위치:
OAuth 정책 구성: AWS 암호 관리자를 사용하여 외부 클라이언트 앱 OAuth 자격 증명 관리
이 보안 통합을 통해 Salesforce는 중앙 집중식 AWS 암호 관리자 저장소 내에서 외부 클라이언트 앱 OAuth 소비자 암호를 자동으로 동기화하고 저장할 수 있습니다.
제어 이름
외부 클라이언트 앱: OAuth 정책 구성: AWS 암호 관리자를 사용하여 외부 클라이언트 앱 OAuth 자격 증명 관리
권장 구성
AWS 암호 관리자를 사용하여 외부 클라이언트 앱 OAuth 자격 증명을 관리합니다.
제어 개요
이 보안 통합을 통해 Salesforce는 외부 클라이언트 앱 OAuth 소비자 암호를 Salesforce Platform 내에서 정적 메타데이터로 유지하는 대신 중앙 집중식 AWS 암호 관리자 볼트 내에 직접 자동으로 동기화하고 저장할 수 있습니다.
구성되지 않은 경우 보안 위험
외부 관리가 약하거나 OAuth 암호 저장소가 분산되어 있으면 보안되지 않은 자격 증명이 손상되어 모든 통합 백엔드 서비스가 무단 액세스에 노출되는 단일 지점 위험이 발생합니다.
위협 시나리오
공격자가 정적 암호를 포함하는 일반 텍스트 구성 파일 또는 보호되지 않는 관리 인터페이스에 액세스하고 해당 자격 증명을 사용하여 여러 프로덕션 환경에서 외부 클라이언트 응용 프로그램을 가리킵니다.
예상 CVSS 점수 범위
높음(7.0~8.9)
위험 영향 고려 사항
하드웨어 지원 또는 관리형 볼트를 사용하지 못하면 자격 증명이 지속적으로 노출됩니다. 손상된 암호는 자동 순환 또는 중앙 집중식 감사 로깅의 혜택 없이 종종 연장 기간 동안 유효합니다.
위험이 높은 경우
동일한 OAuth 암호가 여러 분산 클라우드 환경에서 수동으로 공유되거나 암호화 보호 없이 버전 관리 시스템에 저장된 경우
낮은 위험 시기
회사에서 이미 AWS 내에서 암호 검색을 특정 확인된 VPC 끝점 및 실행 역할로 제한하는 강력한 ID 기반 액세스 관리 정책을 사용하는 경우
비즈니스 및 통합 고려 사항
이 제어를 구현하려면 활성 AWS 계정과 Salesforce에서 명명된 자격 증명을 구성하여 두 클라우드 플랫폼 간에 안전한 상호 인증 경로를 설정해야 합니다.
권장 수정
암호 Amazon 리소스 이름을 정의하고 필수 클라우드 간 인가 정책을 설정하여 자격 증명 저장에 AWS 암호 관리자를 사용하도록 외부 클라이언트 앱을 구성합니다.
보안 상태 검토 지침
보안 상태 검토는 민감한 인증 아티팩트가 엔터프라이즈급 보울팅 및 자동 순환 정책으로 보호되도록 하기 위해 높은 보증 통합에 적극 권장되는 표준으로 외부화된 암호 관리를 사용하는 것을 식별합니다.
