- Время ожидания входа: Автоматический выход пользователей из поставщика услуг при выходе из Salesforce.
- Единый выход: Единый выход настроен на обеспечение выхода всех фоновых сеансов после выхода пользователя
- Строгая политика паролей: Введена строгая политика пароля, которая включает частое изменение/истечение срока действия пароля
Рекомендации по бизнесу и интеграции
Клиенты должны оценить точки входа конечных точек пользователей и данные, доступные каждому профилю пользователя.
Рекомендованное исправление
Настройте диапазоны IP-адресов входа для каждого профиля в организации.
Руководство по проверке состояния безопасности
Проверка состояния безопасности определяет конфигурацию платформы, связанную с диапазонами IP-адресов. Настройка диапазонов IP-адресов может быть настроена посредством настройки сети или организации (диапазоны надежных IP-адресов) или на уровне профиля (диапазоны IP-адресов входа).
