自带密钥 (BYOK)

最新推荐文章于 2024-04-29 14:53:40 发布
最新推荐文章于 2024-04-29 14:53:40 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: 行业客户信息 公有云-华为 程序开发
原文链接:https://help.salesforce.com/articleView?id=security_pe_byok_setup.htm&type=5
版权

自带密钥 (BYOK)

在您提供自己的租户密码时,您会获取内置到 SalesforceShield Platform Encryption 的优势,以及来自专属管理租户密码的额外保险。

所需的 EDITION 和用户权限

作为插件订购适用于:EnterprisePerformance 和 Unlimited Edition。需要购买 Salesforce Shield。Developer Edition 免费适用于 Summer’15 和更高版本中创建的组织。
适用于 Salesforce Classic 和 Lightning Experience。

 

所需用户权限
生成、销毁、导出、导入并上载租户密码和客户提供的密钥材料:“管理加密密钥”权限
通过 Shield Platform Encryption 自带密钥服务,编辑、上载和下载 HSM 保护的证书:

“管理加密密钥”权限

管理证书

自定义应用程序

控制您自己的租户密码需要联系 Salesforce 客户支持,以启用自带密钥,生成兼容 BYOK 的证书,使用该证书加密和保护自生成的租户密码,然后为租户密码授予 Salesforce Shield Platform Encryption 密钥管理机制访问权限。

  1. 自带密钥概览
    是。您可在 Salesforce 外部使用自有加密库、企业密钥管理系统或硬件安全模块 (HSM) 生成并存储客户提供的密钥材料。然后,您会授予 SalesforceShield Platform Encryption 密钥管理机制对这些密钥的访问权限。您可以选择从子签名或 CA 签名证书使用公共密钥加密密钥。
  2. 生成兼容 BYOK 的证书
    要使用自带密钥 (BYOK) 密钥材料对 Salesforce 中的数据进行加密,使用 Salesforce 生成 4096 位 RSA 证书。您可以生成自签名或证书机构 (CA) 签名的证书。每个兼容 BYOK 证书的私人密钥使用特定于组织的派生租户密码密钥加密。
  3. 生成和封装 BYOK 密钥材料
    将随机数字生成为 BYOK 租户机密。然后,计算机密的 SHA256 散列,并使用来自您生成兼容 BYOK 证书的公开密钥进行加密。
  4. 生成 BYOK 租户密码的示例脚本
    我们已提供帮助程序脚本,可让您轻松为上载准备租户密码。该脚本会为租户密码生成随意数字、计算密码的 SHA256 哈希,并使用证书中的公共密钥,以对密码进行加密。
  5. 上载 BYOK 租户机密
    在您获得兼容 BYOK 的租户机密后,将其上载到 Salesforce。盾牌密钥管理服务 (KMS) 使用您的租户密码来派生您的组织特定的数据加密密钥。
  6. 借助 BYOK 选择退出密钥派生
    如果您不需要 Shield 平台加密派生数据加密密钥,您可以选择退出密钥派生,并上载自己的最终数据加密密钥。通过选择退出,您甚至在用于加密和解密数据的密钥材料方面拥有更多控制权限。
  7. 妥善保管 BYOK 密钥
    您在 Salesforce 外部创建并存储自己的密钥材料,重要的是您需要保护该密钥材料。请确保您有一个归档密钥材料的信任位置,请勿在硬盘上保存租户密码或数据加密密钥,而不进行任何备份。
  8. 对自带密钥进行故障排除
    对于 Shield 平台加密自带密钥服务出现的任何问题,一个或多个常见问题解答可帮您进行故障排除。

另请参阅:

z荒野求生
关注
专栏目录
阿里云存储解决方案介绍.pptx
10-11
阿里云存储解决方案介绍.pptx
【最佳实践】使用BYOK密钥加密OSS中对象
weixin_33845477的博客
10-24 1052
1. 服务端加密介绍 使用服务器端加密方式保护静态数据,即OSS将用户数据写入数据中心内的磁盘时,会在对象级别加密数据,并且在访问这些数据时自动解密。用户只需要验证请求是否拥有访问权限。当前OSS支持如下两种服务端加密方式(注意:您不能对同一对象同时应用两种不同类型的服务器端加密方式): 使用由OSS完全托管的服务端加密功能:数据加密密钥的生成...
教你查看预装Win8电脑内置系统激活密钥(Win8 OEM Key)
孤雪飘寒的专栏
08-01 7060
坑爹的win8系统。。。。。。。。。。折磨爷爷到深夜。。终于搞定。这资料真心不好找啊。现在分享出来。。 ------------------------------------------------------------------------------------------------------------------------------------------- 什么
BYOK是否是云计算安全的关键?
weixin_34210740的博客
07-03 332
正是由于爱德华·斯诺登对于美国国家安全局的揭露;索尼遭受到全面的黑客入侵;以及正在持续进行的存储在云中的电子邮件到底是属于发件人还是服务托管机构的法律纠纷,促使越来越多的云服务迁移到了加密数据。有些甚至更进一步,提供了带上您自己的密钥(BYOK)的选项,使得用户拥有自己的云数据的加密密钥。 去年夏天,谷歌计算引擎开始为用户自己的密钥加密的数据和计算提供预...
使用自带密钥 (BYOK) 的Azure信息保护云退出
Hsiao的二进制生活
12-28 1287
上篇我们讲了使用Microsoft托管密钥的Azure信息保护云退出,本文我们将介绍使用自带密钥 (BYOK) 的Azure信息保护云退出。自带密钥 (BYOK) 由客户在 nCipher HSM 中创建,并安全地传输到基于 HSM 的 Azure Key Vault,供 AIP 使用。 由于 Microsoft 无法导出 BYOK,因此客户对其自己的 nCipher HSM 中的此密钥负全部责任。 客户选择此选项是为了满足他们对基于 HSM 的密钥的要求 - 考虑到管理其密钥比使用 MMK 选项需要付出
公有云上唯一一个FIPS-level4级别的HSM是如何实现的
ciscojianguo的专栏
10-07 1196
HSM,FIPS-Level4,Protect Crypto Services (HPCS)扫盲篇什么是HPCS什么是HSM主秘钥(Master key)BYOK功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Hyper Prot
云密码资源池与数据全生命周期加密.pdf
08-10
自带密钥加密(BYOE/BYOK)是当前一种流行的云计算安全模型,其允许云服务用户使用自己的加密软件和密钥,这样不仅增强了安全性,还保证了数据的主权。用户可以利用这些技术进行高效的数据加密、解密、签名验签等...
Israni_Dinesh_Bulletproofing_Stateful_Applications_on_Kubernetes.pdf
11-25
通过快照和云快照(CloudSnaps)功能实现备份和灾难恢复(DR),同时支持自带密钥加密(BYOK),确保数据安全。此外,Portworx还能自动配置和控制,在本地环境和任何云端环境中重复部署,且自身作为一个容器运行于...
我理解的国密知识与加密过程
design_logic的专栏
03-07 2544
基本概念 入门说明见:https://wenku.baidu.com/view/68fe53966c175f0e7cd137fe.html?from=search。 理解与收获: 公钥只能用私钥去解,私钥只能用公钥去解; 证书机构,建立公钥和个人对应关系的数据库;这个关系,作为个人身份证,是证书,关系形成的字符串是证书里的签名;其它人根据目的人找到其证书中的公钥,然后加密信息发给该人; 公钥与私钥的加密解密作用:https://www.zhihu.com/question/2591248...
数据安全 大数据时代,如何有效预防数据泄露?_具备数据防泄监测预警措施
2301_82056337的博客
04-29 264
可扩展性是这里的关键点,除了NoSQL之类的存储格式外,还需要跨分析工具集及其输出加密数据。获得访问控制权可以针对一系列大数据安全问题提供强大的保护,如内部威胁和过度特权。,比如,数据分析师可以访问 R 等分析工具,但他们不可以访问大数据开发人员使用的工具,例如 ETL 软件。,它将访问权限限制为仅访问执行用户任务所必需的工具和数据。大数据工作负载所需的固有大存储量和处理能力,使大多数企业可以将云计算基础架构和服务用于大数据。尽管云计算很强大,但是也是云计算中值得关注的风险。
【机密计算-大厂有话说】微软 Azure
最是书香能致远,腹有诗书气自华
07-29 635
机密计算是由(CCC) 定义的一个行业术语,CCC 是专注于定义并加速机密计算落地的基金会。CCC 给机密计算的定义是:通过在基于硬件的可信执行环境 (TEE) 中执行计算来保护使用中的数据。TEE 是是一个只能执行授权代码并对齐进行保护的环境,TEE 外部的任何代码都无法读取或篡改该环境中的任何数据。机密计算威胁模型旨在消减云提供商和运营商以及租户域中的其他行动者访问正在执行的代码和数据的能力。数据加密能够对数据存储和数据传输进行保护,但是加密最大的挑战是保护运行中数据;
安全加密 - 证书和秘钥的关系
迟来大师的博客
12-01 2852
一言蔽之: 证书用于管理公钥。(公钥要公开。如何避免公钥被替换或损毁,引入了证书。) 比方 证书好比身份证(公钥+姓名+数字签名)。 证书机构(CA)好比公安局,负责管理和分发身份证。 证书内容 证书实际上是对于非对称加密算法来说的,一般证书包括公钥、姓名、数字签名三个部分。 CA登记 HASH(公钥+姓名) 标识唯一性,也就是证书里的数字签名。 甲方 发送数据给 乙方, 去CA查找乙方的身份证书,上面有乙方的信息,可以保证公钥就是乙方的。 然后把要加密的信息进行...
密钥管理服务KMS
m0_58307569的博客
06-28 8345
密钥管理服务KMS(Key Management Service)是一站是密钥管理和数据加密服务平台,提供简单,可靠,安全,合规的数据加密保护能力。KMS帮助降低在密码基础设施和数据加解密产品上的采购、运维、研发开销,以便只需关注业务本身。①密钥服务 密钥服务提供密钥的全托管和保护,支持基于云原生接口的极简数据加密和数字签名。②凭据管家 凭据管家为凭据提供托管加密、定期轮转、安全分发、中心化管理的能力,降低传统IT设施配置静态凭据带来的安全风险。③证书管家 证书管家
一文详解对称密钥加密
热门推荐
二牛的博客
06-07 1万+
本文我们将重点介绍密码学中的对称密钥算法,包括流密码算法,块密码算法;各种算法的基本原理,重点介绍了主流的块密码算法的补位,迭代模式,加密器的实现等,最后动手实践了在Java中如何使用这些算法为我们业务所用!
Android产品研发(二十三)-->Android中保存静态秘钥实践
一片枫叶的专栏
07-21 1万+
本文我们将讲解一个android产品研发中可能会碰到的一个问题:如何在App中保存静态秘钥以及保证其安全性。许多的移动app需要在app端保存一些静态字符串常量,其可能是静态秘钥、第三方appId等。在保存这些字符串常量的时候就涉及到了如何保证秘钥的安全性问题。如何保证在App中静态秘钥唯一且正确安全,这是一个很重要的问题,公司的产品中就存在着静态字符串常量类型的秘钥,所以一个明显的问题就是如何生成秘钥,保证秘钥的安
xshell配置密钥登录,不同权限的用户配置密钥登录
jiangyunsheng147的博客
03-29 1041
首先要有公钥(.pub)和私钥(.pem),公钥的内容复制到被远程主机的~/.ssh/authorized_keys文件里面,私钥导入到做远程的主机(xshell)里面,一对公私钥可以通用到其他服务器。 一对公私钥也可以通用到不同的用户,前提是私钥导入到做远程的主机(xshell)里面和公钥的内容复制到被远程主机的用户的~/.ssh/authorized_keys文件里面,即使普通用户用的是r...
barbican的核心——密钥插件系统
weixin_30263073的博客
04-04 433
barbican的核心是加解密以及密钥的存储。基本思想是初始化时生成一个根密钥,安全的存储在硬件HSM中,无法读出,智能进行加解密操作。所有的应用密钥在存储在数据库中之前,都是经过根密钥加密的,因此不怕数据库被拖库。使用密钥时,从数据库读出密文,用根密钥解密后获取明文,再使用。 密钥存储、生成、加解密这部分,barbican充分利用的openstack的插件思想,进行抽象化设...
Linux中生成密钥的两种方法
weixin_33701251的博客
08-16 2318
Linux中生成密钥的两种方法SSH服务支持一种安全认证机制,即密钥认证。所谓的密钥认证,实际上是使用一对加密字符串,一个称为公钥(publickey), 任何人都可以看到其内容,用于加密;另一个称为密钥(privatekey),只有拥有者才能看到,用于解密。通过公钥加密过的密文使用密钥可以轻松解密,但根据公钥来猜测密钥却十分困难。 ssh的密钥认证就是使用了这一特性。服务器...
KKобтьу╬kkx.net.url
最新发布
09-14
KKобтьу╬kkx.net.url
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值