Usted está aquí:
Configurar políticas de OAuth: Gestionar credenciales de OAuth de aplicación cliente externa con Gestor de secretos de AWS
Esta integración de seguridad permite a Salesforce sincronizar y almacenar automáticamente secretos de consumidor de OAuth de aplicación cliente externa directamente en una bóveda de Gestor de secretos de AWS centralizada.
Nombre de control
Aplicaciones cliente externas: Configurar políticas de OAuth: Gestionar credenciales de OAuth de aplicación cliente externa con Gestor de secretos de AWS
Configuración recomendada
Gestionar credenciales de OAuth de aplicación cliente externa con Gestor de secretos de AWS.
Descripción general de control
Esta integración de seguridad permite a Salesforce sincronizar y almacenar automáticamente secretos de consumidor de OAuth de aplicación cliente externa directamente en una bóveda centralizada de Gestor de secretos de AWS en vez de mantenerlos como metadatos estáticos en la plataforma Salesforce.
Riesgo de seguridad si no está configurado
La gestión externa deficiente o el almacenamiento descentralizado de secretos de OAuth lleva a un riesgo de infracción de un solo punto donde un compromiso de credenciales no seguras expone todos los servicios backend integrados a acceso no autorizado.
Escenarios de amenazas
Un atacante obtiene acceso a un archivo de configuración de texto sin formato o una interfaz administrativa no protegida que contiene secretos estáticos y utiliza esas credenciales para imitar la aplicación cliente externa en múltiples entornos de producción.
Intervalo de puntuaje de CVSS estimado
Alto (7,0 a 8,9).
Consideraciones de impacto de riesgo
El fallo en el uso de un depósito gestionado o respaldado por hardware da como resultado una exposición persistente de credenciales, ya que los secretos comprometidos a menudo siguen siendo válidos durante periodos prolongados sin el beneficio de la rotación automatizada o el registro de auditoría centralizado.
Mayor riesgo cuando
Cuando el mismo secreto de OAuth se comparte manualmente entre múltiples entornos de nube distribuidos o se almacena en sistemas de control de versiones sin protección criptográfica.
Bajo riesgo cuando
Si la compañía ya utiliza una política de gestión de acceso sólida y basada en identidad en AWS que restringe la recuperación de secretos a funciones de ejecución y extremos de VPC verificados específicos.
Consideraciones de negocio e integración
La implementación de este control requiere una cuenta de AWS activa y la configuración de una credencial nombrada en Salesforce para establecer una ruta de autenticación mutua segura entre las dos plataformas de nube.
Remediación recomendada
Configure la aplicación cliente externa para utilizar Gestor de secretos de AWS para el almacenamiento de credenciales definiendo el Nombre de recurso de Amazon secreto y estableciendo las políticas de autorización entre nubes necesarias.
Directrices de revisión del estado de seguridad
Security Health Review identifica el uso de la gestión de secretos externalizados como un estándar altamente recomendado para integraciones de alta seguridad para asegurarse de que los artefactos de autenticación confidenciales están protegidos por políticas de rotación automatizadas y depósito de nivel de compañía.
