Usted está aquí:
Configurar políticas de OAuth: Gestionar credenciales de OAuth de aplicación cliente externa con Gestor de secretos de AWS
Esta integración de seguridad permite a Salesforce sincronizar y almacenar automáticamente secretos de consumidor de OAuth de aplicación cliente externa directamente en una bóveda centralizada de Gestor de secretos de AWS.
Nombre de control
Aplicaciones cliente externas: Configurar políticas de OAuth: Gestionar credenciales de OAuth de aplicación cliente externa con Gestor de secretos de AWS
Configuración recomendada
Gestionar credenciales de OAuth de aplicación cliente externa con Gestor de secretos de AWS.
Descripción general de control
Esta integración de seguridad permite a Salesforce sincronizar y almacenar automáticamente secretos de consumidor de OAuth de aplicación cliente externa directamente en una bóveda centralizada de Gestor de secretos de AWS en vez de mantenerlos como metadatos estáticos en la plataforma Salesforce.
Riesgo de seguridad si no está configurado
La gestión externa débil o el almacenamiento descentralizado de secretos de OAuth conduce a un riesgo de brecha de un solo punto donde un compromiso de credenciales no seguras expone todos los servicios backend integrados a acceso no autorizado.
Escenarios de amenazas
Un atacante obtiene acceso a un archivo de configuración de texto sin formato o una interfaz administrativa desprotegida que contiene secretos estáticos y utiliza esas credenciales para suplantar la aplicación cliente externa en múltiples entornos de producción.
Intervalo de puntuación de CVSS estimado
Alto (7,0–8,9).
Consideraciones sobre el impacto del riesgo
El fallo en el uso de un almacén gestionado o respaldado por hardware da como resultado una exposición persistente de credenciales, ya que los secretos comprometidos a menudo permanecen válidos durante periodos prolongados sin el beneficio de la rotación automatizada o el registro de auditoría centralizado.
Riesgo más alto cuando
Cuando el mismo secreto de OAuth se comparte manualmente entre múltiples entornos de nube distribuidos o se almacena en sistemas de control de versiones sin protección criptográfica.
Bajo riesgo cuando
Si la empresa ya utiliza una política de gestión de acceso sólida basada en identidad dentro de AWS que restringe la recuperación de secretos a extremos de VPC verificados específicos y funciones de ejecución.
Consideraciones comerciales y de integración
La implementación de este control requiere una cuenta de AWS activa y la configuración de una credencial nombrada en Salesforce para establecer una ruta de autenticación mutua segura entre las dos plataformas en la nube.
Remediación recomendada
Configure la aplicación cliente externa para utilizar Gestor de secretos de AWS para el almacenamiento de credenciales definiendo el Nombre de recurso de Amazon secreto y estableciendo las políticas de autorización entre nubes necesarias.
Directrices de revisión del estado de seguridad
Security Health Review identifica el uso de la gestión de secretos externalizados como un estándar altamente recomendado para integraciones de alta seguridad para asegurarse de que los artefactos de autenticación confidenciales están protegidos por políticas de rotación automatizadas y bóvedas de nivel empresarial.
