U bent hier:
OAuth-toegangsbeleid beheren voor een verbonden app: IP-vermindering
Deze controle bepaalt of OAuth-toegangstokens die worden uitgegeven aan een verbonden app, zijn beperkt tot vertrouwde IP-bereiken.
Controlenaam
OAuth-toegangsbeleid beheren voor verbonden apps – IP-vermindering
Aanbevolen configuratie
Selecteer "IP-beperkingen afdwingen".
Overzicht van besturingselementen
Deze controle bepaalt of OAuth-toegangstokens die worden uitgegeven aan een verbonden app, zijn beperkt tot vertrouwde IP-bereiken. Het afdwingen van IP-beperkingen voegt een op een netwerk gebaseerde beveiligingslaag toe die het tokengebruik beperkt tot goedgekeurde locaties.
Beveiligingsrisico indien niet geconfigureerd
Als IP-beperkingen niet worden afgedwongen, kunnen OAuth-tokens vanaf elke netwerklocatie worden gebruikt. Een gecompromitteerd token kan opnieuw worden afgespeeld vanuit niet-vertrouwde netwerken, waardoor het risico op ongeoorloofde API-toegang en blootstelling aan gegevens toeneemt.
Dreigingsscenario's
Token opnieuw afspelen vanuit externe netwerken, misbruik van lang bestaande OAuth-tokens, ongeoorloofde toegang via gecompromitteerde integraties.
Geschatte CVSS-scorebereik
Normaal tot hoog (6,0–8,5).
Overwegingen bij risico-impact
Risico's zijn afhankelijk van machtigingen voor verbonden apps, levensduur van tokens, blootstelling aan integratie en of de integratie internetgericht of intern beperkt is.
Hoger risico wanneer
Verbonden apps hebben brede of bevoorrechte machtigingen, tokens zijn lang geldig en integraties werken via het openbare internet zonder aanvullende beveiliging.
Laag risico wanneer
Deze controle kan als laag risico worden beschouwd wanneer een of meer compenserende controles worden geïmplementeerd, waaronder:
- Afdwingen van digitale certificaten: Verbonden app vereist een clientcertificaat, waardoor het gebruik van een gestolen token zonder toegang tot de privésleutel wordt voorkomen.
- Kortlevende en roterende tokens: Vernieuwingstokens zijn van korte duur en worden vaak geroteerd, waardoor de kans op misbruik wordt beperkt.
- Beleidsvormen voor verbonden apps met grote zekerheid: Multi-factorenauthenticatie (MFA) is vereist voordat OAuth-tokens aan gebruikers worden uitgegeven.
- Privéconnectiviteit: Verkeer wordt gerouteerd via Privé verbinden of privékoppeling, waardoor blootstelling via het openbare internet wordt vermeden.
Overwegingen bij bedrijf en integratie
Klanten moeten integratie-IP-bereiken valideren en coördineren met externe leveranciers om onderbreking van de service te voorkomen bij het afdwingen van IP-beperkingen.
Aanbevolen oplossing
Dwing waar mogelijk IP-beperkingen af, pas machtigingen met de minste rechten toe op Verbonden apps, implementeer compenserende controles wanneer IP-afdwinging niet mogelijk is en bewaak de activiteit van Verbonden apps door middel van vastleggen en beveiligingscontrole.
Begeleiding bij beoordeling van beveiligingstoestand
Beoordeling van beveiligingstoestand benadrukt deze controle om klanten te helpen OAuth-toegangsrisico's in context te beoordelen, rekening houdend met zowel configuratiehiaten als bestaande compenserende controles, en om prioriteitsherstel te sturen in overeenstemming met best practices voor Salesforce-beveiliging.
