Dieser Text wurde mit dem automatisierten Übersetzungssystem von Salesforce übersetzt. Nehmen Sie an unserer Umfrage teil, um Feedback zu diesem Inhalt zu geben und uns mitzuteilen, was Sie als Nächstes sehen möchten.
Sicher – Sitzungssicherheit
Weitere Informationen zu Well-Architected Trusted → Secure → Session Security → Device Access (Wohlüberlegter Vertrauenswürdiger Zugriff – Vertrauenswürdig)
| Wohin schauen? Produktbereich | Standort | Wie sieht gut aus? Muster |
|---|---|
| Plattform | Dokumentation | ✅ Sicherheitspersonas sind eindeutig den entsprechenden Gerätenutzungen und -richtlinien zugeordnet |
| Plattform | Dokumentation | ✅ Geräterichtlinien sind klar und erkennbar |
| Plattform | Organisation | ✅ Konfiguration der mobilen verbundenen Salesforce-Anwendung erfordert Entsperrung von PIN/Kenncode nach Inaktivität |
| Plattform | Organisation | ✅ Wenn Geschäftsanforderungen eine strenge Kontrolle der Benutzer erfordern, die auf Salesforce Mobile zugreifen können, ist die API-Zugriffssteuerung aktiviert und allen Benutzern mobiler Salesforce-Anwendungen werden Berechtigungssätze zugewiesen. |
Weitere Informationen zu Well-Architected Trusted → Secure → Session Security → Session Management (Wohlüberlegtes Vertrauen – Vertrauenswürdig)
| Wohin schauen? Produktbereich | Standort | Wie sieht gut aus? Muster |
|---|---|
| Platform | Apex | ✅ Wenn benutzerdefinierte Anmelde-Flows vorhanden sind, verwendet der gesamte zugehörige benutzerdefinierte Code geeignete SessionManagement-Methoden, um die Sicherheit auf Sitzungsebene zuzuweisen. |
| Plattform | Aura | ✅ Wenn benutzerdefinierte Anmelde-Flows vorhanden sind, verwenden Sie ein Apex-Steuerfeld mit den erforderlichen SessionManagement zum Zuweisen der Sitzungsebenensicherheit |
| Plattform | Designstandards | ✅ Sicherheitspersonas führen genehmigte Sitzungstypen und Einstellungen für Zeitüberschreitung/Dauer für jede Persona übersichtlich auf |
| Plattform | Designstandards | ✅ Standards werden für Aktivitäten definiert, die eine erhöhte Sicherheit auf Sitzungsebene erfordern |
| Plattform | Designstandards | ✅ Standards werden für Aktivitäten definiert, für die erhöhte Berechtigungen zugewiesen werden müssen |
| Plattform | Designstandards | ✅ Richtlinien für den Umfang und die Tokenverwaltung der verbundenen Anwendung sind klar und auffindbar |
| Plattform | Dokumentation | ✅ Richtlinien für den Umfang und die Tokenverwaltung der verbundenen Anwendung sind klar und auffindbar |
| Plattform | Dokumentation | ✅ Anmeldezeiten wurden angegeben (oder als nicht erforderlich identifiziert) |
| Plattform | Lightning Web Components (LWC) | ✅ Wenn benutzerdefinierte Anmelde-Flows vorhanden sind, verwenden Sie ein Apex-Steuerfeld mit den erforderlichen SessionManagement zum Zuweisen der Sitzungsebenensicherheit |
| Plattform | Organisation | ✅ Wenn Benutzer hinter einer Firewall auf Salesforce zugreifen, verwendet die Firewall eine Zulassungsliste der erforderlichen Domänen anstelle von IP-Adressen, um die Kommunikation mit/von Salesforce zu schützen |
| Plattform | Organisation | ✅ Inaktive Sitzungs-Timeout-Intervalle überschreiten nicht den Standardwert (2 Stunden) |
| Plattform | Organisation | ✅ Alle der folgenden Einstellungen sind aktiviert: -Clickjack-Schutz für Setup-Seiten -Clickjack-Schutz für Salesforce-Seiten ohne Setup -Cross-Site Request Forgery (CSRF)-Schutz -Cross-Site Scripting (XSS)-Schutz -Schutz vor Inhalts-Sniffing aktivieren -Schutz vor Verweis-URL -Warnung von Benutzern, bevor sie außerhalb von Salesforce umgeleitet werden |
| Plattform | Organisation | ✅ Sitzungsüberprüfungen zeigen, dass Benutzer nur über erwartete Sitzungstypen auf Salesforce zugreifen |
| Plattform | Organisation | ✅ Es gibt einen klaren, aktiven Berechtigungssatz für den Zugriff "Nur API-Benutzer" (mit dem Berechtigungssatz "Nur API" auf TRUE) und alle Integrations- und automatisierten Benutzer werden zugewiesen |
Weitere Informationen zu Well-Architected Trusted → Secure → Session Security → Threat Detection & Response (Wahrheitsprüfung – Vertrauenswürdig)
| Wohin schauen? Produktbereich | Standort | Wie sieht gut aus? Muster |
|---|---|
| Einstein | Agenten | ✅ Agentenereignisprotokolle enthalten Unterhaltungsdaten Aktivieren Sie die Einstellung für angereicherte Ereignisprotokolle, es sei denn, es gibt einen wichtigen Grund, warum Unterhaltungsdaten maskiert werden sollten |
| Einstein | Einstein Trust Layer | ✅ Die Funktionen der generativen AI werden regelmäßig überprüft. Überprüfungsdaten der generativen AI von Einstein werden auf der Setup-Seite "Einstein Feedback" aktiviert. Unterhaltungen mit generativer AI, einschließlich der Aufforderung und ihrer Antwort, werden regelmäßig überprüft und überprüft |
| Plattform | Unternehmen | ✅ Auditdaten sind in Berichten verfügbar, die Geschäftsbeteiligte verstehen und aufrufen können |
| Plattform | Unternehmen | ✅ Regelmäßige Überprüfung des Überprüfungsverlaufs und der Berichte |
| Plattform | Dokumentation | ✅ Alle automatisierten Antworten werden klar dokumentiert |
| Plattform | Dokumentation | ✅ Schritte zum Überprüfen der in Salesforce verfügbaren Protokolle werden dokumentiert |
| Plattform | Dokumentation | ✅ Für alle Objekte in Ihrem Datenmodell wurden Überwachungsebenen angegeben |
| Plattform | Dokumentation | ✅ Sicherheitsrichtlinien enthalten eine Liste der Ereignisse, die eine Antwort zusammen mit dem entsprechenden Antworttyp auslösen sollten |
| Plattform | Organisation | ✅ Automatisierungen sind vorhanden, um auf Bedrohungen zu reagieren, indem Benutzeraccounts deaktiviert oder der Zugriff auf Ressourcen in Echtzeit blockiert wird, wenn eine anormale Nutzung erkannt wird |
| Plattform | Organisation | ✅ Benachrichtigungen und Warnungen sind so konfiguriert, dass die entsprechenden Benutzer über anomale Aktivitäten benachrichtigt werden |
| Plattform | Organisation | ✅ Die Feldverlaufsverfolgung ist für alle Felder aktiviert, die private oder sensible Daten enthalten |
Weitere Informationen zu Well-Architected Trusted → Secure → Session Security → Device Access (Wohlüberlegter Vertrauenswürdiger Zugriff – Vertrauenswürdig)
| Wohin schauen? Produktbereich | Standort | Was vermeiden? Anti-Pattern |
|---|---|
| Plattform | Dokumentation | ⚠️ Sicherheitsrichtlinien sind nicht vorhanden oder enthalten keine Informationen zum Gerätezugriff |
| Plattform | Organisation | ⚠️ Die mobile verbundene Salesforce-Anwendung ist nicht so konfiguriert, dass die Entsperrung von PIN/Kenncode für Inaktivität erforderlich ist |
| Plattform | Organisation | ⚠️ Geschäftsanforderungen erfordern eine strenge Kontrolle der Benutzer, die auf Salesforce Mobile zugreifen können. Die API-Zugriffssteuerung ist jedoch nicht aktiviert oder Berechtigungssätze werden nicht zum Steuern des Zugriffs auf mobile Salesforce-Anwendungen verwendet. |
Weitere Informationen zu Well-Architected Trusted → Secure → Session Security → Session Management (Wohlüberlegtes Vertrauen – Vertrauenswürdig)
| Wohin schauen? Produktbereich | Standort | Was vermeiden? Anti-Pattern |
|---|---|
| Platform | Apex | ⚠️ Wenn benutzerdefinierte Anmelde-Flows vorhanden sind, gibt es keine Logik zum Zuweisen der Sitzungsebenensicherheit |
| Plattform | Aura | ⚠️ Wenn benutzerdefinierte Anmelde-Flows vorhanden sind, gibt es keine Logik zum Zuweisen der Sitzungsebenensicherheit |
| Plattform | Designstandards | ⚠️ Für Aktivitäten, die eine erhöhte Sicherheit auf Sitzungsebene erfordern, werden keine Standards definiert |
| Plattform | Designstandards | ⚠️ Für Aktivitäten, für die erhöhte Berechtigungen zugewiesen werden müssen, werden keine Standards definiert |
| Plattform | Designstandards | ⚠️ Sicherheitsrichtlinien enthalten keine Informationen zu Umfängen der verbundenen Anwendung oder zur Tokenverwaltung |
| Plattform | Designstandards | ⚠️ Sicherheitspersonas sind nicht vorhanden oder es fehlen Informationen zu Sitzungstypen und Einstellungen für Zeitüberschreitung/Dauer |
| Plattform | Dokumentation | ⚠️ Richtlinien für den Umfang und die Tokenverwaltung der verbundenen Anwendung werden nicht dokumentiert |
| Plattform | Lightning Web Components (LWC) | ⚠️ Wenn benutzerdefinierte Anmelde-Flows vorhanden sind, gibt es keine Logik zum Zuweisen der Sitzungsebenensicherheit |
| Plattform | Organisation | ⚠️ Es gibt keine Definitionen der Sitzungstypen, über die Benutzer verfügen sollten |
| Plattform | Organisation | ⚠️ Berechtigungen vom Typ "Nur API" sind unklar oder fehlen Integrations- und automatisierten Benutzern |
| Plattform | Organisation | ⚠️ Es gibt keine regelmäßige Sitzungsüberprüfung |
| Plattform | Organisation | ⚠️ Wenn Benutzer hinter einer Firewall auf Salesforce zugreifen, verwendet die Firewall hartcodierte IP-Adressen, um die Kommunikation mit/von Salesforce zu schützen |
| Plattform | Organisation | ⚠️ Inaktive Sitzungs-Timeout-Intervalle überschreiten den Standardwert (2 Stunden) |
| Plattform | Organisation | ⚠️ Eine der folgenden Einstellungen ist deaktiviert: -Clickjack-Schutz für Setup-Seiten -Clickjack-Schutz für Salesforce-Seiten ohne Setup -Cross-Site Request Forgery (CSRF)-Schutz -Cross-Site Scripting (XSS)-Schutz -Schutz für Inhalts-Sniffing aktivieren -Schutz für Referrer-URLs -Warnen von Benutzern, bevor sie außerhalb von Salesforce umgeleitet werden |
Weitere Informationen zu Well-Architected Trusted → Secure → Session Security → Threat Detection & Response (Wahrheitsprüfung – Vertrauenswürdig)
| Wohin schauen? Produktbereich | Standort | Was vermeiden? Anti-Pattern |
|---|---|
| Einstein | Org | ⚠️ Funktionen der generativen AI werden nicht überprüft Unterhaltungen der generativen AI, einschließlich der Aufforderung und ihrer Antwort, werden nicht regelmäßig überprüft und überprüft |
| Plattform | Unternehmen | ⚠️ Überprüfungsdaten sind nur über Protokolldateien verfügbar, für deren Zugriff und Interpretation Fachkenntnisse erforderlich sind |
| Plattform | Unternehmen | ⚠️ Es gibt keine Prozesse zum Überprüfen von Überprüfungsinformationen |
| Plattform | Dokumentation | ⚠️ Sicherheitsrichtlinien sind nicht vorhanden oder enthalten keine Informationen zur Erkennung und Warnung von Bedrohungen |
| Plattform | Dokumentation | ⚠️ Dokumentation für automatisierte Antworten ist nicht vorhanden oder unklar |
| Plattform | Organisation | ⚠️ Es gibt keine Automatisierungen, um auf Bedrohungen zu reagieren |
| Plattform | Organisation | ⚠️ Benachrichtigungen und Warnungen sind entweder nicht so konfiguriert, dass sie die entsprechenden Benutzer über anormale Aktivitäten benachrichtigen, oder es sind einige Benachrichtigungen und Warnungen zu anormalen Aktivitäten vorhanden, sie sind jedoch ad hoc |
| Plattform | Organisation | ⚠️ Die Feldverlaufsverfolgung ist für Felder mit privaten oder sensiblen Daten nicht konsistent aktiviert |