Vous êtes ici :
Fonctionnement de Shield Platform Encryption
Shield Platform Encryption vous aide à crypter vos données avec des clés que vous gérez. Il utilise deux méthodes pour protéger vos données : dérivaton de clé et le cryptage direct. Pour FLE et Database Encryption, il utilise une clé dérivée composée d'un secret locataire unique que vous contrôlez et d'un secret principal que Salesforce conserve. Pour EKM, Search Indexes et BYOK pour Data 360, il utilise une clé racine qui enveloppe les clés de cryptage des données (DEK) qui cryptent directement vos données. Vous contrôlez la clé racine.
Éditions requises
Important Dans la mesure du possible, nous avons changé les termes non inclusifs conformément aux valeurs d’équité de notre entreprise. Nous avons conservé certains termes afin d’éviter tout dysfonctionnement des implémentations des clients.
| Disponible avec Salesforce Classic (pas disponible dans toutes les organisations) et avec Lightning Experience |
| Disponible avec : les éditions Enterprise, Performance et Unlimited avec les licences Salesforce Shield ou Shield Platform Encryption. |
| Disponible gratuitement dans Developer Edition. |
Remarque Ce contenu concerne Shield Platform Encryption . Découvrez l'implémentation du cryptage au niveau du champ en utilisant Shield Extension in Own de Salesforce.
Le cryptage de fichiers, de champs et de pièces jointes n'a aucun effet sur les limitations de stockage de votre organisation.
Remarque Cette page concerne le Cryptage de la plate-forme Shield, pas le Cryptage classique. Quelle est la différence ?
Vos secrets locataires et clés racine sont toujours sous votre contrôle. Vous pouvez également fournir votre propre matériel de clé via des clés BYOK, EKM ou Cache-only. Dans tous les cas, nous utilisons uniquement les DEK fournis ou que nous avons dérivés pour crypter les données que vos utilisateurs placent dans Salesforce. Nous les utilisons de nouveau pour décrypter les données lorsque vos utilisateurs autorisés en ont besoin.
- Terminologie de Shield Platform Encryption
Le cryptage possède son propre vocabulaire spécialisé. Pour exploiter au maximum vos fonctionnalités Shield Platform Encryption, il est recommandé de vous familiariser avec la terminologie employée. - Composants impliqués dans la dérivation de clés
Les clés de cryptage sont dérivées avec une combinaison de modules de sécurité matérielle (HSM) et de serveurs de dérivation de clé. - Quelle est la différence entre le cryptage classique et le Shield Platform Encryption
Shield Platform Encryption offre deux voies vers le cryptage des données: Cryptage au niveau du champ et Cryptage de la base de données. Les deux offrent un contrôle sur le matériel de clé et cryptent un éventail de données plus large que le Cryptage classique. Chaque option Shield Platform Encryption offre une couverture de données différente, des options de gestion des clés, et la prise en charge de fonctionnalités telles que le filtrage et le tri. Utilisez le tableau de comparaison de cet article pour déterminer l'option qui répond le mieux à vos besoins en cryptage. - Stockage du matériel de clé
Les composants critiques de l'architecture de Cryptage de la plate-forme de sécurité (les secrets KDF, le sel KDF, les clés d'enveloppement et les DEK) sont sécurisés à l'aide d'une structure à plusieurs niveaux qui incorpore des clés encapsulées, la signature et la dérivation de clés. - À l'arrière-plan : Le processus Shield Platform Encryption pour les secrets locataires
Avec le cryptage au niveau du champ, lorsque les utilisateurs soumettent des données, le serveur d'application recherche la clé de cryptage des données (DEK) spécifique à l'organisation dans son cache. S'il ne trouve pas la clé, le serveur d'application récupère le secret locataire crypté dans la base de données et demande au serveur de gestion des clés (KMS) régional de dériver la clé. Le service Shield Platform Encryption crypte ensuite les données dans le serveur d'applications. Si vous vous désabonnez de la dérivation de clé ou utilisez le Service de gestion des clés externes ou le Service de clé cache seulement, le service de cryptage applique votre clé de cryptage des données fournie par le client directement à vos données. - Processus de cryptage de la base de données
Le Cryptage de la base de données de Salesforce fonctionne au niveau du fragment, cryptant et décryptant les données par segments, généralement 64 Ko ou moins. - En arrière-plan : le processus de cryptage de l’index de recherche
Le moteur de recherche de Salesforce, propulsé par Apache Solr et Apache Lucene, organise les données des enregistrements dans un index de recherche évolutif et partitionné. Le cryptage de la recherche sécurise les fichiers index de recherche spécifiques à l'organisation (types de fichier .fdt, .tim et .tip) en utilisant une clé AES-256 bits unique. Ce cryptage est effectué au niveau du segment, ce qui garantit que toutes les opérations d'index en mémoire sont cryptées. L'accès à l'index de recherche crypté et au cache de clé se fait strictement via des API programmatiques. - Fonctionnement de Shield Platform Encryption dans une organisation Sandbox
L'actualisation d'un environnement sandbox depuis une organisation de production crée une copie exacte de l'organisation de production. Si Shield Platform Encryption est activé dans l'organisation de production, tous les paramètres de cryptage sont copiés dans la sandbox, y compris les secrets locataires créés en production. Ceci est vrai pour toutes les fonctionnalités Shield Platform Encryption. - Qu'est-ce que Bring Your Own Key ?
La fonctionnalité Bring Your Own Key (BYOK) de Shield Platform Encryption offre une couche de protection supplémentaire contre les accès non autorisés aux données critiques. Il peut également vous aider à satisfaire aux exigences réglementaires relatives au traitement des données financières, de santé ou personnelles. Une fois votre matériel de clé configuré, vous pouvez utiliser normalement Shield Platform Encryption pour crypter les données au repos dans votre organisation Salesforce. - Pourquoi mes données cryptées ne sont-elles pas masquées ?
Si le service Shield Platform Encryption n'est pas disponible, vous pouvez masquer les données dans certains types de champ crypté. Le masquage des données permet de dépanner les problèmes de clé de cryptage, pas de contrôler l'accès des utilisateurs aux données. Si vous avez des données que vous ne souhaitez pas montrer à certains utilisateurs, revisitez les paramètres de sécurité au niveau du champ, les paramètres d'accès aux enregistrements et les autorisations d'objet de ces utilisateurs. - Shield Platform Encryption dans Hyperforce
Shield Platform Encryption fonctionne parallèlement au cryptage au niveau du volume. Par défaut, Hyperforce fournit le cryptage au niveau du volume pour les données au repos. Le cryptage au niveau du volume protège toutes les données sur un disque avec une seule clé de cryptage, appartenant à et gérée par Salesforce. Avec Shield Platform Encryption, vous pouvez crypter vos données dans Hyperforce avec des clés uniques que vous contrôlez et gérez. De plus, si votre organisation est sur Hyperforce, vous pouvez utiliser le Cryptage de la base de données pour crypter toute la base de données transactionnelle. - Déploiement d'applications avec Shield Platform Encryption activé
En tant que développeur, vous pouvez déployer des applications dans votre organisation en utilisant des outils tels que Salesforce Extensions for Visual Studio Code, Migration Tool et Postman. Lorsque vous déployez votre application, le paramètre de l'attribut Champ crypté est déterminé par son paramètre dans l'organisation cible.
Cet article a-t-il résolu votre problème ?
Dites-nous ce que nous pouvons améliorer !
