限制登入 IP 範圍

控制名稱

使用者設定檔中的登入 IP 範圍

建議組態

「登入 IP 範圍」是在使用者設定檔中設定的:設定設定檔的登入 IP 範圍 - 設定>設定檔>登入 IP 範圍。

控制概觀

設定檔層級的「登入 IP 範圍」是將 Salesforce 存取權限制為僅授權且由公司控制的網路環境 (例如公司 VPN 或辦公室 IP),以強制執行零 Trust 邊界。此設定檔與網路層防禦組合可確保即使使用者的認證遭竊,攻擊者仍無法從不受信任的外部位置登入,有效地中斷遠端未經授權的存取嘗試。

未設定安全性風險

入侵的密碼或竊取的工作階段權杖可讓攻擊者從任何位置或裝置全域使用。若沒有「登入 IP 範圍」,您將無法在地理和邏輯上封鎖 CRM,進而將資料公開給源自您安全公司網路或 VPN 外部的遠端未經授權存取。

威脅情況

具有竊取認證的攻擊者可以從外部 IP 位址或公用 Wi-Fi 網路登入,完全略過您的內部安全性範圍。由於沒有「登入 IP 範圍」可封鎖連線,因此他們可以從世界任何一處無聲地竊取敏感的 CRM 資料或變更系統組態。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

風險嚴重性取決於登入時授與的使用者族群大小和存取權限。

風險愈高時機

使用者身分驗證不適用 (MFA 或其他) 工作階段未設定為使用工作階段控制來限制工作階段,包括:

• 工作階段逾時原則無效
• 過度允許的存取範圍

低風險或無風險的時機

實作下列一或多個控制項時,可以將此控制項視為低度風險:

• 「MFA 強制執行」或身分驗證已準備就緒:為 Salesforce 使用者強制執行 MFA
• 網路層的 IP 登入限制:具有修改設定權限之使用者的 IP 登入限制
• 登入逾時:當使用者登出 Salesforce 時,自動將使用者登出服務提供者。
• 單一登出:「單一登出」設定為確保所有背景工作階段在使用者登出後登出
• 嚴格密碼原則:固定的密碼原則,其中包含頻繁的密碼輪換/到期日期

業務與整合考量事項

客戶應評估其使用者端點的進入點,以及每個使用者設定檔公開的資料。

建議的補救措施

為組織中的每個設定檔設定登入 IP 範圍。

安全性健康檢閱指南

「安全性健康檢閱」會識別與 IP 範圍相關的平台組態。IP 範圍的設定可透過網路設定或組織 (信任的 IP 範圍) 或透過設定檔層級 (登入 IP 範圍) 進行設定。