Управление политиками доступа OAuth для связанного приложения: Контроль смягчения IP-адресов

Управление именем

Управление политиками доступа OAuth для связанных приложений — смягчение IP-адресов

Рекомендованная конфигурация

Выберите «Применить ограничения IP-адресов».

Общие сведения о контроле

Этот элемент управления определяет, ограничены ли маркеры доступа OAuth, выданные связанному приложению, диапазонами надежных IP-адресов. Применение ограничений IP-адресов добавляет уровень безопасности на основе сети, ограничивающий использование маркера утвержденными расположениями.

Риск безопасности, если он не настроен

Если ограничения IP-адресов не применяются, маркеры OAuth могут использоваться из любого расположения сети. Компрометированный маркер может проигрываться из ненадежных сетей, повышая риск несанкционированного доступа к API и доступа к данным.

Сценарии угроз

Повтор маркера из внешних сетей, злоупотребление долгоживущими маркерами OAuth, несанкционированный доступ посредством скомпрометированных интеграций.

Примерный диапазон оценки CVSS

От среднего до высокого (6,0–8,5).

Рекомендации по влиянию риска

Тяжесть риска зависит от полномочий связанного приложения, срока действия маркера, степени интеграции, а также от того, ориентирована ли интеграция на Интернет или ограничена внутри организации.

Повышенный риск при

Связанные приложения имеют широкие или привилегированные полномочия, маркеры являются долгоиграющими, интеграции работают через общедоступный интернет без дополнительных гарантий.

Низкий риск при

Этот элемент управления можно считать малорисковым при внедрении одного или нескольких компенсирующих элементов управления, включая:

• Внедрение цифровых сертификатов: Связанное приложение требует сертификата клиента, предотвращая использование украденного маркера без доступа к личному ключу.
• Краткосрочные и вращающиеся маркеры: Маркеры обновления недолговечны и часто меняются, ограничивая окно возможности неправильного использования.
• Высоконадежные политики связанного приложения: Многофакторная проверка подлинности (MFA) обязательна перед выдачей маркеров OAuth пользователям.
• Частное подключение: Трафик перенаправляется через Private Connect или личную ссылку, избегая открытия через общедоступный интернет.

Рекомендации по бизнесу и интеграции

Клиенты должны проверить диапазоны IP-адресов интеграции и координировать свои действия со сторонними поставщиками во избежание сбоев обслуживания при применении ограничений IP-адресов.

Рекомендованное исправление

Примените ограничения IP-адресов, где это возможно, примените полномочия с наименьшими правами к связанным приложениям, внедрите компенсирующие элементы управления, когда внедрение IP-адресов невозможно, и отслеживайте действия связанного приложения посредством регистрации и мониторинга безопасности.

Руководство по проверке состояния безопасности

Обзор состояния безопасности выделяет этот элемент управления, чтобы помочь клиентам оценить риски доступа OAuth в контексте, учитывая пробелы в конфигурации и существующие компенсирующие элементы управления, а также для руководства приоритетным исправлением в соответствии с рекомендациями по безопасности Salesforce.