Olet tässä:
Yhdistetyn sovelluksen OAuth-käyttöoikeuskäytäntöjen hallinta: IP-rajoitusten lievennys
Tämä ohjaus määrittää, rajoitetaanko yhdistetylle sovellukselle myönnetyt OAuth-käyttöoikeusvaltuudet luotettuihin IP-alueisiin.
Ohjaimen nimi
Yhdistettyjen sovellusten OAuth-käyttöoikeuskäytäntöjen hallinta – IP-rajoitusten lieventäminen
Suositeltu kokoonpano
Valitse ”Käytä IP-rajoituksia”.
Ohjauksen yleiskatsaus
Tämä ohjaus määrittää, rajoitetaanko yhdistetylle sovellukselle myönnetyt OAuth-käyttöoikeusvaltuudet luotettuihin IP-alueisiin. IP-rajoitusten käyttöönotto lisää verkkoon perustuvan suojauskerroksen, joka rajoittaa valtuuksien käyttöä hyväksyttyihin sijainteihin.
Tietoturvariski, jos ei määritetty
Jos IP-rajoituksia ei noudateta, OAuth-valtuuksia voidaan käyttää mistä tahansa verkkosijainnista. Vaarantunut valtuus saatetaan toistaa epäluotetuista verkostoista, mikä lisää valtuuttamattoman API-käyttöoikeuden ja datan altistumisen riskiä.
Uhkien skenaariot
Valtuuksien toistaminen ulkoisista verkostoista, pitkäaikaisten OAuth-valtuuksien väärinkäyttö, valtuuttamattomat käyttöoikeudet vaarantuneiden integraatioiden kautta.
Arvioitu CVSS-pistealue
Keskipitkä–korkea (6.0–8.5).
Riskien vaikutuksissa huomioitavia asioita
Riskien vakavuus riippuu yhdistetyn sovelluksen käyttöoikeuksista, valtuuden elinkaaresta, integraation altistumisesta ja siitä, onko integraatio Internet-yhteys vai sisäinen rajoitus.
Korkeampi riski, kun
Yhdistetyillä sovelluksilla on laajat käyttöoikeudet tai etuoikeudet, valtuudet ovat pitkäaikaisia, integraatiot toimivat julkisen internetin kautta ilman lisäsuojauksia.
Matalan riskin milloin
Tätä ohjainta voidaan pitää vähäriskisenä, kun yksi tai useampi korvaava ohjaus on käytössä, mukaan lukien:
- Digitaalisten sertifikaattien pakottaminen: Yhdistetty sovellus vaatii asiakassertifikaatin, mikä estää varastetun valtuuden käytön ilman yksityisen avaimen käyttöoikeutta.
- Lyhytaikaiset ja kierrättävät tokenit: Päivitysvaltuudet ovat lyhytaikaisia ja ne kierrätetään usein, mikä rajoittaa mahdollisuuksien käyttöä väärin.
- Yhdistettyjen sovellusten korkean vahvistuksen käytännöt: Monimenetelmäinen todennus (MFA) on pakollinen ennen kuin OAuth-valtuudet myönnetään käyttäjille.
- Yksityinen yhteys: Liikenne reititetään Private Connectin tai yksityisen linkin kautta, jolloin sitä ei näytetä julkisen internetin kautta.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Asiakkaiden tulisi vahvistaa integraation IP-osoitealueet ja tehdä yhteistyötä kolmansien osapuolten toimittajien kanssa välttyäkseen palveluhäiriöiltä, kun he noudattavat IP-rajoituksia.
Suositeltu korjaus
Noudata IP-rajoituksia aina, kun se on mahdollista, sovella yhdistettyihin sovelluksiin vähiten käyttöoikeuksia, ottaa käyttöön korvaavia asetuksia, kun IP-rajoituksia ei voida noudattaa, ja valvo yhdistettyjen sovellusten toimintaa lokien ja tietoturvan valvonnan avulla.
Tietoturvan terveystarkastuksen ohjeet
Suojauksen terveystarkastus korostaa tämän ohjaimen auttaakseen asiakkaita arvioimaan OAuth-käyttöoikeuksien riskejä asiayhteydessä, ottamaan huomioon kokoonpanon aukot ja olemassa olevat korvaavat ohjaimet sekä opastamaan priorisoituja korjauksia Salesforcen tietoturvan suositeltujen käytäntöjen mukaisesti.
