Vous êtes ici :
Gestion des stratégies d'accès OAuth pour une application connectée : Contrôle de relâche IP
Ce contrôle détermine si les jetons d'accès OAuth émis pour une application connectée sont limités à des plages IP approuvées.
Nom du contrôle
Gestion des stratégies d'accès OAuth pour les applications connectées – Relaxe IP
Configuration recommandée
Sélectionnez « Appliquer les restrictions IP ».
Vue d'ensemble du contrôle
Ce contrôle détermine si les jetons d'accès OAuth émis pour une application connectée sont limités à des plages IP approuvées. L'application automatique des restrictions IP ajoute une couche de sécurité basée sur le réseau qui limite l'utilisation de jetons aux emplacements approuvés.
Risque de sécurité s'il n'est pas configuré
Si les restrictions IP ne sont pas appliquées, des jetons OAuth peuvent être utilisés à partir de n'importe quel emplacement réseau. Un jeton compromis peut être relu à partir de réseaux non approuvés, ce qui augmente le risque d'accès API non autorisé et d'exposition aux données.
Scénarios de menace
Lecture de jetons à partir de réseaux externes, abus de jetons OAuth de longue durée, accès non autorisé via des intégrations compromises.
Plage de score CVSS estimée
Moyen à Élevé (6,0 à 8,5).
Considérations relatives à l'impact sur le risque
La sévérité du risque dépend des autorisations de l'application connectée, de la durée de vie du jeton, de l'exposition à l'intégration et de la disponibilité de l'intégration sur Internet ou restreinte en interne.
Risque plus élevé quand
Les applications connectées disposent d'autorisations larges ou privilégiées, les jetons sont de longue durée, les intégrations fonctionnent sur l'Internet public sans protection supplémentaire.
Risque faible quand
Ce contrôle peut être considéré comme à faible risque lorsqu'un ou plusieurs contrôles compensateurs sont mis en œuvre, notamment :
- Application du certificat numérique : L'application connectée nécessite un certificat client, empêchant l'utilisation d'un jeton volé sans accès à la clé privée.
- Jetons de courte durée et rotatifs : Les jetons d'actualisation sont de courte durée et fréquemment permutés, ce qui limite les possibilités d'utilisation abusive.
- Stratégies d'application connectée High Assurance : L'authentification multifacteur (MFA) est requise avant d'émettre des jetons OAuth pour les utilisateurs.
- Connectivité privée : Le trafic est acheminé via Private Connect ou un lien privé, ce qui évite l'exposition sur Internet public.
Considérations relatives à l'entreprise et à l'intégration
Les clients doivent valider les plages IP d'intégration et coordonner avec des fournisseurs tiers afin d'éviter toute interruption du service lors de l'application des restrictions IP.
Remédiation recommandée
Appliquez les restrictions IP dans la mesure du possible, appliquez les autorisations de moindre privilège aux applications connectées, implémentez des contrôles compensatoires lorsque l'application automatique de la PI est impossible et surveillez l'activité des applications connectées en consignant et en surveillant la sécurité.
Guide d'examen sanitaire de sécurité
Security Health Review met en évidence ce contrôle pour aider les clients à évaluer les risques d'accès OAuth dans leur contexte, en tenant compte des écarts de configuration et des contrôles compensatoires existants, et pour guider les mesures correctives prioritaires conformes aux meilleures pratiques de sécurité de Salesforce.
