Salesforce Shield学习

最新推荐文章于 2024-09-26 17:12:37 发布

一笑乖乖

最新推荐文章于 2024-09-26 17:12:37 发布

阅读量229

点赞数

文章标签：学习云计算

本文链接：https://blog.csdn.net/weixin_45663522/article/details/129530105

版权

Salesforce Shield学习

参考博客：https://www.salesforceben.com/salesforce-shield/
官网介绍：https://resources.docs.salesforce.com/latest/latest/en-us/sfdc/pdf/salesforce_platform_encryption_implementation_guide.pdf

动手实践：在我们自己的Developer环境是免费的，但是需要向salesforce support申请Salesforce Shield许可证，才能进行相关配置

什么是Salesforce Shield？

Salesforce Shield适用于需要额外安全和合规要求的组织。它包括以下四个部分。

平台加密：即当数据存储在Salesforce数据中心时，对 "静态 "数据进行自然加密。
字段审计跟踪：跟踪字段变化。保留存档的字段历史数据长达十年之久。
事件监控：用户活动监控以防止和减轻威胁。
爱因斯坦数据检测：扫描敏感数据和更深入的洞察力。

作为一个 "Salesforce平台 "产品，Shield的功能可以跨越您的组织使用的所有Salesforce "云 "产品，以支持减少所有业务领域的数据风险。
Salesforce Shield是一种附加产品，这意味着它要比典型的Salesforce CRM许可证类型多花钱。值得注意的是，您可以购买 “全伞”（所有四个组件），也可以根据适合您的监管和业务要求，单独购买每个组件。

为什么需要Salesforce Shield？

Salesforce在提供基础设施–硬件、网络服务和底层基础设施–方面提供了一流的服务，但是，在运作中存在一个共同安全责任模式。这意味着责任由Salesforce（供应商）和您的组织（客户）共同承担。其结果是，对Salesforce的任何配置/定制都需要由客户来管理，而客户最终要对由此带来的风险负责。

这就是Salesforce Shield的作用，它提供了另一层保护，帮助客户管理共同责任模式的安全控制。
Salesforce Shield还提供了Salesforce开箱即用的功能（我们将在后面介绍这些功能）。这些功能对于在Salesforce中拥有敏感数据和/或在受管制行业中运营的客户来说尤其关键。

让我们来看看组成Salesforce Shield的每个组件。

1. Salesforce Shield Encryption

Salesforce Shield允许你在字段级用AES 256位加密法对Salesforce数据进行加密，以及管理你自己的加密密钥。平台加密的主要收获包括。

AES 256位。Salesforce内可用的最高级别的加密。
在字段级对数据进行加密。现场级加密是Salesforce不提供的东西。
静态加密。对您的数据进行 "静态
"加密，即当它存储在数据中心时。数据被存储为密码文本（它将纯文本转换为密码文本）。这意味着，在Salesforce数据库中心工作的数据库代理将无法读取您的真实数据。
加密策略。对于文件和附件，该策略以 "全部或无 "的方式对其进行加密（即不根据某些文件进行选择性的加密）。
管理你自己的加密密钥。用Salesforce管理加密密钥有三种选择。虽然您可以使用Salesforce生成的加密密钥，但拥有密钥管理基础设施的客户将从
“自带密钥”（BYOK）中受益。

为了澄清，对记录和字段级安全的访问仍由您在Salesforce组织内确定的本地字段级安全控制。因此，平台加密对您的Salesforce用户来说是不可见的，换句话说，它不会掩盖Salesforce中的数据（也称为混淆）。同样，它只是加密了 - 在数据中心内 “休息”。

我们说您的Salesforce用户大多不可见，因为有细微的差别。例如，如果你加密了一个在报告过滤器或列表视图中使用的字段，这可能会对该特定报告或列表视图中的可见性产生影响（在本指南后面会有更多关于这个问题的内容！）。

Salesforce密钥选项（+BYOK）

正如我们在加密密钥的启示中提到的，对于如何用Salesforce管理加密密钥，有三种选择。

使用Salesforce生成的加密密钥。
“自带密钥”。已有密钥管理基础设施的客户可以 “自带密钥”（BYOK）。这在企业客户中很常见，他们需要对钥匙的轮换进行完全控制。建立BYOK的基础设施可能需要一些时间，因此客户最初可能使用Salesforce生成的密钥来获得平台加密并运行，然后再迁移到BYOK。
仅限缓存。这在密钥本身上提供了一个 “隧道”，因此Salesforce不可能真正访问它。这个选项适用于最有安全意识的组织。请注意，有一些实施方面的考虑，你应该了解一下。

Shield 加密

它不是整个磁盘的加密。相反，Shield的加密是在字段级的，而且是针对文件和附件。
虽然数据可以被有选择地加密（即逐个字段），但Shield不能有选择地加密文件和附件。换句话说，文件和附件的加密是二进制的–意味着有一个设置（加密策略），要么是开，要么是关，并应用于所有文件和附件。
启用文件和附件的加密策略后，所有上传的新文件和附件都将在 "静态 "中进行加密。您需要联系Salesforce支持，以对现有文件和附件进行加密。
它不会混淆数据；从Salesforce用户界面来看，数据对你的最终用户来说仍然是透明的。
平台加密、爱因斯坦数据检测和数据分类都是携手并进的。我们将在稍后探讨 "Salesforce盾牌的价值之路 "时向您说明原因。

2. 字段追踪

Salesforce Shield字段审计跟踪将字段历史跟踪时间延长至十年，而Salesforce标准字段变更跟踪的时间为18-24个月。字段历史跟踪包括哪些数据发生了变化，在哪些字段，什么时候，以及由哪个用户进行的。

保留字段历史更长的时间可以让您遵守业务要求（即参考历史数据）或法律合规要求。

标准字段审计跟踪和Salesforce Shield的审计跟踪之间有什么区别？这里有一个概述。

在这里插入图片描述
使用Salesforce开箱即用的元数据API设置字段跟踪策略（即什么、存储多长时间、多长时间后删除）。

3. Salesforce Shield事件监控

用户活动监控允许您设置交易安全策略来跟踪用户 “事件”，即他们在系统中通过浏览器、Salesforce 移动应用程序和 Salesforce API 所做的事情。其目的是实时发现和阻止流氓行为，从而防止和减轻威胁。

有核心事件监控和实时事件监控之分。

核心事件监控。查看包含不同事件的事件流，在几个小时内更新。
实时事件监控。查看实时发生的事件。作为管理员，当这些定义的活动发生时，你可以选择阻止用户继续使用并得到通知。这些都是由你的交易安全策略定义的。
事件监控从安全和性能的角度来看都是有益的。
从安全的角度来看，监控的例子–他们是否在查看某个页面，下载一个报告，运行一个含有敏感数据的报告，等等。
Salesforce提供了一套强大的事件，从性能的角度进行监控，例如，如果某些报告需要更长的时间来加载。

事件监控举例

我们有一份报告，我们知道其中存储了敏感信息。我们想识别一个用户试图从Salesforce导出5000多行数据的行为，并阻止他们成功–也许这是 "高净值联系人 "报告，而且一个不满的销售人员很快就要离开组织。
在这里插入图片描述
当有人试图导出报告时，它将向用户显示他们没有权限的信息，因此阻止了导出。这被记录为一个 “事件”，可以用分析工具监测。

事件监控分析

对于事件监控的报告，Salesforce提供了一个CRM分析应用程序（预建仪表板），它带有事件监控（两个许可证）。

事件，如我们的例子中的不满的销售人员，会被记录下来，并在各种组件中显示。你可以按用户监测趋势，哪些报告被下载，或用户如何访问某些报告。

许多客户会选择将其引入Splunk或Qradar，以使Salesforce事件监控与整个技术栈的其他事件监控保持一致。

所有的事件都存储在事件日志文件标准对象中，这意味着你可以在面对威胁时运行查询来进行分析和取证。

下面的图表显示了Salesforce Shield中的事件监控是如何整体运作的。
在这里插入图片描述

4. Einstein 数据监测

爱因斯坦数据检测自动扫描您的Salesforce数据库，并根据五种数据模式识别敏感数据。

信用卡号码
电子邮件
社会安全号码
URLs
IP地址

这就是为什么爱因斯坦数据检测与平台加密携手并进，告知哪些内容需要在 "静止"时加密。
在这里插入图片描述
爱因斯坦数据检测有一个令人难以置信的直观界面。在下面的例子中，我们将：

定义我们要扫描的对象，例如账户、案例和联系人。
设置数据策略，确定我们要扫描的数据模式，例如敏感数据扫描策略（Salesforce有预定义的逻辑，允许你这样做）。
设置我们想扫描的字段。

一个常见的例子是，支持人员无意中在案例描述或评论领域添加了信息。你如何能够识别这种情况？

扫描结果将显示你的组织内哪里有需要审查的敏感数据，以确保你正在保护它。下面，你可以看到有不同的对象/字段，有65000条记录可能有敏感字段的模式。