Uw eigen sleutel inbrengen (BYOK)
Wanneer u uw eigen belanghebbendengeheim of gegevensencryptiesleutel (DEK) aanlevert, krijgt u de voordelen die zijn ingebouwd in Salesforce Shield Platform-encryptie, plus de extra zekerheid die voortvloeit uit het exclusieve beheer van uw eigen sleutelmateriaal. Afhankelijk van de voorziening ondersteunt BYOK afgeleide sleutels en DEK's. Als u compatibel wilt zijn met Salesforce BYOK, gebruikt u een met PKCS#8 versleuteld, Base64 gecodeerd 4096 RSA-sleutelpaar met de juiste kop- en voetteksten.
Vereiste editions
| Beschikbaar in zowel Salesforce Classic (niet in alle organisaties beschikbaar) als Lightning Experience. |
| Beschikbaar in: Enterprise, Performance en Unlimited Edition met de Salesforce Shield of Shield Platform Encryption licenties. |
| Gratis beschikbaar in Developer Edition. |
| Benodigde gebruikersmachtigingen | |
|---|---|
| Belanghebbendengeheimen en door de klant geleverd sleutelmateriaal genereren, vernietigen, exporteren, importeren en uploaden: | Encryptiesleutels beheren |
| Met HSM beschermde certificaten , uploaden en downloaden met de service Shield Platform Encryption Bring Your Own Key: | Encryptiesleutels beheren EN Certificaten beheren EN Toepassing aanpassen |
Controle over uw eigen belanghebbendengeheim of DEK omvat:
- Een BYOK-compatibel certificaat genereren voor het type encryptie
- Dat BYOK-compatibele certificaat gebruiken om uw zelf gegenereerde belanghebbendengeheim of DEK te versleutelen en beveiligen
- U geeft de sleutelbeheermachines voor Salesforce Shield Platform-encryptie dan toegang tot uw belanghebbendengeheim.
Opmerking BYOK is beschikbaar voor meer dan één Shield Platform Encryption voorziening (FLE, Database Encryption, Data 360, enzovoort). Zorg ervoor dat u de juiste instructies voor uw voorziening gebruikt.
Voor eenvoudige controle is al het door Salesforce gegenereerde en door de klant geleverde sleutelmateriaal zichtbaar op de pagina Sleutelbeheer.
- Overzicht van Bring Your Own Key (BYOK)
U kunt door de klant geleverd sleutelmateriaal genereren en opslaan buiten Salesforce door middel van uw eigen cryptobibliotheken, sleutelbeheersysteem voor de onderneming of hardwarebeveiligingsmodule (HSM). U geeft de sleutelbeheermachines voor Salesforce Shield Platform-encryptie dan toegang tot die sleutels. U moet uw sleutels versleutelen met een openbare sleutel van een certificaat met eigen ondertekening of een door een certificeringsinstantie ondertekend certificaat. BYOK is beschikbaar voor FLE, Files and Attachments, Event Bus Data, Search Indexes, Data 360 en Database Encryption. - Een BYOK-compatibel certificaat genereren
Als u gegevens in Salesforce wilt versleutelen met BYOK-sleutelmateriaal (Bring Your Own Key) voor voorzieningen zoals encryptie op veldniveau of zoekencryptie, gebruikt u Salesforce om een 4096-bits RSA-certificaat te genereren. U kunt een certificaat met eigen ondertekening of een door een certificeringsinstantie gesigneerd certificaat genereren. Elke privésleutel van een BYOK-compatibel certificaat wordt versleuteld met een afgeleide organisatiespecifieke geheime belanghebbendensleutel. - Een certificaatvingerafdruk genereren
Gebruik dit script om de vingerafdruk van een certificaat op te halen. - BYOK-sleutelmateriaal verpakken
Genereer een willekeurig getal als uw BYOK-sleutelmateriaal. Alleen voor FLE berekent u ook een SHA256-hash van het geheim en versleutelt u het met de openbare sleutel van het BYOK-compatibele certificaat dat u hebt gegenereerd. - Uw BYOK-sleutelmateriaal uploaden
Shield Platform Encryption ondersteunt BYOK voor FLE, Event Log Data, Zoekindex Encryption en Database Encryption. Omdat ze allemaal verschillende encryptiedoelen ondersteunen, hebben ze verschillende typen BYOK-sleutelmateriaal nodig. Voor FLE, Eventlogboekgegevens en Database-encryptie uploadt u een belanghebbendengeheim BYOK. Foc zoekindex encryptie uploadt u een gegevensencryptiesleutel (DEK). - Afmelden voor sleutelafleiding met BYOK
Voor encryptie op veldniveau (FLE), bestanden en bijlagen en eventbusgegevens kunt u zich afmelden voor sleutelafleiding en een definitieve gegevensencryptiesleutel (DEK) uploaden. Als u zich afmeldt, krijgt u meer controle over het sleutelmateriaal dat wordt gebruikt om uw gegevens te versleutelen en ontsleutelen. - Wees voorzichtig met uw BYOK-sleutels
Wanneer u uw eigen sleutelmateriaal maakt en opslaat buiten Salesforce, is het belangrijk dat u dat sleutelmateriaal veiligstelt. Zorg ervoor dat u een betrouwbare plaats hebt voor het archiveren van uw sleutelmateriaal; sla een belanghebbendengeheim of gegevensencryptiesleutel nooit op een vaste schijf op zonder een back-up. - Probleemoplossing Bring Your Own Key
Lees deze veelgestelde vragen om problemen op te lossen die optreden met de Uw eigen sleutel inbrengen-service van Shield Platform Encryption.
Heeft dit artikel uw probleem opgelost?
Laat ons weten wat we kunnen doen om te verbeteren!
