Ti trovi qui:
Gestione delle policy di accesso OAuth per un'applicazione connessa: Riduzione restrizioni IP
Questo controllo determina se i token di accesso OAuth emessi per un'applicazione connessa sono limitati a intervalli IP affidabili.
Nome controllo
Gestione delle policy di accesso OAuth per le applicazioni connesse – Riduzione degli IP
Configurazione consigliata
Selezionare "Applica restrizioni IP".
Panoramica sul controllo
Questo controllo determina se i token di accesso OAuth emessi per un'applicazione connessa sono limitati a intervalli IP affidabili. L'imposizione di restrizioni IP aggiunge un livello di sicurezza basato sulla rete che limita l'utilizzo dei token alle posizioni approvate.
Rischio per la sicurezza se non configurato
Se non vengono applicate restrizioni IP, i token OAuth possono essere utilizzati da qualsiasi posizione di rete. Un token compromesso potrebbe essere riprodotto da reti non affidabili, aumentando il rischio di accesso API non autorizzato e di esposizione dei dati.
Scenari di minaccia
Replay di token da reti esterne, abuso di token OAuth di lunga durata, accesso non autorizzato tramite integrazioni compromesse.
Intervallo di punteggi CVSS stimato
Medio-alto (6,0-8,5).
Considerazioni sull'impatto del rischio
La gravità del rischio dipende dalle autorizzazioni applicazione connessa, dalla durata del token, dall'esposizione all'integrazione e dal fatto che l'integrazione sia rivolta a Internet o limitata internamente.
Rischio maggiore quando
Le applicazioni connesse dispongono di autorizzazioni ampie o privilegiate, i token sono di lunga durata, le integrazioni operano su Internet pubblico senza ulteriori garanzie.
Basso rischio quando
Questo controllo può essere considerato a basso rischio quando vengono implementati uno o più controlli compensativi, tra cui:
- Imposizione dei certificati digitali: L'applicazione connessa richiede un certificato client che impedisce l'uso di un token rubato senza accesso alla chiave privata.
- Token di breve durata e a rotazione: I token di aggiornamento sono di breve durata e ruotano spesso, limitando la finestra di opportunità per un uso improprio.
- High Assurance Connected App Policies (Polizze applicazioni connesse High Assurance): L'autenticazione a più fattori (MFA) è obbligatoria prima di emettere token OAuth per gli utenti.
- Connettività privata: Il traffico viene instradato attraverso Private Connect o un link privato, evitando l'esposizione su Internet pubblico.
Considerazioni su Business e integrazione
I clienti devono convalidare gli intervalli IP di integrazione e coordinarsi con i fornitori di terze parti per evitare interruzioni del servizio quando applicano le restrizioni IP.
Rimedio consigliato
Applicare le restrizioni IP ove possibile, applicare le autorizzazioni con privilegi minimi alle applicazioni connesse, implementare controlli compensativi quando l'imposizione IP non è possibile e monitorare l'attività delle applicazioni connesse tramite il monitoraggio della registrazione e della sicurezza.
Guida all'esame dello stato della sicurezza
Security Health Review mette in evidenza questo controllo per aiutare i clienti a valutare i rischi di accesso OAuth nel contesto, tenendo conto sia delle lacune di configurazione che dei controlli compensativi esistenti e per guidare la correzione prioritaria in linea con le procedure consigliate per la sicurezza di Salesforce.
