네트워크 액세스 제어

제어 이름

네트워크 액세스 - 신뢰할 수 있는 IP 범위

권장 구성

설정>네트워크 액세스>신규>시작 - IP 주소 종료.

제어 개요

신뢰할 수 있는 IP 범위를 정의합니다.

구성되지 않은 경우 보안 위험

Salesforce 네트워크 액세스에서 신뢰할 수 있는 IP 범위를 구성하지 못하면 사용자가 모든 위치 또는 전역 네트워크에서 로그인을 시도할 수 있으므로 상당한 보안 취약점이 발생합니다. Salesforce는 계속해서 표준 자격 증명을 요구하지만, IP 제한이 없으므로 피싱 또는 자격 증명 채워넣기를 통해 암호가 손상된 경우 공격자가 "신뢰할 수 있는 네트워크" 계층을 우회하고 무단 외부 환경에서 민감한 회사 데이터에 액세스할 수 있습니다.

위협 시나리오

기본 위협 시나리오는 악의적인 작업자가 표적화된 피싱 캠페인을 통해 특권이 높은 사용자의 로그인 자격 증명을 획득하는 자격 증명 수집 공격과 관련이 있습니다. 신뢰할 수 있는 IP 범위를 정의하지 않으면 공격자는 외부 서버 또는 공개 네트워크와 같은 권한이 없는 원격 위치에서 Salesforce에 성공적으로 로그인할 수 있으며, 그러지 않으면 인식되지 않는 IP에 대한 로그인 챌린지를 트리거할 수 있는 보안 계층을 우회할 수 있습니다. 공격자는 내부에서 중요한 고객 데이터를 내보내거나, 중요 구성을 수정하거나, 악성 타사 통합을 설치할 수 있습니다.

예상 CVSS 점수 범위

중요(9.0~10.0)

위험 영향 고려 사항

플랫폼에 저장된 중요한 데이터와 데이터에 액세스할 수 있는 사용자 또는 통합 사용자에 따라 다릅니다.

위험이 높은 경우

중요한 데이터는 사용자 정의 필드에 저장되며 추가 액세스 제한이 적용되지 않으며, 장치 강제 활성화와 같은 Salesforce 보안 기본 제어가 해제됩니다.

낮은 위험 또는 비위험

다음 중 하나 이상이 구현되면 이 제어가 낮은 위험으로 간주될 수 있습니다.

• MFA가 구성됨
• 단일 로그아웃이 구성됨
• 프로필 수준에서 IP 로그인 제한이 활성화됨

비즈니스 및 통합 고려 사항

고객은 통합 사용자와 관련된 IP 주소를 평가해야 합니다.

권장 수정

통합 사용자 및 조직에 연결된 응용 프로그램 네트워크 또는 외부 응용 프로그램 네트워크를 고려하십시오.

보안 상태 검토 지침

보안 상태 검토는 신뢰할 수 있는 IP 주소의 일부로 IP 범위 설정이 있는지 검사하여 네트워크 설정을 식별합니다.