您在此处:
API(启用 OAuth 设置):启用资产标记
资产标记是一种基于 JWT 的专门身份验证方法,将 Salesforce 会话直接链接到特定的物理设备或“资产”。
控件名称
连接的应用程序:API(启用 OAuth 设置):启用资产标记
推荐配置
启用资产标记。
控制概览
资产标记是一种基于 JWT 的专门身份验证方法,它将 Salesforce 会话直接链接到特定的物理设备或“资产”,而不仅仅是用户,为物联网 (IoT) 提供精细的身份。
安全风险(如果未配置)
如果没有资产标记,公司通常会依赖设备的通用服务帐户凭据,这无法验证请求的硬件是否是它声称的特定授权设备。
威胁场景
攻击者从合法的 IoT 设备中“复制”凭据,并使用它们注册发送欺诈性传感器数据或从您的 Salesforce 组织中提取敏感遥测的未授权欺诈设备。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
设备级身份的缺失会导致数据完整性和“不可否认性”的丧失,从而无法证明哪个特定硬件执行了操作或访问了记录。
高风险
当设备部署在不安全的物理环境(例如公共售货亭或远程传感器)中时,风险要大得多,在这种环境中,硬件可能会被篡改,本地存储可能会被丢弃以获得静态凭据。
低风险
当资产令牌使用基于证书的身份验证实施时,情况的风险更低,确保设备必须证明拥有唯一的硬件绑定私钥才能接收令牌。
业务和集成注意事项
实施资产标记需要“设备配置”策略,确保在尝试身份验证之前,每个物理资产都在 Salesforce 中正确注册为Asset记录。
建议的补救措施
转到连接的应用程序 OAuth 设置,选中“启用资产标记”复选框,并配置资产标记处理器 (Apex) 来验证传入的设备声明。
安全健康审查指导
安全运行状况审查将资产标记识别为“设备即用户”安全的黄金标准,使组织从共享服务帐户转向每个物理端点的唯一、可验证的身份。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
