Usted estĆ” aquĆ:
API (Activar configuraciĆ³n de OAuth): Activar control de tokens de activos
Los tokens de activos son un mĆ©todo de autenticaciĆ³n basado en JWT especializado que vincula una sesiĆ³n de Salesforce directamente a un dispositivo fĆsico o "activo" especĆfico.
Nombre de control
Aplicaciones conectadas: API (Activar configuraciĆ³n de OAuth): Activar tokens de activos
ConfiguraciĆ³n recomendada
Active Tokens de activos.
DescripciĆ³n general de control
Los tokens de activos son un mĆ©todo de autenticaciĆ³n basado en JWT especializado que vincula una sesiĆ³n de Salesforce directamente a un dispositivo fĆsico o "activo" especĆfico en vez de solo un usuario, proporcionando identidad granular para el Internet de las Cosas (IoT).
Riesgo de seguridad si no estĆ” configurado
Sin Tokens de activos, las empresas a menudo recurren a credenciales de cuenta de servicio genĆ©ricas para dispositivos, que no pueden verificar si el hardware solicitante es el dispositivo especĆfico autorizado que afirma ser.
Escenarios de amenazas
Un atacante "duplica" las credenciales de un dispositivo de IoT legĆtimo y las utiliza para registrar un dispositivo errĆ³neo no autorizado que envĆa datos de sensores fraudulentos o extrae telemetrĆa confidencial de su organizaciĆ³n de Salesforce.
Intervalo de puntuaciĆ³n de CVSS estimado
CrĆtico (9,0 a 10,0).
Consideraciones sobre el impacto del riesgo
La ausencia de identidad a nivel de dispositivo conduce a una pĆ©rdida de integridad de los datos y al "no repudio", lo que hace imposible probar quĆ© parte especĆfica del hardware realizĆ³ una acciĆ³n o accediĆ³ a un registro.
Riesgo mƔs alto cuando
El riesgo es significativamente mayor cuando los dispositivos se implementan en entornos fĆsicos no seguros (como quioscos pĆŗblicos o sensores remotos) donde el hardware puede manipularse o el almacenamiento local puede rasparse para obtener credenciales estĆ”ticas.
Bajo riesgo cuando
El escenario es de menor riesgo cuando los tokens de activos se implementan con la autenticaciĆ³n basada en certificado, asegurĆ”ndose de que el dispositivo debe probar la posesiĆ³n de una clave privada vinculada a hardware exclusiva para recibir un token.
Consideraciones comerciales y de integraciĆ³n
La implementaciĆ³n de tokens de activos requiere una estrategia para "Aprovisionamiento de dispositivos", asegurĆ”ndose de que cada activo fĆsico estĆ” registrado correctamente como un registro de Asset en Salesforce antes de intentar autenticarse.
RemediaciĆ³n recomendada
Vaya a ConfiguraciĆ³n de OAuth de aplicaciĆ³n conectada, seleccione la casilla de verificaciĆ³n para "Activar tokens de activos" y configure el Gestor de tokens de activos (Apex) para validar las reclamaciones de dispositivos entrantes.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica los tokens de activos como el estĆ”ndar de oro para la seguridad de "Dispositivo como usuario", alejando las organizaciones de cuentas de servicio compartidas hacia una identidad Ćŗnica y verificable para cada extremo fĆsico.
