Вы находитесь здесь:
Активный контроль уведомлений о просроченном сертификате
Убедитесь, что активные системные администраторы получают своевременные предупреждения до истечения срока действия сертификатов безопасности (SAML, Identity, JWT).
Управление именем
Активное уведомление о просроченном сертификате
Общие сведения о контроле
Убедитесь, что активные системные администраторы получают своевременные предупреждения до истечения срока действия сертификатов безопасности (SAML, Identity, JWT).
Описание
Назначает системное полномочие «Получение уведомления об истечении срока действия сертификата» посредством набора полномочий назначенным системным администраторам, ответственным за обслуживание инфраструктуры.
Рекомендованная конфигурация
Создайте специальный набор полномочий с включенным полномочием «Получение уведомления об истечении срока действия сертификата» и назначьте его как минимум двум активным системным администраторам.
Влияние на безопасность
Предотвращает сбои системы и обходные пути экстренной безопасности, которые часто происходят при неожиданном истечении срока действия сертификатов, вынуждая рабочие группы искать быстрые решения.
Влияние на бизнес
Поддержание времени работы службы и сбоев для пользователей системы. Уменьшает необходимость экстренных изменений, которые обходят стандартные протоколы DevOps/Управление изменениями.
Риск безопасности, если он не настроен
Незамеченное истечение срока действия сертификата приводит к немедленному отказу в обслуживании. При отключении высокого давления рабочие группы могут временно прибегнуть к слабым методам безопасности для восстановления обслуживания, создавая окно уязвимости.
Сценарии угроз
Доступность системы: Пользователи не могут выполнить вход, поскольку срок действия сертификата подписи SAML истек. Ошибка интеграции: Автоматические синхронизации данных не выполняются, поскольку потоки носителей JWT отклоняют просроченные сертификаты.
Примерный диапазон оценки CVSS
Высокий (7,0-8,9).
Рекомендации по влиянию риска
Более высокий риск для организаций со сложным управлением удостоверениями или организаций, использующих Salesforce в качестве IdP для многих внешних приложений в нисходящем направлении.
Повышенный риск при
Бывший сотрудник получает уведомления или если определенное полномочие системы никому не назначено.
Низкий риск при
Существует процесс периодической проверки истечения срока действия сертификата или текущие администраторы получают предупреждения об истечении срока действия сертификатов посредством других механизмов.
Рекомендации по бизнесу и интеграции
Требует одновременного обновления внешних систем при ротации сертификата Salesforce во избежание несоответствия.
Руководство по проверке состояния безопасности
Проверка состояния безопасности сканирует объекты User и PermissionSet для проверки назначения флажка PermissionsReceiveCertificateExpirationNotifications активным пользователям с доступом на уровне администратора.
На кого влияет
Внутренние сотрудники, администраторы и разработчики.
