Náhled do Salesforce zabezpečení

July 29, 2020
July 29, 2020
|
Aleš Hanzlík
|
3
Minutes

Z předchozích článků jsme se dozvěděli benefity používání Salesforce platformy nejen jako CRM, ale také pro vývoj. Nyní se však zaměříme na choulostivou stránku mnoha platforem.

Tou je bezpečnost CRM platforem.

V dnešní době technologického pokroku víme, že samotné silné heslo nestačí a je potřeba mnoho dalších kroků k plnému zabezpečení, které důkladně ochrání vaše cenná data. Již jsme zmiňovali „up to date“ výhodu Salesforce platformy, která zajišťuje rychlé nahrávání oprav a celkovou aktualizaci prostředí, což je také jeden z klíčových faktorů pro zabezpečení údajů.

Pojďme se podívat do hloubky a zjistit, co vše stojí za ochranou dat při používání Salesforce.  

Obecně používáním Salesforce platformy se dostává již prvního „luxusu“. Uživatel nemusí řešit šifrování a přístupy, díky robustnímu systému udělování práv máte absolutní přehled o uživatelích a jejich činnosti. V základu v případě vytváření v Lightning prostředí dále najdeme XSS ochranu (Cross-site protection, ochrana proti vložení škodlivého kódu např. JavaScript, HTML,…) a dále cross site request forgery protection, kde se jedná o ochranu proti vložení škodlivého kódu ze strany „trusted“ uživatele.  

Samozřejmostí je také autorizace a 2 fázové ověření při přihlášení uživatele. Mezi další benefity můžeme řadit Filtrování, kontrolu a plnou customizaci Sessions a patchování, které díky odezvě uživatelů přichází ve velice krátkém čase a bugy tak nemají prostor pro způsobení škod či otevření prostoru pro případné útoky.  

Kontrola procesu  

S další možností této platformy, kterou je možnost nadstavby nebo rozšíření o funkce či podprogramy z App-Exchange. S touto možností ale přichází další bezpečnostní riziko, a proto je vynaloženo velké úsilí a intenzivní proces pro schválení a testování těchto nadstaveb, aby nedošlo k šíření bezpečnostní trhliny.

Pro detailnější rozbor je tento proces rozdělen mezi automatizovaného robota, který vyhledává případné bugy a poté jednotlivé týmy zpracovávají tyto informace pro ověření správného chodu automatizace.  I přesto, že aplikace prošla hloubkovou kontrolou se dále kontroluje její užívání a zájem, takže dle vytíženosti aplikace dochází k jejímu častějšímu kontrolování.  

V poslední řadě je zde „spot check“, což je okamžitý zákrok na základě nahlášení bugu ze strany uživatele. Celý balíček je stažen, vyhodnocen a opraven tak, aby to co nejméně ovlivnilo chod systému a byla poskytnuta co nejrychlejší záplata.  

Nástroje

V této sekci nalezneme hned několik nástrojů, které se starají o kontrolu kódu a zamezí tak případné implementaci s integrovaným kódem, který by způsobil bezpečnostní riziko.

1. Force.com Security Source Scanner

Zde probíhá důkladná kontrola Apex kódu v nahraném orgu a také případných aplikací s možností plánování testů a jejich vyhodnocení.  

2. Chimera scanner

Jedná se o cloudovou bezpečnostní skenovací jednotku, která kombinuje několik open-source skenovacích nástrojů do jednoho. Kód vytvořený na míru pak kombinuje a analyzuje výsledky ze všech nástrojů a vytváří tak jednotný přehledný report.  

3. Real-Time monitoring

S touto možností uživatel získává kontrolu a odezvu v reálném čase. Díky této funkci se nabízí neustálý dohled nad akcemi, které jsou vytvořeny ve vašem prostředí, ale také kontrola a zjišťování chyb či neautorizovaných přístupů.

4. Content

Díky možnosti vlastního developmentu a studia tak samotní uživatelé přispívají bezpečnosti platformy a možností je hned několik. Salesforce nabízí Secure cloud development a také trailhead, kde je možné naleznou aktualizované moduly pro výuku a nastudování nejnovějších možností zabezpečení.  

5. Trust Security

Trust security je portál, kde naleznete mnoho tipů jak pro uživatele, tak developery a také je možnost projít mnoho modulů Trailblaze, které slouží, jako výukový a procvičovací nástroj.

A v neposlední řadě jsou to hlavně partneři a samotní uživatelé, kteří zvyšují bezpečnost. Díky odezvě a možnosti okamžitě nahlásit případnou chybu dochází k eliminaci případného prostoru pro jeho zneužití.  

Zaujaly vás naše služby?

Kontaktujte nás
Thanks for your email! We’ll get back to you ASAP.
Oops! Something went wrong while submitting the form.

Nejnovější článek