이 텍스트는 Salesforce의 자동 번역 시스템을 사용하여 번역되었습니다. 이 콘텐츠에 대한 피드백을 제공하고 다음에 원하는 내용을 알려주려면 저희의 설문 조사을 참조하십시오.
보안 - 세션 보안
Well-Architected Trusted → Secure → Session Security → Device Access 에 대해 자세히 알아보기
| 어디에서 찾을 수 있습니까? 제품 영역 | 위치 | 좋은 모습은 무엇입니까? 패턴 |
|---|---|
| 플랫폼 | 문서 | ✅ 보안 개인 정보가 적절한 장치 사용 및 정책에 명확하게 매핑됨 |
| 플랫폼 | 문서 | ✅ 명확하고 검색 가능한 장치 정책 |
| 플랫폼 | 조직 | ✅ 비활성 상태에서 PIN/암호 잠금 해제가 필요한 Salesforce 모바일 연결된 앱 구성 |
| 플랫폼 | 조직 | ✅ 비즈니스 요구에 따라 Salesforce 모바일에 액세스할 수 있는 사용자를 엄격하게 제어해야 하는 경우 API 액세스 제어가 활성화되고 Salesforce 모바일 앱의 모든 사용자에게 권한 집합이 할당됩니다. |
Well-Architected Trusted → Secure → Session Security → Session Management 에 대해 자세히 알아보기
| 어디에서 찾을 수 있습니까? 제품 영역 | 위치 | 좋은 모습은 무엇입니까? 패턴 |
|---|---|
| 플랫폼 | Apex | ✅ 사용자 정의 로그인 플로가 있는 경우 모든 관련 사용자 정의 코드에서 적절한 SessionManagement 메서드를 사용하여 세션 수준 보안을 할당합니다. |
| 플랫폼 | Aura | ✅ 사용자 정의 로그인 플로가 있는 경우 필요한 SessionManagement 메서드와 함께 Apex 컨트롤러를 사용하여 세션 수준 보안을 할당합니다. |
| 플랫폼 | 설계 표준 | ✅ 보안 개인 정보가 각 개인 정보에 대해 승인된 세션 유형 및 시간 초과/기간 설정을 명확하게 나열함 |
| 플랫폼 | 설계 표준 | ✅ 세션 수준 보안이 강화되어야 하는 활동에 대한 표준이 정의됨 |
| 플랫폼 | 설계 표준 | ✅ 할당할 고급 권한이 필요한 활동에 대해 표준이 정의됩니다. |
| 플랫폼 | 설계 표준 | ✅ 연결된 앱 범위 및 토큰 관리 정책이 명확하고 검색 가능 |
| 플랫폼 | 문서 | ✅ 연결된 앱 범위 및 토큰 관리 정책이 명확하고 검색 가능 |
| 플랫폼 | 문서 | ✅ 로그인 시간이 지정되었거나 필요하지 않은 것으로 식별됨 |
| 플랫폼 | Lightning 웹 구성 요소(LWC) | ✅ 사용자 정의 로그인 플로가 있는 경우 필요한 SessionManagement 메서드와 함께 Apex 컨트롤러를 사용하여 세션 수준 보안을 할당합니다. |
| 플랫폼 | 조직 | ✅ 사용자가 방화벽 뒤에서 Salesforce에 액세스하는 경우 방화벽은 IP 주소 대신 필수 도메인의 허용 목록을 사용하여 Salesforce로의 통신을 안전하게 보호합니다. |
| 플랫폼 | 조직 | ✅ 비활성 세션 시간 초과 간격이 기본값을 초과하지 않음(2시간) |
| 플랫폼 | 조직 | ✅ 다음 설정을 모두 활성화합니다. -설정 페이지에 대한 클릭잭 보호 -설정되지 않은 Salesforce 페이지에 대한 클릭잭 보호 -교차 사이트 요청 위조(CSRF) 보호 -교차 사이트 스크립팅(XSS) 보호 -콘텐츠 스니핑 방어 활성화 -참조 페이지 URL 보호 -사용자에게 Salesforce 외부로 리디렉션되기 전에 경고 |
| 플랫폼 | 조직 | ✅ 세션 감사 시 사용자가 예상 세션 유형을 통해 Salesforce에만 액세스함 |
| 플랫폼 | 조직 | ✅ "API 전용 사용자" 액세스에 대한 명확하고 활성 권한 집합이 있으며("API 전용" 권한 집합이 TRUE로 설정됨) 모든 통합 및 자동화된 사용자가 할당됩니다. |
Well-Architected Trusted → Secure → Session Security → Threat Detection & Response에 대해 자세히 알아보기
| 어디에서 찾을 수 있습니까? 제품 영역 | 위치 | 좋은 모습은 무엇입니까? 패턴 |
|---|---|
| Einstein | 에이전트 | ✅ 에이전트 이벤트 로그에 대화 데이터가 포함된 경우 대화 데이터를 마스킹해야 하는 중요한 이유가 없는 경우 보강된 이벤트 로그에 대한 설정을 활성화합니다. |
| Einstein | Einstein Trust 계층 | ✅ 생성형 AI 기능은 정기적으로 감사됩니다 Einstein 생성형 AI 감사 데이터는 Einstein 피드백 설정 페이지에서 활성화됩니다. 프롬프트 및 응답 등 생성형 AI 대화가 정기적으로 감사 및 검토됩니다. |
| 플랫폼 | 회사 | ✅ 감사 데이터는 비즈니스 이해당사자가 이해하고 액세스할 수 있는 보고서에서 사용할 수 있습니다. |
| 플랫폼 | 회사 | ✅ 감사 내역 및 보고서의 정기적인 검토 수행 |
| 플랫폼 | 문서 | ✅ 모든 자동 응답이 명확하게 문서화됩니다. |
| 플랫폼 | 문서 | ✅ Salesforce에서 사용 가능한 로그를 검토하는 단계 문서화 |
| 플랫폼 | 문서 | ✅ 데이터 모델의 모든 개체에 대해 감사 수준이 지정되었습니다. |
| 플랫폼 | 문서 | ✅ 보안 정책에는 적절한 응답 유형과 함께 응답을 트리거해야 하는 이벤트 목록이 포함되어 있습니다. |
| 플랫폼 | 조직 | ✅ 비정상적인 사용이 감지된 경우 사용자 계정을 비활성화하거나 리소스에 대한 실시간 액세스를 차단하여 위협에 대처하기 위한 자동화 |
| 플랫폼 | 조직 | ✅ 비정상적인 활동에 대해 적절한 사용자에게 알리도록 알림 및 경고가 구성됩니다. |
| 플랫폼 | 조직 | ✅ 비공개 또는 중요한 데이터가 포함된 모든 필드에 대해 필드 내역 추적이 활성화됨 |
Well-Architected Trusted → Secure → Session Security → Device Access 에 대해 자세히 알아보기
| 어디에서 찾을 수 있습니까? 제품 영역 | 위치 | 방지할 사항은 무엇입니까? 안티 패턴 |
|---|---|
| 플랫폼 | 문서 | ⚡️ 보안 정책이 없거나 장치 액세스에 대한 정보가 포함되어 있지 않습니다. |
| 플랫폼 | 조직 | ⚡️ 비활성 상태에서 PIN/암호 잠금 해제를 요구하도록 Salesforce 모바일 연결된 앱이 구성되지 않았습니다. |
| 플랫폼 | 조직 | ⚡️ 비즈니스 요구에 따라 Salesforce 모바일에 액세스할 수 있는 사용자를 엄격하게 제어해야 하지만 API 액세스 제어가 활성화되어 있지 않거나 권한 집합이 Salesforce 모바일 앱에 대한 액세스를 제어하는 데 사용되지 않습니다. |
Well-Architected Trusted → Secure → Session Security → Session Management 에 대해 자세히 알아보기
| 어디에서 찾을 수 있습니까? 제품 영역 | 위치 | 방지할 사항은 무엇입니까? 안티 패턴 |
|---|---|
| 플랫폼 | Apex | ⚡️ 사용자 정의 로그인 플로가 있는 경우 세션 수준 보안을 할당하는 논리가 없습니다. |
| 플랫폼 | Aura | ⚡️ 사용자 정의 로그인 플로가 있는 경우 세션 수준 보안을 할당하는 논리가 없습니다. |
| 플랫폼 | 설계 표준 | ⚡️ 세션 수준 보안이 강화되어야 하는 활동에 대해 표준이 정의되지 않았습니다. |
| 플랫폼 | 설계 표준 | ⚡️ 할당할 상위 권한이 필요한 활동에 대해 표준이 정의되지 않았습니다. |
| 플랫폼 | 설계 표준 | ⚡️ 보안 정책에는 연결된 앱 범위 또는 토큰 관리에 대한 정보가 포함되지 않습니다. |
| 플랫폼 | 설계 표준 | ⚡️ 세션 유형 및 시간 제한/기간 설정에 대한 보안 개인 정보가 없거나 정보가 누락된 경우 |
| 플랫폼 | 문서 | ⚡️ 연결된 앱 범위 및 토큰 관리 정책은 문서화되지 않습니다. |
| 플랫폼 | Lightning 웹 구성 요소(LWC) | ⚡️ 사용자 정의 로그인 플로가 있는 경우 세션 수준 보안을 할당하는 논리가 없습니다. |
| 플랫폼 | 조직 | ⚡️ 사용자가 보유해야 하는 세션 유형에 대한 정의는 없습니다. |
| 플랫폼 | 조직 | ⚡️ "API 전용" 권한이 명확하지 않거나 통합 및 자동화된 사용자에서 누락됨 |
| 플랫폼 | 조직 | ⚡️ 정기적인 세션 감사가 없습니다. |
| 플랫폼 | 조직 | ⚡️ 사용자가 방화벽 뒤에서 Salesforce에 액세스하는 경우 방화벽에서 하드 코딩된 IP 주소를 사용하여 Salesforce로의 통신을 안전하게 보호합니다. |
| 플랫폼 | 조직 | ⚡️ 비활성 세션 시간 초과 간격이 기본값을 초과합니다(2시간) |
| 플랫폼 | 조직 | ⚡️ 다음 설정 중 하나가 비활성화됩니다. -설정 페이지에 대한 클릭잭 보호 -설정되지 않은 Salesforce 페이지에 대한 클릭잭 보호 -교차 사이트 요청 위조(CSRF) 보호 -교차 사이트 스크립팅(XSS) 보호 -콘텐츠 스니핑 보호 활성화 -참조 페이지 URL 보호 -사용자에게 Salesforce 외부로 리디렉션되기 전에 경고 |
Well-Architected Trusted → Secure → Session Security → Threat Detection & Response에 대해 자세히 알아보기
| 어디에서 찾을 수 있습니까? 제품 영역 | 위치 | 방지할 사항은 무엇입니까? 안티 패턴 |
|---|---|
| Einstein | 조직 | ⚡️ 생성형 AI 기능은 감사되지 않음 프롬프트 및 응답 등 생성형 AI 대화는 정기적으로 감사 및 검토되지 않음 |
| 플랫폼 | 회사 | ⚡️ 감사 데이터는 액세스 및 해석에 대한 주제 전문 지식이 필요한 로그 파일을 통해서만 사용할 수 있습니다. |
| 플랫폼 | 회사 | ⚡️ 감사 정보를 검토하는 프로세스가 없습니다. |
| 플랫폼 | 문서 | ⚡️ 보안 정책이 없거나 위협 감지 및 경고에 대한 정보가 포함되어 있지 않습니다. |
| 플랫폼 | 문서 | ⚡️ 자동 응답 문서가 없거나 명확하지 않음 |
| 플랫폼 | 조직 | ⚡️ 위협에 대처하기 위한 자동화 기능이 없습니다. |
| 플랫폼 | 조직 | ⚡️ 알림 및 경고는 비정상 활동에 대해 적절한 사용자에게 알리도록 구성되어 있지 않거나 비정상 활동과 관련된 일부 알림 및 경고가 있지만 임시로 제공됩니다. |
| 플랫폼 | 조직 | ⚡️ 비공개 또는 중요한 데이터가 포함된 필드에 대해 필드 내역 추적이 일관되게 활성화되지 않음 |