Du är här:
Hantera OAuth-policyer för åtkomst till en ansluten app: IP-resultat
Denna kontroll avgör om OAuth-åtkomsttokens som utfärdas till en ansluten app är begränsade till betrodda IP-intervall.
Kontrollnamn
Hantera OAuth-policyer för åtkomst till anslutna appar – IP-lättnad
Rekommenderad konfiguration
Välj "Tillämpa IP-begränsningar".
Kontrollöversikt
Denna kontroll avgör om OAuth-åtkomsttokens som utfärdas till en ansluten app är begränsade till betrodda IP-intervall. Att tillämpa IP-begränsningar lägger till ett nätverksbaserat säkerhetslager som begränsar tokenanvändning till godkända platser.
Säkerhetsrisk om den inte är konfigurerad
Om IP-begränsningar inte tillämpas kan OAuth-tokens användas från vilken nätverksplats som helst. En komprometterad token kan spelas upp igen från opålitliga nätverk, vilket ökar risken för obehörig API-åtkomst och dataexponering.
Hotscenarier
Tokenrepris från externa nätverk, missbruk av långlivade OAuth-tokens, obehörig åtkomst genom komprometterade integreringar.
Uppskattat CVSS-betygintervall
Medel till Hög (6,0-8,5).
Att tänka på vad gäller riskpåverkan
Riskernas allvarlighetsgrad beror på behörigheter för den anslutna appen, tokenlivslängd, integreringsexponering och om integreringen är internetbaserad eller internt begränsad.
Högre risk när
Anslutna appar har breda eller privilegierade behörigheter, tokens är långlivade, integreringar fungerar över det offentliga internet utan ytterligare skyddsåtgärder.
Låg risk när
Denna kontroll kan anses vara låg risk när en eller flera kompenserande kontroller implementeras, inklusive:
- Digital certifikattillämpning: Ansluten app kräver ett klientcertifikat, vilket förhindrar användning av en stulen token utan åtkomst till den privata nyckeln.
- Kortlivade och roterande tokens: Uppdateringstokens är kortlivade och roteras ofta, vilket begränsar möjligheten till missbruk.
- Policyer för anslutna appar med hög garanti: Flerfaktorsautentisering (MFA) krävs innan OAuth-tokens utfärdas till användare.
- Privat anslutning: Trafik dirigeras genom Privat anslutning eller privat länk, vilket undviker exponering över det offentliga internet.
Att tänka på vad gäller affärer och integration
Kunder bör validera IP-intervall för integrering och samordna med tredjepartsleverantörer för att undvika serviceavbrott när IP-begränsningar tillämpas.
Rekommenderad åtgärd
Tillämpa IP-begränsningar där det är möjligt, tillämpa behörigheter med minst privilegier för anslutna appar, implementera kompenserande kontroller när IP-tillämpning inte är möjlig och övervaka aktivitet i anslutna appar genom loggning och säkerhetsövervakning.
Vägledning för granskning av säkerhetshälsa
Säkerhetshälsogranskning lyfter fram denna kontroll för att hjälpa kunder bedöma OAuth-åtkomstrisker i sitt sammanhang, med hänsyn till både konfigurationsluckor och befintliga kompenserande kontroller, och för att guida prioriterad korrigering i enlighet med Salesforces rekommenderade metoder för säkerhet.
