Waarom Bring Your Own Key?

Met Shield Platform Encryption kunnen Salesforce-beheerders de levenscyclus van hun gegevensencryptiesleutels (DEK's) beheren en deze sleutels tegelijkertijd beschermen tegen ongeoorloofde toegang. Door de levenscyclus van de belanghebbendengeheimen van uw organisatie te regelen, regelt u de levenscyclus van de gegevensencryptiesleutels. En voor sommige encryptieservices kunt u zich helemaal afmelden voor sleutelafleiding en een definitieve gegevensencryptiesleutel uploaden.

DEK's worden niet opgeslagen in Salesforce. Doorgaans worden ze afgeleid van het primaire geheim (ook wel bekend als de KDF-seed) en het belanghebbendengeheim op verzoek wanneer een sleutel nodig is voor het versleutelen of ontsleutelen van klantgegevens. Het primaire geheim wordt één keer per release gegenereerd voor iedereen tijdens een virtuele ceremonie met grote zekerheid (HAVC) door middel van een hardwarebeveiligingsmodule (HSM). Het belanghebbendengeheim of de rootsleutel is uniek voor uw organisatie en u bepaalt wanneer het wordt gegenereerd, geactiveerd, ingetrokken of vernietigd.

U hebt vier opties voor het instellen van uw sleutelmateriaal.

• Gebruik Shield Platform Encryption om uw organisatiespecifieke sleutelmateriaal te genereren.
• Gebruik de infrastructuur van uw keuze, zoals een on-premises HSM, om uw sleutelmateriaal buiten Salesforce te genereren en beheren. Upload dat belanghebbendengeheim vervolgens naar de regionale Salesforce KMS. Deze optie wordt uw eigen sleutel genoemd. Als het sleutelmateriaal een belanghebbendengeheim is, geeft u het belanghebbendengeheim op, waarvan de sleutel is afgeleid. Als u een rootsleutel levert, levert u een sleutel die uw encryptiesleutel veilig omhult.
• Meld u volledig af bij het Shield Platform Encryption sleutelafleidingsproces met de Bring Your Own Key-service. Gebruik de infrastructuur van uw keuze om een DEK te maken in plaats van een belanghebbendengeheim. Upload deze DEK vervolgens naar de regionale Shield KMS. Wanneer u zich per sleutel afmeldt voor afleiding, omzeilt Shield Platform Encryption het afleidingsproces en gebruikt dit sleutelmateriaal als uw definitieve DEK. U kunt door de klant geleverde DEK's roteren op dezelfde manier als u door de klant geleverde belanghebbendengeheimen kunt roteren. BYOK is momenteel beschikbaar voor FLE, Database Encryption, Zoekindex Encryption en Platform Encryption voor Data 360. In het geval van Data 360 ondersteunt BYOK alleen uploads van rootsleutels. De andere voorzieningen ondersteunen alleen DEK-uploads.
• U kunt uw sleutelmateriaal genereren en opslaan buiten Salesforce door middel van de sleutelservice van uw keuze. Gebruik vervolgens de Externe sleutelbeheerservice of de Salesforce Alleen-cache sleutelservice om uw sleutelmateriaal op verzoek op te halen. Uw sleutelservice verzendt uw sleutelmateriaal via een veilig kanaal dat u configureert. Het wordt vervolgens versleuteld en opgeslagen in het cachegeheugen om gegevens snel te kunnen versleutelen en ontsleutelen. Alleen-cache sleutels is niet beschikbaar voor database-encryptie.