위치:
API(OAuth 설정 활성화): 자산 토큰 활성화
자산 토큰은 Salesforce 세션을 특정 물리적 장치 또는 "자산"에 직접 연결하는 특수 JWT 기반 인증 메서드입니다.
제어 이름
연결된 앱: API(OAuth 설정 활성화): 자산 토큰 활성화
권장 구성
자산 토큰을 활성화합니다.
제어 개요
자산 토큰은 사용자 대신 특정 물리적 장치 또는 "자산"에 Salesforce 세션을 직접 연결하는 특수 JWT 기반 인증 메서드로서 사물 인터넷(IoT)에 대한 세부적인 ID를 제공합니다.
구성되지 않은 경우 보안 위험
자산 토큰이 없으면 회사가 장치에 대한 일반 서비스 계정 자격 증명을 사용하지 않는 경우가 많으며, 요청하는 하드웨어가 주장하는 특정 권한이 있는 장치인지 확인할 수 없습니다.
위협 시나리오
공격자는 합법적인 IoT 장치에서 자격 증명을 "복제"하고 이를 사용하여 사기성 센서 데이터를 보내거나 Salesforce 조직에서 중요한 텔레메트리를 추출하는 부정확하고 무단 장치를 등록합니다.
예상 CVSS 점수 범위
중요(9.0~10.0)
위험 영향 고려 사항
장치 수준 ID가 없으면 데이터 무결성과 "거부되지 않음"이 손실되므로 어떤 특정 하드웨어가 작업을 수행했는지 또는 레코드에 액세스했는지 증명할 수 없습니다.
고위험 시점
장치가 하드웨어를 변경하거나 로컬 저장소를 스크래핑하여 정적 자격 증명을 얻을 수 있는 안전하지 않은 물리적 환경(예: 공개 키오스크 또는 원격 센서)에 배포되는 경우 위험이 크게 높습니다.
낮은 위험 시기
자산 토큰이 인증서 기반 인증을 사용하여 구현될 경우 위험이 낮아지므로 장치가 토큰을 수신하기 위해 고유한 하드웨어 바운드 비공개 키를 보유하고 있는지 확인해야 합니다.
비즈니스 및 통합 고려 사항
자산 토큰을 구현하려면 "장치 프로비저닝" 전략이 필요하며, 모든 물리적 자산이 인증을 시도하기 전에 Salesforce에서 Asset 레코드로 올바르게 등록되어 있는지 확인합니다.
권장 수정
연결된 앱 OAuth 설정으로 이동하여 "자산 토큰 활성화" 확인란을 선택하고 자산 토큰 처리기(Apex)를 구성하여 들어오는 장치 클레임을 확인합니다.
보안 상태 검토 지침
보안 상태 검토는 자산 토큰을 "사용자로서 장치" 보안의 골드 표준으로 식별하여 조직을 공유 서비스 계정에서 모든 물리적 끝점에 대해 고유하고 확인 가능한 ID로 이동시킵니다.
