Sikker - sessionssikkerhed
Få mere at vide om veludviklet sikret → sikret → sessionssikkerhed → enhedsadgang
| Hvor skal du se? Produktområde | Placering | Hvordan ser godt ud? Mønster |
|---|---|
| Platform | Dokumentation | ✅ Sikkerhedspersonaer er tydeligt tilknyttet til relevante enhedsanvendelser og -politikker |
| Platform | Dokumentation | ✅ Enhedspolitikker er tydelige og kan findes |
| Platform | Organisation | ✅ Konfiguration af Salesforce Mobile-tilsluttet app kræver oplåsning af PIN/adgangskode efter inaktivitet |
| Platform | Organisation | ✅ Hvis forretningsbehov kræver streng kontrol over brugere, der kan få adgang til Salesforce Mobile, er API-adgangskontrol aktiveret, og tilladelsessæt tildeles til alle brugere af Salesforce Mobile-apps |
Få mere at vide om Well-Architected Trusted → Secure → Session Security → Session Management
| Hvor skal du se? Produktområde | Placering | Hvordan ser godt ud? Mønster |
|---|---|
| Platform | Apex | ✅ Hvis der findes tilpassede loginforløb, bruger al relateret tilpasset kode relevante SessionManagement-metoder til at tildele sikkerhed på sessionsniveau |
| Platform | Aura | ✅ Hvis der findes tilpassede loginforløb, skal du bruge en Apex-controller med de nødvendige SessionManagement til at tildele sikkerhed på sessionsniveau |
| Platform | Designstandarder | ✅ Sikkerhedspersonaer viser tydeligt godkendte sessionstyper og timeout-/varighedsindstillinger for hver persona |
| Platform | Designstandarder | ✅ Standarder er defineret for de aktiviteter, der kræver høj sikkerhed på sessionsniveau |
| Platform | Designstandarder | ✅ Standarder er defineret for de aktiviteter, der kræver, at der tildeles forhøjede tilladelser |
| Platform | Designstandarder | ✅ Tilsluttet app - omfang og tokenadministrationspolitikker er tydelige og kan findes |
| Platform | Dokumentation | ✅ Tilsluttet app - omfang og tokenadministrationspolitikker er tydelige og kan findes |
| Platform | Dokumentation | ✅ Logintider er angivet (eller identificeret som ikke nødvendige) |
| Platform | Lightning Web-komponenter (LWC) | ✅ Hvis der findes tilpassede loginforløb, skal du bruge en Apex-controller med de nødvendige SessionManagement til at tildele sikkerhed på sessionsniveau |
| Platform | Organisation | ✅ Hvis brugere får adgang til Salesforce fra bag en firewall, bruger firewall'en en tilladelsesliste over påkrævede domæner i stedet for IP-adresser til at sikre kommunikation til/fra Salesforce |
| Platform | Organisation | ✅ Inaktive sessionstimeoutintervaller overskrider ikke standarden (2 timer) |
| Platform | Organisation | ✅ Alle følgende indstillinger er aktiveret: -Clickjack-beskyttelse for opsætningssider -Clickjack-beskyttelse for Salesforce-sider, der ikke er i Opsætning -CSRF-beskyttelse (Cross-Site Request Forgery) -XSS-beskyttelse (Cross-Site Scripting) -Aktiver indholdsniffingsbeskyttelse -Referrer URL-beskyttelse -Advar brugere, før de omdirigeres uden for Salesforce |
| Platform | Organisation | ✅ Sessionsrevisioner viser, at brugere kun får adgang til Salesforce gennem forventede sessionstyper |
| Platform | Organisation | ✅ Der er et tydeligt, aktivt tilladelsessæt for "Kun API-bruger"-adgang (med tilladelsen "Kun API" indstillet til TRUE), og alle integrations- og automatiserede brugere tildeles |
Få mere at vide om Well-Architected Trusted → Secure → Session Security → Threat Detection & Response
| Hvor skal du se? Produktområde | Placering | Hvordan ser godt ud? Mønster |
|---|---|
| Einstein | Agenter | ✅ Agentbegivenhedslogfiler inkluderer samtaledata Aktiver indstillingen for berigede begivenhedslogfiler, medmindre der er en vigtig årsag til, at samtaledata skal maskeres |
| Einstein | Einstein Trust Layer | ✅ Genererende AI-funktioner revideres regelmæssigt Einstein AI-revisionsdata er aktiveret fra opsætningssiden for Einstein. Generative AI-samtaler, herunder meddelelsen og dens svar, revideres og gennemses regelmæssigt |
| Platform | Firma | ✅ Revisionsdata er tilgængelige i rapporter, som forretningsinteressenter kan forstå og få adgang til |
| Platform | Firma | ✅ Regelmæssige gennemgange af revisionshistorik og rapporter finder sted |
| Platform | Dokumentation | ✅ Alle automatiserede svar dokumenteres tydeligt |
| Platform | Dokumentation | ✅ Trin til at gennemse logfiler, der er tilgængelige i Salesforce, er dokumenteret |
| Platform | Dokumentation | ✅ Revisionsniveauer er angivet for alle objekter i din datamodel |
| Platform | Dokumentation | ✅ Sikkerhedspolitikker indeholder en liste over begivenheder, der skal udløse et svar sammen med den relevante svartype |
| Platform | Organisation | ✅ Automatiseringer er i stand til at reagere på trusler ved at deaktivere brugerkonti eller blokere adgang til ressourcer i realtid, hvis der registreres unormal anvendelse |
| Platform | Organisation | ✅ Adviseringer og advarsler konfigureres til at advisere relevante brugere om afvigelsesaktivitet |
| Platform | Organisation | ✅ Felthistoriksporing er aktiveret for alle felter, der indeholder private eller følsomme data |
Få mere at vide om veludviklet sikret → sikret → sessionssikkerhed → enhedsadgang
| Hvor skal du se? Produktområde | Placering | Hvad skal undgås? Anti-mønster |
|---|---|
| Platform | Dokumentation | ⚡️ Sikkerhedspolitikker findes ikke eller indeholder ikke oplysninger om enhedsadgang |
| Platform | Organisation | ⚡️ Salesforce Mobile-tilsluttet app er ikke konfigureret til at kræve PIN-/adgangskodeoplåsning for inaktivitet |
| Platform | Organisation | Forretningsbehov kræver streng kontrol over brugere, der kan få adgang til Salesforce Mobile, men API-adgangskontrol er ikke aktiveret, eller tilladelsessæt bruges ikke til at kontrollere adgang til Salesforce Mobile-apps |
Få mere at vide om Well-Architected Trusted → Secure → Session Security → Session Management
| Hvor skal du se? Produktområde | Placering | Hvad skal undgås? Anti-mønster |
|---|---|
| Platform | Apex | ⚡️ Hvis der findes tilpassede loginforløb, er der ingen logik til at tildele sikkerhed på sessionsniveau |
| Platform | Aura | ⚡️ Hvis der findes tilpassede loginforløb, er der ingen logik til at tildele sikkerhed på sessionsniveau |
| Platform | Designstandarder | ⚡️ Standarder er ikke defineret for de aktiviteter, der kræver høj sikkerhed på sessionsniveau |
| Platform | Designstandarder | ⚡️ Standarder er ikke defineret for de aktiviteter, der kræver, at der tildeles forhøjede tilladelser |
| Platform | Designstandarder | ⚡️ Sikkerhedspolitikker indeholder ikke oplysninger om tilsluttede appomfang eller tokenstyring |
| Platform | Designstandarder | ⚡️ Sikkerhedspersonaer findes ikke eller mangler oplysninger om sessionstyper og timeout-/varighedsindstillinger |
| Platform | Dokumentation | ⚡️ Tilsluttet app - omfang og tokenadministrationspolitikker dokumenteres ikke |
| Platform | Lightning Web-komponenter (LWC) | ⚡️ Hvis der findes tilpassede loginforløb, er der ingen logik til at tildele sikkerhed på sessionsniveau |
| Platform | Organisation | ⚡️ Der er ingen definitioner på, hvilke sessionstyper brugerne skal have |
| Platform | Organisation | Tilladelserne "Kun API" er uklare eller mangler fra integration og automatiserede brugere |
| Platform | Organisation | ⚡️ Der er ingen almindelig sessionsrevision |
| Platform | Organisation | Hvis brugere får adgang til Salesforce fra bag en firewall, bruger firewall'en hardcodede IP-adresser til at sikre kommunikation til/fra Salesforce |
| Platform | Organisation | ⚡️ Inaktive sessionstimeoutintervaller overskrider standarden (2 timer) |
| Platform | Organisation | ⚡️ Enhver af følgende indstillinger er inaktiveret: -Clickjack-beskyttelse for opsætningssider -Clickjack-beskyttelse for Salesforce-sider, der ikke er i Opsætning -CSRF-beskyttelse (Cross-Site Request Forgery) -XSS-beskyttelse (Cross-Site Scripting) -Aktiver indholdsniffingsbeskyttelse -Referrer URL-beskyttelse -Advar brugere, før de omdirigeres uden for Salesforce |
Få mere at vide om Well-Architected Trusted → Secure → Session Security → Threat Detection & Response
| Hvor skal du se? Produktområde | Placering | Hvad skal undgås? Anti-mønster |
|---|---|
| Einstein | Organisation | Genererende AI-funktioner revideres ikke Genererende AI-samtaler, herunder meddelelsen og dens svar, revideres og gennemses ikke regelmæssigt |
| Platform | Firma | ⚡️ Revisionsdata er kun tilgængelige gennem logfiler, der kræver emneekspertise for at få adgang til og fortolke dem |
| Platform | Firma | ⚡️ Der findes ingen processer til at gennemse revisionsoplysninger |
| Platform | Dokumentation | ⚡️ Sikkerhedspolitikker findes ikke eller inkluderer ikke oplysninger om trusselregistrering og advarsel |
| Platform | Dokumentation | ⚡️ Dokumentation for automatiserede svar findes ikke eller er uklar |
| Platform | Organisation | ⚡️ Der er ingen automatiseringer til at reagere på trusler |
| Platform | Organisation | Adviseringer og advarsler er enten ikke konfigureret til at advisere relevante brugere om afvigelsesaktivitet, eller der findes nogle adviseringer og advarsler, der er relateret til afvigelsesaktivitet, men de er ad hoc |
| Platform | Organisation | ⚡️ Felthistoriksporing er ikke konsekvent aktiveret for felter, der indeholder private eller følsomme data |