Usted está aquí:
Gestionar políticas de acceso de OAuth para una aplicación conectada: Restricciones de direcciones IP
Este control determina si los tokens de acceso de OAuth emitidos en una aplicación conectada están restringidos a intervalos de IP de confianza.
Nombre de control
Gestionar políticas de acceso de OAuth para aplicaciones conectadas: relajación de IP
Configuración recomendada
Seleccione “Aplicar restricciones de IP”.
Descripción general de control
Este control determina si los tokens de acceso de OAuth emitidos en una aplicación conectada están restringidos a intervalos de IP de confianza. La aplicación de restricciones de IP agrega una capa de seguridad basada en red que limita el uso de tokens a ubicaciones aprobadas.
Riesgo de seguridad si no está configurado
Si las restricciones de IP no se aplican, los tokens de OAuth se pueden utilizar desde cualquier ubicación de red. Un token comprometido podría reproducirse desde redes no de confianza, aumentando el riesgo de acceso de API no autorizado y exposición de datos.
Escenarios de amenazas
Reproducción de tokens desde redes externas, abuso de tokens de OAuth duraderos, acceso no autorizado a través de integraciones comprometidas.
Intervalo de puntuación de CVSS estimado
Media a Alta (6.0–8.5).
Consideraciones sobre el impacto del riesgo
La gravedad del riesgo depende de los permisos de la aplicación conectada, la duración del token, la exposición de la integración y si la integración está orientada a Internet o restringida internamente.
Riesgo más alto cuando
Las aplicaciones conectadas tienen permisos amplios o privilegiados, los tokens son duraderos, las integraciones funcionan a través de Internet pública sin protecciones adicionales.
Bajo riesgo cuando
Este control puede considerarse de bajo riesgo cuando se implementan uno o más controles de compensación, incluyendo:
- Aplicación de certificado digital: La aplicación conectada requiere un certificado de cliente, evitando el uso de un token robado sin acceso a la clave privada.
- Tokens de corta duración y rotativos: Los tokens de actualización son de corta duración y se rotan con frecuencia, limitando la ventana de oportunidad de mal uso.
- Políticas de aplicación conectada de alta seguridad: Se requiere autenticación de múltiples factores (MFA) antes de emitir tokens de OAuth a usuarios.
- Conectividad privada: El tráfico se enruta a través de Conexión privada o vínculo privado, evitando la exposición a través de Internet pública.
Consideraciones comerciales y de integración
Los clientes deben validar intervalos de IP de integración y coordinar con proveedores externos para evitar interrupciones de servicio al aplicar restricciones de IP.
Remediación recomendada
Aplique restricciones de IP donde sea posible, aplique permisos con menos privilegios a Aplicaciones conectadas, implemente controles de compensación cuando no sea posible la aplicación de IP y supervise la actividad de la Aplicación conectada a través del registro y la supervisión de seguridad.
Directrices de revisión del estado de seguridad
Security Health Review destaca este control para ayudar los clientes a evaluar los riesgos de acceso de OAuth en contexto, teniendo en cuenta las brechas de configuración y los controles de compensación existentes, y para guiar la solución priorizada alineada con las prácticas recomendadas de seguridad de Salesforce.
