詳細情報:
WAF: ASN または IP に基づくカスタムファイアウォールルールの定義
この制御により、Salesforce システム管理者は Salesforce コンテンツ配信ネットワーク (CDN) 内に特定のセキュリティ検索条件を作成し、発信元の IP アドレスまたは自律システム番号に基づいて Web トラフィックをブロックまたは許可できます。
コントロール名
ASN または IP に基づくカスタムファイアウォールルールの定義
推奨設定
Salesforce CDN 設定で、ASN または IP に基づいてカスタムファイアウォールルールを定義します。
制御の概要
この制御により、システム管理者は Salesforce CDN 内に特定のセキュリティ検索条件を作成し、発信元の IP アドレスまたは自律システム番号に基づいて Web トラフィックをブロックまたは許可できます。
設定されていない場合のセキュリティリスク
カスタムファイアウォールルールがない場合、サイトは既知の悪意のあるネットワーク範囲やリスクの高い地理的地域からのトラフィックを制限できないため、アプリケーションを標的型プローブや大規模な自動攻撃に対して開いたままにします。
脅威のシナリオ
特定のインターネットサービスプロバイダーまたは地理的地域から発信された調整済みボットネットは、ユーザーアカウントを危険にさらすためにログインエンドポイントに対してブルートフォース攻撃を実行します。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
ネットワークエッジでトラフィックをフィルタリングしないと、地域のサイバー脅威にさらされる可能性が高くなり、アプリケーションサーバーは不必要な悪意のある要求を処理しなければならなくなるため、正当なユーザーのパフォーマンスが低下する可能性があります。
より高いリスク
組織は、特定のグローバルネットワークブロックから発信された国家主体またはプロフェッショナルなハッキンググループによって頻繁に標的にされる、有名な業界で活動しています。
低リスク
サイトが、地域での悪用のパターンを特定できない世界中の利用者を対象としており、Web アプリケーションファイアウォールのデフォルトの管理ルールセットですでに保護されている場合。
ビジネスと統合に関する考慮事項
カスタムルールを定義するには、正規のパートナーネットワーク範囲と従業員オフィス IP の正確なインベントリを作成して、承認されたユーザーが誤ってポータルにアクセスできないようにする必要があります。
推奨される修復
エクスペリエンスワークスペース内の Salesforce CDN 設定に移動し、検証済みの悪意のある自律システム番号または疑わしい IP 範囲からのトラフィックをブロックするカスタムファイアウォール式を設定します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、カスタムファイアウォールルールが階層防御戦略の重要なコンポーネントとして識別され、ネットワークレベルの脅威がアプリケーションレイヤーに到達する前に分離および無効化するために必要な詳細な制御が提供されます。
