Control de políticas de nivel de seguridad de sesión

Nombre de control

Nivel de seguridad de sesión - Seguridad de sesión de alta seguridad

Configuración recomendada

Active Configuración de alta seguridad, a través de Configuración>Verificación de identidad para estos:

• Informes y Paneles: Controla el acceso a informes y paneles. Esta configuración está también disponible en la página Políticas de acceso de informes y paneles. Puede cambiar esta configuración en cualquier ubicación.
• Gestionar claves de cifrado: Controla el acceso a la página Cifrado de plataforma, la página Configuración de gestión de claves y certificados y el objeto TenantSecret.
• Gestionar proveedores de autenticación: Controla el acceso a la página Proveedores de autenticación, la página Configuración de detalles de usuario y el objeto AuthProvider.
• Gestionar certificados: Controla el acceso a la página Configuración de Gestión de certificados y claves, la página Configuración de Ajustes de inicio de sesión único y el objeto Certificado.
• Gestionar aplicaciones conectadas: Controla el acceso a las páginas Configuración de aplicaciones conectadas y la página Configuración de Gestor de aplicaciones.
• Gestionar exportación de datos: Controla el acceso a la página Configuración de exportación de datos.
• Gestionar direcciones IP: Controla el acceso a la página Configuración de acceso de red.
• Gestionar políticas de acceso de inicio de sesión: Controla el acceso a la página Configuración de políticas de acceso de inicio de sesión.
• Gestionar políticas de contraseña: Controla el acceso a la página Configuración de políticas de contraseña y detalles de perfil.
• Gestionar conjuntos de permisos y perfiles: Controla el acceso a las páginas Conjuntos de permisos y Configuración de perfil y objetos relacionados.
• Gestionar funciones: Controla el acceso a la página Configuración de funciones, el objeto UserRole y el objeto Función en API de metadatos.
• Gestionar colaboración: Controla el acceso a la página Configuración de parámetros de colaboración, el objeto SharingRules y el campo sharingModel de CustomObject en API de metadatos.
• Gestionar autenticación de múltiples factores en API: Controla el acceso a los objetos VerificationHistory, TwoFactorInfo y TwoFactorTempCode.
• Gestionar autenticación de múltiples factores en Interfaz de usuario: Controla el acceso a la página Configuración de Historial de verificación de identidad y los objetos VerificationHistory, TwoFactorInfo y TwoFactorTempCode.
• Gestionar usuarios: controla el acceso a la página Configuración de usuarios.
• Desbloquear usuarios y restablecer contraseñas: Controla el permiso para restablecer contraseñas y desbloquear usuarios en la página Configuración de usuarios.
• Ver comprobación de estado: Controla el acceso a la página Configuración de comprobación de estado

Descripción general de control

El objetivo de control de Seguridad de sesión de alta seguridad es aplicar la "autenticación de pasos" para operaciones de alto riesgo, garantizando que las acciones confidenciales como exportaciones de datos o cambios administrativos requieren un reto de múltiples factores secundario incluso dentro de una sesión activa. Este control de acceso granular evita que un único inicio de sesión correcto otorgue energía incondicional, neutralizando de forma efectiva amenazas de secuestro de sesiones o acceso físico no autorizado a una estación de trabajo desbloqueada.

Riesgo de seguridad si no está configurado

Sin seguridad de sesión de alta seguridad, un inicio de sesión único correcto, incluso desde un dispositivo de confianza, otorga a un usuario privilegios de acceso a operaciones confidenciales como la exportación de informes o la gestión del cifrado.

Escenarios de amenazas

Un atacante que secuestra una sesión de usuario activa (o un usuario malintencionado en un terminal desbloqueado) puede ejecutar de forma silenciosa acciones de alto impacto como exportaciones masivas de datos o cambios de permisos porque no se requiere autenticación secundaria para estas operaciones específicas.

Intervalo de puntuación de CVSS estimado

Alto (7,0–8,9).

Consideraciones sobre el impacto del riesgo

La gravedad del riesgo depende de los niveles de privilegios de usuario, las reglas de colaboración y los mecanismos de autenticación utilizados.

Riesgo más alto cuando

La falta de autenticación segura para la autenticación de Salesforce se utiliza con estándares de contraseña débiles, MFA no se aplica, los intervalos de IP de confianza no están configurados.

Bajo riesgo cuando

Este control puede considerarse de bajo riesgo cuando se implementan uno o más controles de compensación, incluyendo:

• Autenticación de múltiples factores: MFA se aplica en el IdP o a través de políticas de autenticación de alta seguridad de Salesforce.
• Lista de admisión de direcciones IP de inicio de sesión: Restrinja la dirección IP del perfil de usuario para asegurarse de que procede de una red de confianza.
• Cierre de sesión único: Finalice todas las sesiones cuando un usuario cierre sesión.

Consideraciones comerciales y de integración

Los clientes deben tener en cuenta sus procesos comerciales y políticas y estándares de operaciones confidenciales en sus empresas.

Remediación recomendada

Implemente la configuración de Alta seguridad según sea necesario para proteger operaciones confidenciales y alinearse con políticas y estándares de seguridad empresarial.

Directrices de revisión del estado de seguridad

Implemente la configuración de Alta seguridad según sea necesario.