Funzionamento di Shield Platform Encryption
Shield Platform Encryption consente di crittografare i dati con le chiavi gestite dall'utente. Utilizza due metodi per proteggere i dati: derivazione delle chiavi e crittografia diretta. Per la crittografia FLE e database, utilizza una chiave derivata composta da un segreto tenant univoco controllato dall'utente e da un segreto principale mantenuto da Salesforce. Per EKM, Indici di ricerca e BYOK per Data 360, utilizza una chiave radice che racchiude le chiavi di crittografia dei dati (DEK) che crittografa direttamente i dati. La chiave principale è controllata dall'utente.
Versioni (Edition) richieste
Importante dove possibile, i termini non inclusivi sono stati modificati in modo da allinearli con il valore aziendale dell'uguaglianza. Alcuni termini sono stati mantenuti per evitare conseguenze sulle implementazioni dei clienti.
| Disponibile in Salesforce Classic (non in tutte le organizzazioni) e Lightning Experience. |
| Disponibile in: Enterprise Edition, Performance Edition e Unlimited Edition con licenze Salesforce Shield o Shield Platform Encryption. |
| Disponibile gratuitamente nella versione Developer Edition. |
Nota Questo contenuto riguarda Shield Platform Encryption. Per informazioni sull'implementazione della crittografia a livello di campo con Shield Extension, vedere Proprietà di Salesforce.
La crittografia di file, campi e allegati non ha alcun effetto sui limiti di memoria dell'organizzazione.
Nota questa pagina si riferisce a Shield Platform Encryption, non alla Crittografia classica. Qual è la differenza?
I segreti tenant e le chiavi radice sono sempre sotto il controllo dell'utente. È anche possibile fornire il proprio materiale della chiave tramite BYOK, EKM o chiavi solo cache. In tutti i casi vengono utilizzati solo i DEK forniti o derivati per crittografare i dati immessi dagli utenti in Salesforce. Li utilizziamo nuovamente per decrittografare i dati quando gli utenti autorizzati ne hanno bisogno.
- Terminologia di Shield Platform Encryption
La crittografia ha un suo vocabolario specializzato. Per utilizzare al meglio le funzioni di Shield Platform Encryption può essere utile acquisire dimestichezza con alcuni termini chiave. - Componenti coinvolti nella derivazione delle chiavi
Le chiavi di crittografia sono derivate con una combinazione di moduli di sicurezza hardware (HSM) e server di derivazione delle chiavi. - Differenze tra crittografia classica e Shield Platform Encryption
Shield Platform Encryption offre due percorsi per la crittografia dei dati: Crittografia a livello di campo e crittografia del database. Entrambi offrono il controllo sul materiale della chiave e crittografano una gamma di dati più ampia rispetto a Crittografia classica. Ogni opzione Shield Platform Encryption offre una copertura dei dati diversa, opzioni di gestione delle chiavi e supporto per funzionalità come il filtro e l'ordinamento. Utilizzare la tabella di confronto in questo articolo per decidere quale opzione soddisfa meglio i propri requisiti di crittografia. - Come viene immagazzinato il materiale chiave
I componenti critici dell'architettura di Security Platform Encryption (segreti KDF, sale KDF, chiavi di wrapping e DEK) sono protetti utilizzando una struttura a livelli che incorpora chiavi di wrapping, firma e derivazione delle chiavi. - Dietro le quinte: Il processo Shield Platform Encryption per i segreti tenant
Con la crittografia a livello di campo, quando gli utenti inviano i dati, il server di applicazioni cerca la chiave di crittografia dei dati specifica dell'organizzazione (DEK) nella cache. Se non la trova, il server di applicazioni recupera il segreto tenant crittografato dal database e chiede la chiave al server di gestione delle chiavi regionale (KMS). In seguito, il servizio Shield Platform Encryption crittografa i dati sul server di applicazioni. Se si sceglie di non utilizzare la derivazione delle chiavi o di utilizzare il servizio di gestione delle chiavi esterno o il servizio chiavi solo cache, il servizio di crittografia applica la chiave di crittografia dei dati fornita dal cliente direttamente ai dati. - Processo di crittografia del database
Crittografia database di Salesforce opera a livello di frammento, crittografando e decrittografando i dati in blocchi, in genere 64 KB o meno. - Dietro le quinte: Il processo di crittografia degli indici di ricerca
Il motore di ricerca di Salesforce, basato su Apache Solr e Apache Lucene, organizza i dati dei record in un indice di ricerca partizionato scalabile. Crittografia ricerca protegge i file indice di ricerca specifici dell'organizzazione (tipi di file .fdt, .tim e .tip) utilizzando una chiave AES-256 bit univoca. Questa crittografia avviene a livello di segmento, assicurando che tutte le operazioni dell'indice in memoria siano crittografate. L'accesso all'indice di ricerca crittografato e alla cache delle chiavi avviene esclusivamente tramite API di programmazione. - Funzionamento di Shield Platform Encryption in un Sandbox
L'aggiornamento di un Sandbox da un'organizzazione di produzione crea una copia esatta dell'organizzazione di produzione. Se nell'organizzazione di produzione è abilitata Shield Platform Encryption, tutte le impostazioni di crittografia vengono copiate nel Sandbox, compresi i segreti tenant creati nell'ambiente di produzione. Questo vale per tutte le funzioni di Shield Platform Encryption. - Perché usare la funzione Bring Your Own Key?
La funzione Bring Your Own Key (BYOK) di Shield Platform Encryption assicura un ulteriore livello di protezione in caso di accesso non autorizzato a dati critici. Può anche aiutare a soddisfare i requisiti normativi previsti dalla gestione dei dati finanziari, sanitari o personali. Dopo aver impostato il materiale della chiave, utilizzare Shield Platform Encryption come si farebbe abitualmente per crittografare i dati a riposo nella propria organizzazione Salesforce. - Perché i miei dati crittografati non sono mascherati?
Se il servizio Shield Platform Encryption non è disponibile, è possibile mascherare i dati in alcuni tipi di campi crittografati. Il mascheramento dei dati consente di risolvere i problemi delle chiavi di crittografia, non di controllare l'accesso degli utenti ai dati. Se si dispone di dati che non si desidera vengano visualizzati da alcuni utenti, rivedere le impostazioni di protezione a livello di campo, le impostazioni di accesso ai record e le autorizzazioni oggetto di tali utenti. - Shield Platform Encryption in Hyperforce
Shield Platform Encryption funziona in parallelo con la crittografia a livello di volume. Per impostazione predefinita, Hyperforce fornisce la crittografia a livello di volume per i dati a riposo. La crittografia a livello di volume protegge tutti i dati su un disco con una sola chiave di crittografia, di proprietà e gestita da Salesforce. Con Shield Platform Encryption è possibile crittografare i propri dati in Hyperforce con chiavi univoche che si possono controllare e gestire. Inoltre, se l'organizzazione utilizza Hyperforce, è possibile utilizzare Crittografia database per crittografare l'intero database transazionale. - Distribuzione di applicazioni con Shield Platform Encryption abilitato
Gli sviluppatori possono distribuire le applicazioni all'organizzazione utilizzando strumenti come le estensioni Salesforce per Visual Studio Code, lo Strumento di migrazione e Postman. Quando si distribuisce l'applicazione, l'impostazione dell'attributo Campo crittografato è determinata dall'impostazione nell'organizzazione di destinazione.
Questo articolo ha risolto il problema?
Facci sapere, così possiamo migliorare!
