Usted estĆ” aquĆ:
API (Activar configuraciĆ³n de OAuth): Activar tokens de activos
Los tokens de activos son un mĆ©todo de autenticaciĆ³n basado en JWT especializado que vincula una sesiĆ³n de Salesforce directamente a un dispositivo fĆsico o "activo" especĆfico.
Nombre de control
Aplicaciones conectadas: API (Activar configuraciĆ³n de OAuth): Activar tokens de activos
ConfiguraciĆ³n recomendada
Active Tokens de activos.
DescripciĆ³n general de control
Los tokens de activos son un mĆ©todo de autenticaciĆ³n basado en JWT especializado que vincula una sesiĆ³n de Salesforce directamente a un dispositivo fĆsico o "activo" especĆfico en vez de solo un usuario, proporcionando identidad granular para el Internet de las Cosas (IoT).
Riesgo de seguridad si no estĆ” configurado
Sin Tokens de activos, las compaƱĆas a menudo recurren a credenciales de cuenta de servicio genĆ©ricas para dispositivos, que no pueden verificar si el hardware solicitante es el dispositivo autorizado especĆfico que dice ser.
Escenarios de amenazas
Un atacante "clona" las credenciales desde un dispositivo de IoT legĆtimo y las utiliza para registrar un dispositivo errĆ³neo y no autorizado que envĆa datos de sensores fraudulentos o extrae telemetrĆa confidencial desde su organizaciĆ³n de Salesforce.
Intervalo de puntuaje de CVSS estimado
CrĆtico (9,0 a 10,0).
Consideraciones de impacto de riesgo
La ausencia de identidad a nivel de dispositivo lleva a una pĆ©rdida de integridad de los datos y al "no repudio", lo que hace imposible probar quĆ© parte especĆfica del hardware realizĆ³ una acciĆ³n o accediĆ³ a un registro.
Mayor riesgo cuando
El riesgo es significativamente mayor cuando los dispositivos se implementan en entornos fĆsicos no seguros (como quioscos pĆŗblicos o sensores remotos) donde el hardware puede manipularse o el almacenamiento local puede rasparse para credenciales estĆ”ticas.
Bajo riesgo cuando
El escenario es de menor riesgo cuando los tokens de activos se implementan con AutenticaciĆ³n basada en certificado, asegurĆ”ndose de que el dispositivo debe probar la posesiĆ³n de una clave privada vinculada a hardware exclusiva para recibir un token.
Consideraciones de negocio e integraciĆ³n
La implementaciĆ³n de tokens de activos requiere una estrategia para "Aprovisionamiento de dispositivos", asegurĆ”ndose de que cada activo fĆsico estĆ” registrado correctamente como un registro de Asset en Salesforce antes de que intente autenticarse.
RemediaciĆ³n recomendada
Vaya a ConfiguraciĆ³n de OAuth de aplicaciĆ³n conectada, seleccione la casilla de verificaciĆ³n para "Activar tokens de activos" y configure el Gestor de tokens de activos (Apex) para validar las reclamaciones de dispositivos entrantes.
Directrices de revisiĆ³n del estado de seguridad
Security Health Review identifica los tokens de activos como el estĆ”ndar de oro para la seguridad de "Dispositivo como usuario", alejando a las organizaciones de cuentas de servicio compartidas hacia una identidad Ćŗnica verificable para cada extremo fĆsico.
