Usted está aquí:
Gestionar políticas de acceso de OAuth para una aplicación conectada: Restricciones de direcciones IP
Este control determina si los tokens de acceso de OAuth emitidos en una aplicación conectada están restringidos a intervalos de IP de confianza.
Nombre de control
Gestionar políticas de acceso de OAuth para aplicaciones conectadas: relajación de IP
Configuración recomendada
Seleccione “Aplicar restricciones de IP”.
Descripción general de control
Este control determina si los tokens de acceso de OAuth emitidos en una aplicación conectada están restringidos a intervalos de IP de confianza. La aplicación de restricciones de IP agrega una capa de seguridad basada en red que limita el uso de tokens a ubicaciones aprobadas.
Riesgo de seguridad si no está configurado
Si no se aplican restricciones de IP, los tokens de OAuth se pueden utilizar desde cualquier ubicación de red. Un token comprometido podría reproducirse desde redes no de confianza, aumentando el riesgo de acceso de API no autorizado y exposición de datos.
Escenarios de amenazas
Reproducción de tokens desde redes externas, abuso de tokens de OAuth duraderos, acceso no autorizado a través de integraciones comprometidas.
Intervalo de puntuaje de CVSS estimado
Media a Alta (6,0 a 8,5).
Consideraciones de impacto de riesgo
La gravedad del riesgo depende de los permisos de la aplicación conectada, la vida útil del token, la exposición de la integración y si la integración está de cara a Internet o restringida de forma interna.
Mayor riesgo cuando
Las aplicaciones conectadas tienen permisos amplios o privilegiados, los tokens son duraderos, las integraciones funcionan en Internet pública sin salvaguardias adicionales.
Bajo riesgo cuando
Este control puede considerarse de bajo riesgo cuando se implementan uno o más controles de compensación, incluyendo:
- Aplicación de certificados digitales: La aplicación conectada requiere un certificado de cliente, lo que evita el uso de un token robado sin acceso a la clave privada.
- Tokens de corta duración y rotativos: Los tokens de actualización duran poco y se rotan con frecuencia, limitando el plazo de oportunidad para un mal uso.
- Políticas de aplicaciones conectadas de alta seguridad: Se requiere autenticación de múltiples factores (MFA) antes de emitir tokens de OAuth a usuarios.
- Conectividad privada: El tráfico se enruta a través de Conexión privada o vínculo privado, evitando la exposición a través de Internet pública.
Consideraciones de negocio e integración
Los clientes deben validar intervalos de IP de integración y coordinar con proveedores externos para evitar interrupciones del servicio al aplicar restricciones de IP.
Remediación recomendada
Aplique restricciones de IP donde sea factible, aplique permisos con menos privilegios a Aplicaciones conectadas, implemente controles de compensación cuando la aplicación de IP no sea posible y monitoree la actividad de la Aplicación conectada a través del registro y el monitoreo de seguridad.
Directrices de revisión del estado de seguridad
Security Health Review destaca este control para ayudar los clientes a evaluar los riesgos de acceso de OAuth en contexto, teniendo en cuenta las brechas de configuración y los controles de compensación existentes, y para guiar la solución priorizada alineada con las mejores prácticas de seguridad de Salesforce.
