此文字已使用 Salesforce 的自動翻譯系統進行翻譯。參閱我們的 調查以提供此內容的回饋意見,並告訴我們您接下來想要查看的內容。
在此閱讀我們的更新排程。
安全系統可保護組織的利害關係人和資料。安全結構會驗證使用者身分、將資料存取權限制為僅限必要資訊,並防止資料遭到入侵。
Salesforce 優先處理客戶 Trust 和資料安全性。Salesforce Platform 可確保隱私權與安全性。Salesforce Trust 提供即時系統效能與安全性資訊。
保護您的組織和客戶資料是建立安全 Salesforce 解決方案的基礎。身為 Salesforce 結構設計師,您可以利用 Salesforce 的內建安全性功能來負責保護組織和客戶資料的安全。當做出這些決策時,請考量地理分佈、行業、公司營運程序和客戶資料類型。
您可以透過專注於三個區域,讓解決方案更安全:組織安全性、工作階段安全性和資料安全性。
組織安全性可保護系統免受未經授權的存取,方法是確保只有已驗證且已授權的使用者可以存取系統,而且只能存取必要的功能和資料。
您有問題的組織安全性跡象包括:
- 啟用或停用使用者的特殊流程
- 更新使用者或系統角色變更授權的不明確步驟
- 依賴個人的機構 Knowledge 進行正確的使用者安全性指派
- 與已建立安全性架構或產業最佳作法不一致
- 缺少結構化資料管理架構與支援原則
您可以專注於驗證和授權,為您的 Salesforce 組織建立更佳的組織安全性控制。
驗證對於安全性和存取管理而言至關重要,因為驗證嘗試存取您系統的使用者身分。這適用於人類使用者 (員工、客戶) 和自動使用者 (外部系統、整合),且每個使用者類型都需要特定的驗證方式。若要確保您組織中所有 Salesforce 進入點的安全存取權,您必須設定各種驗證方法。
在 Salesforce 中建立安全驗證流程:
- 根據個人建立 Salesforce 使用者,而非角色。當每個使用者帳戶與存取平台的單一人對應時,Salesforce 的內建稽核功能最有效。使用共用使用者帳戶會破壞這些稽核的成效、導致額外的安全性漏洞、升級帳戶缺口的潛在影響,並讓您建立有效授權方式變得複雜。這包括整合使用者的使用者帳戶。
- 以 UI 為基礎的安全存取情況。大多數的人類使用者對於 Salesforce 組織都需要某種 UI 型存取權 (通常稱為登入存取權)。Salesforce 為這些登入情況提供數層的保護,包括:
- **密碼原則.**網路罪犯通常會鎖定使用者名稱和密碼,以取得未經授權的應用程式存取權。雖然設定 密碼原則是保護登入存取權的基本步驟,但請務必注意,這一點並不夠,因為 Salesforce 允許每位使用者覆寫這些原則。
- 多因素驗證 (MFA)。針對所有以 UI 為基礎的使用者登入,Salesforce 需要 MFA。MFA 透過要求使用者在成功輸入使用者名稱和密碼後,提供額外形式的識別碼或因素,為抵禦認證洩漏和暴力攻擊提供重要的防護。此額外因素通常會採用實體形式,例如行動裝置、安全性金鑰或生物識別標記。
- 單一登入 (SSO)。在 SSO 案例中,使用者在組織的應用程式中只會使用一組認證。系統的存取權會從集中位置佈建和管理,進而改善安全性。Salesforce 可在 SSO 案例中作為服務提供者或身分提供者。請務必允許部分或所有管理員直接登入 Salesforce,讓他們可以解決 SSO 實作的中斷或問題。
- **登入後步驟。**針對某些使用個案,您可能需要使用者在存取系統之前完成其他步驟。自訂登入流程可實作以引導使用者完成這些額外的流程步驟。範例包括:
- 接受條款與條件
- 使用 登入探索和無密碼登入情況
- 限制每個使用者的同時 Salesforce 工作階段數目,以降低以工作階段為基礎之攻擊的可能性 (請參閱 工作階段安全性)。
- 連線至地理柵欄服務
- 以 API 為基礎的安全存取情況。任何使用者都可以要求 Salesforce 組織的 API 型存取權。Salesforce 為以 API 為基礎的案例提供數層的保護,包括:
- API 存取控制。若沒有 API 存取控制,任何擁有有效認證集的使用者都可以利用任何應用程式與您的組織連線,即使未在組織中部署連線的應用程式也是如此。資料存取控制仍會強制執行,但使用者可以透過無法控制的方式存取資訊。例如,應用程式可以用來下載大量資料,甚至上載損毀的資訊,而無須系統管理員的批准。
- 僅 API 權限。您可以在 Salesforce 中設定「僅 API」使用者權限。將此權限集作為權限集的一部分指派給任何自動或整合使用者角色,以完全封鎖以 UI 為基礎的存取。
- 憑證與金鑰。憑證與金鑰可讓 Salesforce 驗證要求來自授權公司或公司。如果您要將 SSO 與 Salesforce 搭配使用,則需要設定憑證與金鑰。
- 連線的應用程式。在 Salesforce 中設定 連線的應用程式可讓您在單一定義中控制外部系統對 Salesforce 的存取權,包括必要的驗證通訊協定、授權範圍和工作階段行為。
- 已命名認證。已命名認證可讓您在 Salesforce 內的單一定義中控制外部存取點和驗證通訊協定。使用這些功能可安全地定義和管理來自 Apex、外部服務和 Salesforce Connect 資料來源的呼叫驗證。
- Agentforce Agent 使用者驗證。以 Salesforce 為基礎的 Agentforce 工作人員會使用具有可管理權限的工作人員使用者物件,如同實際使用者的權限。設定工作人員時,請謹慎將存取權與工作人員所扮演的角色保持一致,將資料存取權僅限於提供一般使用者所需的資料。同樣重要,工作人員可以使用公用與私人動作來設定。針對私人動作,請驗證並驗證一般使用者,將其對應至工作人員內容。這可讓工作人員在一般使用者的存取控制內模擬和操作,同時維持安全性和 Trust。
下方的 模式與反模式清單顯示 Salesforce 組織中的正確 (和不良) 驗證結構外觀。在您建立之前,請使用這些項目來驗證您的設計,或找出進一步改善的機會。
若要深入瞭解 Salesforce 提供的驗證工具,請參閱與安全相關的 工具。
授權會定義使用者可存取的功能、功能和資料,以及使用者可在資源經過驗證後透過這些資源執行的動作。授權控制項不僅適用於人類使用者,也需要針對 Agentforce 工作人員使用者量身打造,特別是提供服務給未經驗證使用者的工作人員。
雖然限制可以驗證至您組織的人員是重要的第一個步驟,但將強式驗證與強大的授權配對同樣重要。若沒有適當的授權控制,使用者可能會以對您的業務和利害關係人有害的方式建立、編輯和刪除記錄或存取系統功能。授權控制不足也會使系統難以使用。透過控制使用者可在系統中執行的動作,您可以培養更高的 Trust 層級,同時保護您的系統和使用者。
若要建立 Salesforce 的安全授權配置:
- 遵循最低權限原則。透過僅將工作所需的權限指派給使用者,以採用最低權限原則 (PoLP)。若要遵循此原則,請設計細微與模組權限集。這可透過權限集群組進行精密的存取控制,讓權限精確管理,包括靜音、設定到期日期等功能。讓系統的 功能單位與業務功能保持一致,以定義細微的權限和有效的權限集群組。請記住,權限適用於 Salesforce 中的 中繼資料存取。如需為 Salesforce 資料 存取權設定 PoLP 的詳細資料,請參閱 共用與可視性。
- 以角色 (而非個人) 來思考使用者存取權。以個別使用者的角度思考授權 (或一般安全性) 將不會讓您的系統調整規模並演進。請改為為代表使用者群組的角色設計與管理角色。安全 Salesforce 解決方案使用個人進行驗證,使用角色進行授權。透過為不同的角色定義安全性組態,您可以精確地控制安全性模型中的存取權與權限,進而在長期內減少重構的需求。包含您在 設計標準和文件中定義的安全性角色。
- 使用權限集和權限集群組控制使用者對中繼資料的存取權。權限集和權限集群組會管理使用者可以存取哪些中繼資料,以及他們可以對該中繼資料執行的動作。若要深入瞭解 Salesforce 中繼資料,請參閱 中繼資料與資料。透過權限集和權限集群組設定應用程式指派、功能授權啟用、受管理封裝存取、系統權限、CRUD 存取權,以及欄位級存取。在您的 設計標準和文件中包含此存取權。
- 使用組織範圍預設值 (OWD) 和共用來控制使用者的資料存取權。資料與中繼資料是 Salesforce 中的獨立實體,每個實體都需要個別的存取控制。使用 OWD 和內建共用工具來設定 Salesforce 資料 (個別記錄、檔案和文件) 的存取權。如需詳細資料,請參閱 資料安全性。
- 使用 OAuth 範圍控制連線應用程式的存取權。設定連線的應用程式時,您可以定義應用程式使用者將擁有 Salesforce 資源的 範圍或存取權限。如需管理 OAuth 權杖的詳細資訊,請參閱 工作階段管理。
- 為每個整合建立一個 Salesforce 使用者。若要遵循最低權限原則,請為每個整合建立唯一的 Salesforce 整合使用者。這可讓您指派特定資料存取權、改善對作業的控制、確保交易可追溯性,並將潛在安全性缺口的影響降到最低。
- 針對所有工作人員使用者實作具有 PoLP 的唯一帳戶。每個 Agentforce 工作人員使用者應是唯一的,且不得在多個工作人員之間重複使用。這些帳戶的權限必須嚴格遵循最低權限原則。請記住,工作人員使用者執行的「動作」可能會在 Salesforce 內的高度安全性環境中作業,或針對不遵循 Salesforce 存取控制項的外部系統作業。這可能會導致「動作」存取或向使用者顯示敏感資訊。
- 最小化使用設定檔,並將任何存取控制移轉至設定檔之外。設定檔能夠限制存取舊版 Salesforce Classic 使用者介面的登入 IP 範圍、登入時間和特定功能 (尤其是預設記錄類型和版面配置指派)。設定檔中目前的任何其他功能應移轉至 權限集和權限集群組中的相等功能。您設定檔中繫結至 Salesforce Classic UI 功能的功能應以修復為目標。
下方的 模式與反模式清單顯示 Salesforce 組織中正確 (和不良) 的授權作法外觀。在您建立之前,請使用這些項目來驗證您的設計,或找出進一步改善的機會。
若要深入瞭解 Salesforce 提供的授權工具,請參閱與安全相關的 工具。
此表格顯示要在您的組織中尋找 (或建立) 的模式選項,以及要避免或鎖定修復的反模式。
✨ 在「模式與反模式探索器」中探索更多組織安全性的模式。
| 模式 | 防模式 | |
|---|---|---|
| 驗證 | 在您的設計標準和文件中:
- 已批准的安全性角色已清楚定義並列出 - 在安全性矩陣中存在的安全性角色與允許的驗證結構描述 (UI、API) 之間的對應 |
如果存在設計標準和文件,則會:
- 不包含安全性角色 - 請勿包含安全性角色和允許驗證方式的安全性矩陣與清楚對應 |
| 在您的組織中:
- 登入組態符合 Salesforce MFA 檢查 - 登入 Salesforce 的使用者與實體之間的關係為 1:1 (無共用使用者) - API 存取控制可防止使用者透過未經授權的連線應用程式進行驗證 - 如果 SSO 已啟用,則批准的管理員使用者擁有直接登入存取權 |
在您的組織中:
- 登入組態不符合 Salesforce MFA 檢查 - 登入 Salesforce 的使用者與實體之間的關係不是 1:1 (共有使用者帳戶) - 如果使用者從防火牆後面存取 Salesforce,防火牆會使用硬式編碼 IP 位址來保護對 Salesforce 的通訊。 - 未啟用「API 存取控制」 - 如果 SSO 已啟用,則沒有任何經批准的管理員使用者擁有直接登入存取權 |
|
| 在 LWC 中,Apex,Aura:
- 執行驗證的方法會使用已命名認證來處理使用者名稱/密碼流程 - 使用者名稱或密碼不會以可讀的程式碼顯示 (沒有硬式編碼值或字串) - 如果存在自訂登入流程,則所有相關的自訂程式碼都會使用適當的 SessionManagement 方法 |
在 LWC 中,Apex,Aura:
- 驗證為臨時處理 - 使用者名稱和密碼會顯示在程式碼中 |
|
| 授權 | 在您的設計標準和文件中:
- 擁有 Salesforce 存取權的每個使用者和系統都會對應至安全性矩陣中的一或多個角色 - 安全性矩陣會清楚列出中繼資料權限和指派的使用者角色 - 會清楚列出授與增強權限的使用個案,包括: -- 修改所有資料權限 -- 檢視所有資料權限 |
如果存在設計標準和文件,則會:
- 不包含安全性矩陣 - 未清楚列出權限 - 請勿清楚列出授與增強權限的使用個案 |
| 在您的組織中:
- 權限集和權限集群組用於控制中繼資料的存取權 - 符合業務功能的權限集和權限集群組 - 指派給使用者遵循安全性矩陣定義的權限 - 設定檔最少使用,僅用於控制登入 IP 範圍和登入時間 - 針對每個整合設定唯一的僅 API 整合使用者 |
在您的組織中:
- 權限集群組未設定為允許根據業務功能存取 - 權限集已臨時設定 - 權限集是冗餘的或重複的;難以瞭解清晰的功能邏輯和設定之間的差異 - 指派給使用者的權限不會遵循安全性矩陣定義 - 設定檔包含中繼資料的存取控制 - 僅 API 使用者未設定或在多個整合之間共用 |
|
| 在 Apex 中:
- 資料庫作業會適當執行欄位和物件級存取檢查,包括: -- DML 與資料庫 DML 陳述式宣告資料作業 AND/OR 的 使用者或系統模式 -- DML 與資料庫 DML 陳述式在資料作業之前使用 stripInaccessible 方法
-- SOQL 和 SOSL 陳述式使用 具有 USER_MODE 和 具有 SYSTEM_MODE 關鍵字 AND/OR
-- stripInaccessible 方法用於篩選查詢和子查詢結果
-- sObject 描述結果方法 (亦即 isAccessible、isCreateable、isUpdateable 和/或 isDeletable) 會很少使用 |
在 Apex 中:
- 在預設系統模式中執行 DML、資料庫類別方法、SOQL 和 SOSL - 資料庫作業無法適當執行存取檢查,包括: -- DML 或資料庫類別方法僅使用 isAccessible、isCreateable、isUpdateable 和/或 isDeletable 檢查以取得 sObject 和欄位級存取權
-- SOQL 查詢只會將 SECURITY_ENFORCED 關鍵字用於存取限制 |
|
| 在流程中(流程設計的安全性考量事項):
- 流程會使用盡可能嚴格的「執行內容」,理想是使用者模式 - 子流程執行安全性敏感或特權資料存取,以將執行內容最小化 - 限制在記錄觸發流程中執行的邏輯 - 驗證流程輸入,以確保只會將允許的裝載傳遞為輸入 |
在流程中:
- 流程會在「系統模式」或「不共用的系統模式」中執行,無論流程執行的動作為何 - 所有流程邏輯都會在單一的大型流程中執行 - 未驗證流程輸入,且會在未驗證的情況下傳送給消費者 |
工作階段是一系列在一段期間內與使用者相關聯的要求和回應。當使用者成功驗證至 Salesforce 時,會起始工作階段。工作階段安全性是透過阻止工作階段干擾或劫持來設定系統以防止未經授權的存取和資料缺口的作法。
您系統中的所有使用者活動都會在工作階段內容中發生,因此考慮工作階段的起始方式、在工作階段期間可能發生的內容、使用者將 (且應) 使用的裝置,以及偵測和回應可疑或異常工作階段行為的方式十分重要。
您可以在 Salesforce 中建立工作階段安全性,方法是專注於三個關鍵:工作階段管理、裝置存取,以及威脅偵測和回應。
工作階段會在使用者成功驗證並取得 Salesforce 的存取權時起始。這些工作階段可讓平台將特定要求和回應與該特定使用者相關聯。
HTTPS 通訊協定可協助前端用戶端與 Salesforce Platform 之間的通訊。用戶端可以包含瀏覽器、行動應用程式、本機應用程式等。HTTPS 是無狀態通訊協定,這表示每個通訊都是離散的,與任何先前或未來通訊無關。
此無狀態方法可加速網路通訊,並排除因封裝之間中斷連結所導致的錯誤。不過,網頁應用程式仍需要追蹤每個使用者身分和其他在多個要求與回應互動之間相關資訊的方式。Salesforce 與大多數 Web 應用程式一樣,使用工作階段和 權杖來完成此作業。
- 工作階段可讓 Salesforce 將要求與回應與使用者相關聯。使用者驗證後,平台會將工作階段識別碼傳回用戶端應用程式,其中包含此識別碼與任何使用者要求 (例如瀏覽、搜尋和提交資料)。
- 權杖可讓使用者和連線的應用程式驗證其身分一次,然後再使用唯一的存取權杖。權杖的留存時間有限,僅提供特定資源的存取權 (如需設定存取層級的詳細資訊,請參閱 授權)。權杖允許存取授權的資源,而不需要使用者登入。
如果未正確保護工作階段和權杖,則惡意執行動作的使用者可能會干擾工作階段並模仿使用者或在您的系統中執行惡意程式碼。
若要建立 Salesforce 的安全工作階段管理:
- 瞭解 Salesforce 如何分類工作階段類型。識別已批准的 工作階段類型 並對應至安全性使用者角色,並在您的文件中記錄這些類型。
- 控制工作階段發生的方式,以及工作階段流量的移至何處。在您識別允許各種使用者角色啟動的工作階段類型後,請設定控制,以封鎖源自未批准來源或內容的工作階段。Salesforce 提供數種控制工作階段來源和流量的方法,包括:
- 內建工作階段保護。Salesforce 會自動針對以工作階段為基礎的惡意活動啟用組織範圍保護,包括跨網站指令檔、跨網站要求偽造、內容探索、點閱劫持等。這些保護絕不應停用;某些無法停用。
- 網域和 IP 範圍。所有 Salesforce 組織預設已啟用「我的網域」,這會為 Salesforce 存取建立公司特定的子網域。您可以透過「我的網域」自訂或變更與組織相關聯的名稱。此外,Salesforce 支援 Experience Cloud 網站和其他應用程式頁面的其他網域組態。注意:如果您的使用者需要從公司防火牆後方存取 Salesforce,請將必要網域新增至防火牆允許清單。您可以設定 登入 IP 範圍和 信任的 IP 範圍,以控制 Salesforce 的輸入登入和工作階段要求。
- 登入時間。如果某些使用者角色已設定工作時間,您可以限制其在定義的登入時間外存取 Salesforce 的能力。
- 控制需要新增工作階段層級安全性的活動。依預設,工作階段可以有兩種安全性層級:標準和高度保證。使用這些安全性層級可控制使用者如何可以或無法執行活動,例如存取報告和顯示面板,或管理 Salesforce 組織中的安全性組態。工作階段級安全性原則可能需要使用者建立執行作業的 高度保證工作階段,或禁止使用者執行任何敏感作業。
- 控制需要新增以工作階段為基礎權限的活動。Salesforce 支援以 工作階段為基礎的權限啟用,以暫時允許使用者在特定工作階段期間提高授權或存取權限。您可以透過流程或 Salesforce API 啟用和停用以工作階段為基礎的權限。
- 透過逾時管理未啟用的使用者工作階段。結束未啟用的工作階段是管理工作階段安全性的關鍵部分。例如,當使用者在瀏覽器索引標籤中開啟 Salesforce 工作階段,但在其他應用程式中主動工作時,或當使用者的行動裝置登入 Salesforce 但未受監視時,這有助於保護您的系統。Salesforce 的預設工作階段閒置時間逾時為兩小時。您可以增加或減少工作階段閒置逾時層級,但增加逾時應只在具有吸引力且經過完整記錄的理由的情況下完成。
- **透過權杖組態管理連線的應用程式工作階段。**當您設定連線的應用程式時,您也會定義要授與透過連線應用程式存取 Salesforce 的使用者之範圍或授權層級。此範圍會透過已連線應用程式使用者成功驗證後發出的 OAuth 權杖,在工作階段層級強制執行。您可以控制權杖在 權杖重新整理原則中應持續多久。組織管理員可以視需要手動撤銷每位使用者和每個組織的權杖。
下方的 模式與反模式清單顯示 Salesforce 組織中適當 (與不良) 工作階段管理的外觀。在您建立之前,請使用這些項目來驗證您的設計,或找出進一步改善的機會。
若要深入瞭解 Salesforce 提供的工作階段管理工具,請參閱與安全相關的 工具。
在目前的內容中,裝置是個人將用來存取 Salesforce 的任何電子設備,例如桌上型工作站、筆記型電腦、平板電腦或行動電話。
可攜式裝置可讓使用者從任何位置彈性存取 Salesforce。不過,此便利性可能會為惡意執行動作使用者導入額外的攻擊向量。這些威脅向量範圍可從簡單的策略 (例如在公用地方衝浪以竊取認證) 到更複雜的方法 (例如在裝置上安裝惡意軟體或建立虛假的公用 Wi-Fi 網路來攔截資料傳輸)。因此,保護裝置 (尤其是可攜式裝置) 對於整體系統安全性而言至關重要。
若要保護 Salesforce 的裝置存取權:
- 使用 Salesforce 提供的行動應用程式解決方案。讓行動裝置上需要存取 Salesforce 的使用者使用 iOS 和 Android 可用的正式 Salesforce 應用程式。如果業務需求需要自訂行動解決方案,您應該使用 Salesforce Mobile SDK,其提供安全驗證和授權的方法。
- 將行動裝置用量設計至工作階段管理。工作階段安全性層級、工作階段逾時和其他工作階段內容控制應考量行動裝置上使用者的任何預期存取權。考慮應允許哪些裝置存取 Salesforce,以及哪些使用者應擁有行動工作階段的存取權。在您的安全性角色文件中包含行動存取標準。如需此主題的詳細資訊,請參閱 工作階段管理。
- **使用行動裝置管理 (MDM) 技術補充裝置級安全性。**iOS 和 Android 版的 Salesforce 應用程式與許多受歡迎的 MDM 套件 相容。您可以透過偏好的 MDM 解決方案,在使用者裝置上為 Salesforce 應用程式設定其他存取控制。
- 使用行動應用程式管理 (MAM) 技術補充應用程式級安全性。MAM 技術支援行動裝置上的應用程式層級控制。Salesforce 為 Salesforce 行動應用程式提供付費的 MAM 附加元件。
下方的 模式與反模式清單顯示 Salesforce 組織中裝置管理的適當 (和不良) 樣子。在您建立之前,請使用這些項目來驗證您的設計,或找出進一步改善的機會。
若要深入瞭解 Salesforce 提供的裝置管理工具,請參閱與安全相關的 工具。
威脅偵測是在系統中識別可能表示惡意活動之行為模式的程序。這可能包含超出平均值的資料量,或使用者在短於平均值的期間內,修改包含數筆記錄上敏感資料的欄位。對威脅的回應可包含自動工作階段到期、警示和其他通知。
威脅偵測的目標是盡快識別潛在問題並對其做出回應。根據即時威脅偵測採取行動可停止追蹤惡意行為。Salesforce 提供附加元件或作為 Salesforce Shield 一部分的 即時事件監視。如果您有高度敏感的應用程式或需要強大的即時威脅偵測和回應功能,請使用下列其中一個解決方案。
若要為您的 Salesforce 解決方案建立有效的威脅偵測和回應策略:
- 使用內建稽核功能。Salesforce 提供各種各樣的內建工具,以協助追蹤和稽核對您組織的變更。例如,設定稽核追蹤可讓您檢視管理動作的稽核歷程記錄。Salesforce 預設會在有限的期間內追蹤欄位級變更,但您可以啟用「欄位歷程記錄追蹤」,以在 UI 中顯示最多 18 個月的欄位變更,並透過 API 顯示最多 24 個月的欄位變更。此外,您可以啟用「欄位稽核追蹤」,無限期保留欄位級變更的稽核歷程記錄 (直到您手動刪除資料為止)。
- 建立定期稽核審查。稽核對於識別即時威脅偵測可能會遺漏的異常變更而言至關重要。請思考一下,具有合法存取權的使用者會持續在延長期間內每天刪除少量記錄的情境。由於此使用者擁有有效的登入認證、有適當的權限來刪除記錄,且未一次刪除大量記錄,因此不會將活動偵測為即時威脅。然而,檢閱使用者活動報告的稽核小組會明確識別一段時間內單一使用者過度刪除記錄的趨勢,使其更容易處理。作為您的管治原則的一部分,請建立定期間隔以稽核登入歷程記錄、使用者工作階段活動和連線的應用程式用量。
- 開發威脅回應策略並將其包含在您的安全性原則中。建立涵蓋以下項目的威脅回應策略:
「事件監視」透過啟用即時威脅偵測和回應,提供強制執行此原則所需的資料。「交易安全性」會套用貴公司的原則驅動動作,而事件類型支援隨時間監視使用者和應用程式存取權。
Salesforce 的原生威脅偵測服務使用統計和機器學習模型來識別可疑行為。此服務會產生特定事件,以防網路攻擊和可疑資料存取。
「交易安全性」可進一步提升安全性,因為其提供一個架構,可攔截組織中發生的關鍵事件,並套用貴公司的原則驅動動動作。這會將「事件監視」從記錄工具轉換為自動安全性防禦的重要元件。
下方的模式與防模式清單顯示 Salesforce 組織中的正確 (與不良) 威脅偵測和回應外觀。在您建立之前,請使用這些項目來驗證您的設計,或找出進一步改善的機會。
若要深入瞭解 Salesforce 提供的威脅偵測、警示和回應自動化工具,請參閱與安全相關的 工具。
此表格顯示要在您的組織中尋找 (或建立) 的模式選項,以及要避免或鎖定修復的反模式。
✨ 在「模式與反模式探索器」中探索更多工作階段安全性的模式。
| 模式 | 防模式 | |
|---|---|---|
| 工作階段管理 | 在您的設計標準和文件中:
- 安全性角色會清楚列出每個角色已批准的工作階段類型與逾時/持續時間設定 - 已指定登入時間 (或識別為非必要) - 需要高度工作階段級安全性或權限的作業會清楚且可探索 - 連線應用程式範圍和權杖管理原則清楚且可探索 |
在您的設計標準和文件中:
- 安全性角色不存在或缺少工作階段類型和逾時/持續時間設定的相關資訊 - 安全性原則不包含連線應用程式範圍或權杖管理的相關資訊 |
| 在您的組織中:
- 工作階段稽核顯示使用者僅透過預期的工作階段類型存取 Salesforce - 有「僅 API 使用者」存取權的明確且已啟用權限集 (且「僅 API」權限集為 TRUE),且已指派所有整合與自動化使用者 - 如果使用者從防火牆後方存取 Salesforce,防火牆會使用所需網域的允許清單,而非 IP 位址,以保護對 Salesforce 的通訊安全。 - 未啟用工作階段逾時間隔不超過預設值 (2 小時) - 已啟用下列所有設定: -- 「設定」頁面的點閱綁架保護 -- 非「設定」Salesforce 頁面的點閱綁架保護 -- 跨網站要求偽造 (CSRF) 保護 -- 跨網站指令檔 (XSS) 保護 -- 啟用內容探查保護 -- 查閱者 URL 保護 -- 在使用者重新導向至 Salesforce 之外之前警告使用者 |
在您的組織中:
- 沒有一般工作階段稽核 - 沒有使用者應擁有的工作階段類型定義 - 「僅 API」權限不明確或缺少於整合與自動化使用者 - 如果使用者從防火牆後面存取 Salesforce,防火牆會使用硬式編碼 IP 位址來保護對 Salesforce 的通訊。 - 未啟用工作階段逾時間隔超出預設值 (2 小時) - 停用下列任一設定: -- 「設定」頁面的點閱綁架保護 -- 非「設定」Salesforce 頁面的點閱綁架保護 -- 跨網站要求偽造 (CSRF) 保護 -- 跨網站指令檔 (XSS) 保護 -- 啟用內容探查保護 -- 查閱者 URL 保護 -- 在使用者重新導向至 Salesforce 之外之前警告使用者 |
|
| 在 LWC 中,Apex,Aura:
- 如果存在自訂登入流程,所有相關的自訂程式碼都會使用適當的 SessionManagement 方法來指派工作階段級安全性 |
在 LWC 中,Apex,Aura:
- 如果存在自訂登入流程,則沒有指派工作階段層級安全性的邏輯 |
|
| 裝置存取權 | 在您的設計標準和文件中:
- 裝置原則清楚且可探索 - 安全性角色會清楚對應至適當的裝置用量與原則 |
在您的設計標準和文件中:
- 安全性原則不存在或不包含裝置存取的相關資訊 |
| 在您的組織中:
- 閒置後,Salesforce 行動連線應用程式組態需要 PIN/密碼解除鎖定 - 如果業務需求需要嚴格控制可存取 Salesforce 行動裝置的使用者,則會啟用「API 存取控制」,並將權限集指派給 Salesforce 行動應用程式的所有使用者 |
在您的組織中:
- 未將 Salesforce 行動連線應用程式設定為需要 PIN/密碼解除鎖定以進行閒置 – 業務需求需要嚴格控制可存取 Salesforce 行動裝置的使用者,但未啟用「API 存取控制」或無法使用權限集來控制對 Salesforce 行動應用程式的存取權 |
|
| 威脅偵測和回應 | 在您的設計標準和文件中:
- 安全性原則包含應觸發回應的事件清單以及適當的回應類型 - 已為資料模型中的所有物件指定稽核層級 - 系統會記錄檢閱 Salesforce 中可用記錄的步驟 - 系統會清楚記錄所有自動回應 |
在您的設計標準和文件中:
- 安全性原則不存在或不包含威脅偵測和警示的相關資訊 - 自動回應的文件不存在或不明確 |
| 在貴公司內:
- 稽核資料可在業務專案關係人可瞭解和存取的報告中使用 - 定期檢閱稽核歷程記錄和報告。 |
在貴公司內:
- 稽核資料僅可透過需要主題專業知識的記錄檔存取與解譯 - 沒有可檢閱稽核資訊的流程 |
|
| 在您的組織中:
- 如果偵測到異常使用狀況,自動化功能已準備就緒,可透過停用使用者帳戶或即時封鎖對資源的存取來回應威脅 - 通知和警示設定為通知適當的使用者有關異常活動 - 欄位歷程記錄追蹤已針對包含私人或敏感資料的所有欄位啟用 |
在您的組織中:
- 沒有自動化功能可回應威脅 - 通知和警示未設定為通知適當的使用者有關異常活動,或者存在與異常活動相關的一些通知和警示,但這些通知是臨時的 - 針對包含私人或敏感資料的欄位,未持續啟用欄位歷程記錄追蹤 |
資料安全性是保護資料免受未經授權存取、損毀或非預期刪除的作法。資料安全性涉及在傳輸和靜態時保護資料。
強大的資料安全性可將未經授權存取系統的風險和潛在損害降到最低。資料安全性不足會讓系統容易受到資料缺口影響,這會對客戶和您的公司造成嚴重影響。因此,保護資料是建立安全結構的基礎。
改善資料安全性從清楚瞭解 Salesforce 內所視為資料的內容及其分類開始。儲存在 Salesforce 組織中的個別記錄、檔案和文件是其資料。如需有關中繼資料與資料之間區別的詳細資訊,請參閱「Salesforce 結構基本概念」。
您可以專注於共用與可視性,以及使用加密,以在 Salesforce 解決方案中建立更強大的資料安全性。
根據敏感度識別和分類儲存在 Salesforce 平台中的所有資料 (例如公用、內部、機密、受限制)。定義明確的 資料分類原則,其中概述應如何處理和保護每個資料類型。實作適當的安全性控制,例如欄位級安全性、加密和資料遮蔽,以強制執行原則,並保護敏感資料免受未經授權的存取或曝光。定期檢閱並稽核這些分類和控制,以確保其與業務與合規性需求保持一致。
共用與可視性涉及設定系統以控制使用者在 Salesforce 內存取資料的方式。請務必注意,共用與可視性可控制使用者可存取的個別記錄,但這些設定本身並不會最終控制使用者可對特定記錄執行的動作,或可看見該記錄內的特定欄位。透過可在個別物件和欄位層級為使用者設定的中繼資料存取控制,將執行資料作業 (例如 CRUD) 的權限指派給使用者。如需此項目的詳細資訊,請參閱 授權。
Agentforce 動作可向已驗證與匿名使用者公開資料,這些使用者通常沒有直接存取權。建立 Agentforce 工作人員時,請仔細考量並記錄指派給工作人員的所有「動作」。針對每個「動作」,您必須瞭解:
- 「動作」可以存取的資料。
- 「動作」執行的安全性內容為何。
- 「動作」是否具有可將敏感或受限制資料納入「工作人員」工作階段的 Knowledge retrieve 或其他功能。
若要在 Salesforce 中設定有效的共用與可視性:
- 針對有意義的工作功能設計存取權。建立安全性矩陣,將您的使用者角色對應至他們要執行的業務功能。使用此 範本作為設計共用與可視性的基礎。如需識別有意義業務功能的詳細資訊,請參閱功能單位。
- 選擇要套用最低權限原則的最簡單路徑。當您在設計共用與可視性方式時套用最低權限原則時,請以最直接的方式進行。避免過度設計資料限制和共用方式,這會導致系統維護、延展性和適應性發生下游問題。相反地,您可以利用 Salesforce 中的彈性、分層的資料共用來設定使用者在資料層級存取的細微規則。
- 將 內部 組織範圍預設值 (OWD) 設定為「公用唯讀」,除非您的公司處理敏感資料,否則請使用「專用」。OWD 可控制使用者在資料層級擁有的「最少」權限層級。您無法限制低於 OWD 層級的存取權。雖然「私人 OWD」在每個使用個案中都看起來很理想,但業務中的使用者通常會因複雜的共用方式而不小心複製更具權限的 OWD。此外,「私人 OWD」會造成使用者建立重複的資料。共用計算 (和重新計算) 可能需要大量的時間完成,端視資料量和父系子系或擁有權偏差而定—私人 OWD 會加強此情況。請務必注意,OVD 不會控制 CRUD 權限和欄位級可視性。只有在業務需求正確時才選擇「專用 OWD」,這類理由通常與合規性相關。
- 除非您有強大的商業理由允許更大的存取權,否則將「外部組織範圍預設值 (OWD)」設定為「專用」。外部 OWD 適用於從 Experience Cloud 網站、入口網頁等存取 Salesforce 資料的使用者。這可讓您為內部與外部使用者設定個別的 OWD 基準,以允許不同類型的「最少」權限。請一律將外部使用者的 OWD 設定為「專用」,因此,較開放層級的例外情況必須明確地由業務需求所證明。
下方的 模式與反模式清單顯示 Salesforce 組織中的正確 (與不良) 共用與可視性。在您建立之前,請使用這些項目來驗證您的設計,或找出進一步改善的機會。
若要深入瞭解 Salesforce 的共用與可視性工具,請參閱與安全相關的 工具。
加密會將可讀資料轉換為無法解碼的編碼格式。加密資料可透過金鑰解密或翻譯回原始格式。因此,加密是保護靜態與傳輸資料安全最有效的方法之一,可確保即使未經授權者存取資料,資料仍無法閱讀。
若要設計適當使用 Salesforce 解決方案中的加密:
- 一律適當地加密傳輸中的資料。Salesforce 針對在 Salesforce 支援的瀏覽器中進行的所有工作階段採用「傳輸層安全性」(TLS),並要求使用 HTTPS 的撥出通話符合特定安全性標準。平台 API 預設也會使用 HTTPS。此外,Salesforce Experience Cloud 網站或入口網頁與其相關 Salesforce 組織之間傳送的資料 預設為在傳輸中加密。如果您使用 Salesforce 的內建電子郵件服務,則 Salesforce 用於 傳送和嘗試傳送電子郵件的傳輸層安全性 (TLS) 有預設層級。您至少應確保組織設定不低於預設設定,除非您有明確的業務理由。根據資料的分類和敏感度,請考慮利用透過 AWS Direct Connect 或 Salesforce Private Connect 與 Salesforce 的私人網路連線。這可確保您的資料不會周遊公用網際網路,而是會安全地透過私人網路連線來存取與整合使用者。
- 如果業務需要,請加密靜態資料。Salesforce 提供不同的方式來加密靜態資料。
- Hyperforce。在使用 Hyperforce 的組織中,系統會靜態加密資料。您的組織加密由 Salesforce 管理。您無法建立 (或終結) 您自己的加密金鑰。
- Salesforce Shield。Salesforce Shield 可讓您加密 Salesforce 組織中其他層級的靜態資料,包括應用程式和資料庫層級。透過 Shield,您可以擁有租戶加密金鑰的完整管理功能,包括強大的「自帶金鑰」(BYOK) 選項。您也可以加密非結構化資料 (包括檔案、附件、搜尋索引和事件)。以 Hyperforce 為基礎的例項提供使用外部金鑰管理員的選項,可讓您自帶 AWS KMS。透過此功能,您可以完全控制用於加密和解密儲存在 Salesforce 中之資料的 KMS 內加密金鑰,進而增強安全性並符合您組織的合規性需求。
下方的模式與反模式清單顯示在 Salesforce 組織中正確 (和不良) 使用加密的外觀。在您建立之前,請使用這些項目來驗證您的設計,或找出進一步改善的機會。
若要深入瞭解 Salesforce 提供的加密工具,請參閱與安全性相關的 工具。
此表格顯示要在您的組織中尋找 (或建立) 的模式選項,以及要避免或鎖定修復的反模式。
✨ 在「模式與反模式探索器」中探索更多資料安全模式。
| 模式 | 防模式 | |
|---|---|---|
| 共用與可視性 | 在您的設計標準和文件中:
- 安全性矩陣概述每個使用者角色獲授權存取的資料 - 外部使用者和內部使用者會使用不同的資料存取標準 (若適用) |
在您的設計標準和文件中:
- 設計標準與文件不存在或不包含安全性矩陣 - 如果安全性矩陣存在,則不會概述使用者角色的資料存取權 |
| 在您的組織中:
- 由於合規性需求,內部使用者的組織範圍預設值 (OWD) 為「公用讀取」,而內部使用者的 OWD 為「專用」, - 外部使用者的 OWD 為專用 - 生成式 AI 僅會在使用者模式中運作,或為系統存取所選取的使用具有明確的業務理由 |
在您的組織中:
- 內部使用者的 OWD 設定為「專用」,但沒有業務理由,或內部使用者的 OWD 設定為「公用讀/寫」 - 外部使用者的 OWD 設定為「專用」以外的任何項目,無須業務理由 - 生成式 AI 在系統模式中運作,沒有業務理由 |
|
| 在 Apex 中:
- 所有程式碼存取資料 (SOQL/SOSL) 或執行資料作業 (DML/資料庫類別方法) 使用 共 用關鍵字 |
在 Apex 中:
- 共用共用關鍵字使用不一致 |
|
| 使用加密 | 在您的設計標準和文件中:
- 在傳輸和 (如有需要) 靜態時使用資料加密的個案明確且可探索 - 已批准的加密通訊協定會清楚列出 - 程式碼文件會清楚指出使用加密的位置以及使用哪些通訊協定 |
在您的設計標準和文件中:
- 批准的加密通訊協定不明確或未列出 - 未記錄程式碼,或文件不清楚在程式碼中使用加密的位置與方式 |
| 在您的組織中:
- 如果偵測到安全性風險需要更高的靜態資料保護,則 Hyperforce 或 Salesforce Shield 會提供靜態加密 |
在您的組織中:
- 業務需求需要更大的靜態資料保護,但不使用 Hyperforce 或 Salesforce Shield |
|
| 在 Apex 中:
- 如果業務需求在傳輸中需要更高的資料保護,則整合涉及的所有程式碼都會使用 Crypto Class 方法執行邏輯,以在傳輸前加密資料,或在接收時解密資料 |
在 Apex 中:
- 業務需求在傳輸時需要更高的資料保護,但整合中涉及的程式碼會執行邏輯,而不會在傳輸前或收到時加密資料,或者會臨時使用「加密類別」方法 |
| 工具 | 描述 | 組織安全性 | 工作階段安全性 | 資料安全性 |
|---|---|---|---|---|
| Apex 加密類別 | 在 Apex 中加密與解密資料 | X | ||
| API 存取控制 | 管理 Salesforce API 和連線的應用程式存取權 | X | X | X |
| API 異常事件 | 追蹤使用者進行 API 呼叫的異常 | X | ||
| 瀏覽器安全性設定 | 保護敏感資料並監視 SSL 憑證 | X | ||
| 以憑證為基礎的驗證 | 使用唯一數位憑證驗證個人 | X | X | |
| 憑證與金鑰 | 從 Salesforce 確認對外部網站的要求 | X | X | |
| 程式碼掃描器 | 掃描 Apex 程式碼以瞭解安全性漏洞 | X | X | |
| 連線的應用程式 | 透過 API 和標準通訊協定整合 | X | X | |
| 認證填充事件 | 追蹤使用竊取使用者認證的嘗試登入 | X | ||
| CSP 信任網站 | 防止程式碼插入式攻擊 (例如跨網站指令檔) | X | ||
| 自訂登入流程 | 控制使用者的登入業務流程 | X | ||
| 客戶身分 | 控制網站和應用程式登入和驗證 | X | ||
| Data Mask | 在 Sandbox 中自動遮罩敏感資料 | X | ||
| 除錯記錄 | 追蹤組織中發生的事件 | X | ||
| 委派管理 | 將有限的管理權限指派給非管理員使用者 | X | X | |
| 裝置啟用 | 驗證來自不受信任瀏覽器、裝置或 IP 範圍的登入 | X | ||
| 增強型交易安全性 | 攔截事件、監視和控制使用者活動 | X | ||
| 欄位存取權 | 在欄位級控制資料存取 | X | ||
| 欄位稽核追蹤 | 定義保留已歸檔欄位歷程記錄資料的原則 | X | ||
| 欄位歷程記錄追蹤 | 追蹤與顯示欄位歷程記錄 | X | ||
| Frontdoor.jsp | 允許存取現有工作階段識別碼和伺服器 URL | X | ||
| Heroku Connect | Heroku 與 Salesforce 之間的雙向同步化 | X | ||
| Heroku Shield | 建立 HIPAA 或 PCI 規範的應用程式 | X | ||
| 高度保證工作階段安全性 | 針對敏感性作業要求額外安全性 | X | ||
| Identity Connect | 將使用者記錄對應至 Active Directory 帳戶 | X | ||
| 身分驗證歷程記錄 | 稽核使用者身分驗證嘗試 | X | ||
| 整合使用者授權 | 僅透過 API 授與資料與功能的存取權。 | X | X | |
| Lightning Login | 避免密碼變弱或忘記及帳戶遭到鎖定 | X | ||
| 登入存取權 | 允許支援使用者以另一位使用者的身分登入 | X | ||
| 登入鑑識 | 識別可能表示身分詐騙的行為 | X | ||
| 登入歷程記錄 | 監視組織和 Experience Cloud 網站登入嘗試 | X | ||
| 行動裝置追蹤 | 追蹤與監視行動裝置對您組織的存取權 | X | ||
| Mobile SDK | 在獨立行動應用程式內連線至 Salesforce Platform | X | X | X |
| 監視使用者權限 (Shield) | 權限集與權限集群組變更 | X | X | |
| 多因素驗證 | 需要兩個以上的驗證方法才能登入 | X | X | |
| 共同驗證 | 強制執行 SSL 或 TLS 共同驗證 | |||
| 我的網域 | 設定登入頁面與原則、SSO 和社交登入 | X | ||
| 已命名認證 | 指定端點 URL 和驗證參數 | X | ||
| OAuth 授權 | 透過權杖交換授權用戶端應用程式存取 | X | ||
| 密碼原則 | 設定密碼歷程記錄、長度和複雜度 | X | ||
| 權限集指派到期 | 設定權限集和權限集群組指派的到期 | X | X | |
| 權限集事件 | 監視對權限集和權限集群組所做的變更 | X | X | |
| 權限集群組 | 配套權限集以支援複雜的存取需求 | X | ||
| 權限集 | 控制使用者存取中繼資料、功能和應用程式的方式 | X | ||
| 私人連線 | 保護 Salesforce 與 Amazon Web Services 之間的安全整合 | X | ||
| 設定檔 | 控制登入 IP 範圍和登入時間 | X | ||
| 即時事件監視 | 在 Salesforce 中監視與偵測標準事件 | X | ||
| 遠端網站設定 | 針對 Apex 或 JavaScript 呼叫註冊外部網站 | X | ||
| 報告異常事件 | 追蹤使用者執行或匯出報告的異常 | X | ||
| 限制規則 | 防止使用者存取不必要的記錄 | X | ||
| Salesforce 程式碼分析器 | 透過 IDE、CLI 或 CI/CD 掃描程式碼,以確保程式碼符合最佳作法 | X | X | |
| 範圍規則 | 控制使用者可以看到的預設記錄 | X | ||
| Security Center | 檢視所有組織的安全性設定,並針對狀態變更設定警示 | X | X | |
| 安全健康檢查 | 識別安全性設定中的漏洞 | X | ||
| 工作階段劫持事件 | 透過竊取的工作階段識別碼識別未經授權的存取 | X | ||
| 工作階段管理類別 | 自訂已啟用工作階段的安全性設定 | X | ||
| 工作階段安全性設定 | 設定工作階段以防範惡意攻擊 | X | ||
| 設定稽核追蹤 | 追蹤管理員最近進行的設定變更 | X | ||
| 共用設定 | 在記錄層級控制資料存取 | X | ||
| Shield Platform Encryption | 加密靜態與傳輸中的敏感資料 | X | ||
| 單一登入 | 透過單一登入提供多個應用程式的存取權 | X | X | |
| 跨網域身分管理系統 (SCIM) | 透過 REST API 管理跨系統的身分 | X | ||
| 威脅偵測 | 使用統計資料和機器學習來偵測威脅 | X | ||
| 信任的 IP 範圍 | 定義不需要額外驗證的 IP 位址 | X | ||
| 使用者存取報告 | 取得使用者物件、記錄和權限存取權的統一檢視 | X | X |
| 資源 | 描述 | 組織安全性 | 工作階段安全性 | 資料安全性 |
|---|---|---|---|---|
| 共用結構指南 | 深入瞭解存取工具、共用模式和使用個案 | X | ||
| 設計標準範本 | 為您的組織建立設計標準 | X | X | X |
| 如何建立使用者安全性模型 | 進一步瞭解使用者安全性模型 | X | X | |
| 如何在 Salesforce 中實作最低權限原則 | 瞭解如何在 Salesforce 中套用 PoLP 資料存取控制 | X | X | |
| 監視使用者工作階段 | 檢閱啟用的工作階段並結束可疑工作階段 | X | ||
| 多因素驗證 | 從 Salesforce 存取正式 MFA 資源 | X | ||
| 權限集群組 (Trailhead) | 使用權限集群組進行操作 | X | X | |
| REST API 結構 | 瞭解 REST API 詞彙與概念 | X | X | X |
| 安全性與 SOAP API | 瞭解 SOAP API 詞彙與概念 | X | X | X |
| API 和內部系統使用者的安全性最佳作法 | 由 API 使用者和安全內部系統使用者安全地存取 Salesforce | X | ||
| 安全性實作指南 | 全方位瞭解 Salesforce 安全性 | X | X | X |
| 安全性原則範本 | 為您的組織設定安全性原則 | X | X | X |
| 工作階段類型 | 識別用於存取您組織的工作階段類型 | X | ||
| 威脅建模基礎知識 (Trailhead) | 瞭解安全性威脅以及如何防止。 | X |
協助我們讓 Salesforce Well-Architected 與您相關;進行我們的調查以提供此內容的回饋意見,並告訴我們您接下來想要查看的內容。