Como a Criptografia de plataforma Shield funciona
Shield Platform Encryption ajuda você a criptografar seus dados com chaves que você gerencia. Ele usa dois métodos para proteger seus dados: derivação de chave e criptografia direta. Para FLE e Criptografia de banco de dados, ele usa uma chave derivada composta por um segredo do locatário exclusivo que você controla e um segredo primário que a Salesforce mantém. Para EKM, Índices de pesquisa e BYOK para Data 360, ele usa uma chave-raiz que encapsula as chaves de criptografia de dados (DEKs) que criptografam seus dados diretamente. Você controla a chave-raiz.
Edições obrigatórias
Importante Quando possível, alteramos termos não inclusivos para estarem alinhados ao valor de igualdade da nossa empresa. Mantivemos alguns termos para evitar qualquer efeito sobre as implementações do cliente.
| Disponível no Salesforce Classic (não disponível em todas as organizações) e no Lightning Experience. |
| Disponível em: Edições Enterprise, Performance e Unlimited com as licenças Salesforce Shield ou Shield Platform Encryption. |
| Disponível gratuitamente na Developer Edition. |
Nota Este conteúdo tem relação com Shield Platform Encryption. Leia sobre a implementação da criptografia em nível de campo usando a Extensão Shield Propriamente no Salesforce.
Criptografar arquivos, campos e anexos não afeta os limites de armazenamento da sua organização.
Nota Essa página se refere à Shield Platform Encryption, não à Criptografia clássica. Qual é a diferença?
Seus segredos do locatário e chaves-raiz estão sempre sob seu controle. Você também pode fornecer seu próprio material de chave por meio de chaves somente em cache, EKM ou BYOK. Em todos os casos, usamos apenas os DEKs que foram fornecidos ou que derivamos para criptografar dados que seus usuários colocaram no Salesforce. Nós os usamos novamente para descriptografar dados quando seus usuários autorizados precisarem deles.
- Terminologia da Criptografia da plataforma Shield
A criptografia possui seu próprio vocabulário especializado. Para aproveitar ao máximo seus recursos da Criptografia da plataforma Shield, é aconselhável que você se familiarize com as principais terminologias. - Componentes envolvidos em chaves de derivação
As chaves de criptografia são derivadas com uma combinação de módulos de segurança de hardware (HSMs) e servidores de derivação de chave. - Diferenças entre Criptografia clássica e Shield Platform Encryption
O Shield Platform Encryption oferece dois caminhos para a criptografia de dados: Criptografia em nível de campo e Criptografia de banco de dados. Ambos oferecem controle sobre o material de chave e criptografam uma gama mais ampla de dados do que a Criptografia clássica. Cada opção Shield Platform Encryption oferece cobertura de dados diferente, opções de gerenciamento de chaves e suporte para funcionalidades como filtragem e classificação. Use a tabela de comparação neste artigo para ajudá-lo a decidir qual opção atende melhor aos seus requisitos de criptografia. - Como o material de chave é armazenado
Os componentes críticos da arquitetura da Criptografia da plataforma de segurança (segredos de KDF, sal de KDF, chaves de encapsulamento e DEKs) são protegidos usando uma estrutura em níveis que incorpora chaves encapsuladas, assinatura e derivação de chave. - Nos bastidores: O processo Shield Platform Encryption para segredos do locatário
Com a criptografia em nível de campo, quando os usuários enviam dados, o servidor do aplicativo procura a chave de criptografia de dados (DEK) específica da organização em seu cache. Se ela não estiver lá, o servidor do aplicativo obterá o segredo do locatário criptografado no banco de dados e solicitará ao servidor de gestão de chave regional (KMS) que derive a chave. Em seguida, o serviço Shield Platform Encryption criptografa os dados no servidor de aplicativos. Se você recusar a derivação de chave ou usar o Serviço de gerenciamento de chave externa ou o Serviço de chave somente em cache, o serviço de criptografia aplicará sua chave de criptografia de dados fornecida pelo cliente diretamente aos seus dados. - Processo de criptografia de banco de dados
A Criptografia de banco de dados do Salesforce opera no nível de fragmento, criptografando e descriptografando dados em blocos, geralmente de 64 KB ou menos. - Nos bastidores: O processo de criptografia de índice de pesquisa
O mecanismo de pesquisa do Salesforce, alimentado pelo Apache Solr e Apache Lucene, organiza os dados de registro em um índice de pesquisa particionado e escalável. A Criptografia de pesquisa protege arquivos de índice de pesquisa específicos da organização (.fdt, .tim e tipos de arquivo .tip) usando uma chave AES de 256 bits exclusiva. Essa criptografia acontece no nível do segmento, garantindo que todas as operações de índice na memória sejam criptografadas. O acesso ao índice de pesquisa criptografado e ao cache de chave é estritamente por meio de APIs programáticas. - Como o Shield Platform Encryption funciona em um sandbox
A atualização de um sandbox de uma organização de produção cria uma cópia exata da organização de produção. Se o Shield Platform Encryption estiver ativado na organização de produção, todas as configurações de criptografia serão copiadas para o sandbox, incluindo segredos de locatário criados na produção. Isto é verdade para todos os recursos do Shield Platform Encryption. - Por que Traga sua própria chave?
O recurso Traga sua própria chave (BYOK) da Shield Platform Encryption oferece a você uma camada extra de proteção no caso de acesso não autorizado a dados críticos. Ele também pode ajudá-lo a cumprir os requisitos regulatórios que vêm com o tratamento de dados financeiros, de saúde ou pessoais. Depois de configurar seu material de chave, você poderá usar a Shield Platform Encryption como faria normalmente para criptografar dados em repouso em sua organização do Salesforce. - Por que meus dados criptografados não são mascarados?
Se o serviço Shield Platform Encryption não estiver disponível, você poderá mascarar dados em alguns tipos de campos criptografados. O mascaramento de dados ajuda a solucionar problemas de chave de criptografia, não controlar o acesso do usuário aos dados. Se você tiver dados que não deseja que alguns usuários vejam, revise as configurações de segurança em nível de campo, as configurações de acesso ao registro e as permissões de objeto desses usuários. - Criptografia da plataforma Shield no Hyperforce
A Criptografia da plataforma Shield funciona em paralelo com a criptografia em nível de volume. Por padrão, o Hyperforce fornece criptografia em nível de volume para dados em repouso. A criptografia de nível de volume protege todos os dados em um disco com uma chave de criptografia, que é gerenciada e de propriedade da Salesforce. Com a Criptografia da plataforma Shield, você pode criptografar seus dados no Hyperforce com chaves exclusivas que você controla e gerencia. Além disso, se sua organização estiver no Hyperforce, você poderá usar a Criptografia de banco de dados para criptografar todo o banco de dados transacional. - Implementar aplicativos com Shield Platform Encryption ativado
Como um desenvolvedor, você pode implementar aplicativos em sua organização usando ferramentas como Extensões do Salesforce para Visual Studio Code, Ferramenta de migração e Postman. Quando você implementa seu aplicativo, a configuração do atributo Campo criptografado é determinada pela configuração na organização de destino.
Este artigo resolveu seu problema?
Diga-nos para podermos melhorar!
