Loading
设置和维护 Salesforce 组织
目录
筛选条件: (0)添加
选择筛选器

          没有结果
          没有结果
          以下是一些搜索提示

          检查关键字的拼写。
          使用更普遍的搜索词。
          选择更少的筛选器,并扩大搜索范围。

            搜索所有 Salesforce 帮助
            搜索所有 Salesforce 帮助
            Shield 平台加密工作原理

            您在此处:

            1. Salesforce 帮助
            2. 文档
            3. 设置和维护 Salesforce 组织

            Shield 平台加密工作原理

            Shield Platform Encryption 帮助您使用自己管理的密钥加密数据。它使用两种方法保护您的数据:密钥派生和直接加密。对于 FLE 和数据库加密,它使用派生密钥,该密钥由您控制的唯一租户密码和 Salesforce 维护的主要密码组成。对于 EKM、搜索索引和 BYOK for Data 360,它使用根密钥来封装直接加密数据的数据加密密钥 (DEK)。您控制根密钥。

            所需的 Edition

            重要
            重要 在可能的情况下,我们更改了非排他性条款,以符合我们公司的平等价值观。我们保留了某些条款,以避免对客户实施产生任何影响。
            适用于 Salesforce Classic(并非在所有组织中可用)和 Lightning Experience。
            适用于:具有 Salesforce Shield 或 Shield Platform Encryption 许可证的 EnterprisePerformanceUnlimited Edition。
            Developer Edition 中免费提供。
            备注
            备注 此内容与 Shield Platform Encryption 相关。阅读关于在 Own from Salesforce 中使用 Shield Extension 实施字段级加密。

            加密文件、字段和附件时不会对组织的存储限制产生影响。

            备注
            备注 此页面关于 Shield 平台加密,而不是经典加密。有什么不同?

            租户密码和根密钥始终由您控制。您也可以通过 BYOK、EKM 或仅缓存密钥提供自己的密钥材料。在所有情况下,我们仅使用提供或派生的 DEK 来加密用户放入 Salesforce 的数据。当您的授权用户需要时,我们会再次使用它们来解密数据。

            • Shield 平台加密术语
              加密有自己的专业词汇。为充分利用 Shield 平台加密功能,请自行熟悉关键术语是良好实践。
            • 派生密钥涉及的组件
              加密密钥通过硬件安全模块 (HSM) 和密钥派生服务器的组合派生。
            • Classic Encryption 与 Shield Platform Encryption 有何不同
              Shield Platform Encryption 提供了两种加密数据的路径:字段级加密和数据库加密。两者都提供了对密钥材料的控制,并加密了比经典加密更广泛的数据。每个 Shield Platform Encryption 选项提供不同的数据覆盖范围、密钥管理选项,并支持筛选和排序等功能。使用本文中的对比表来帮助您决定哪个选项最符合您的加密要求。
            • 密钥材料的存储方式
              安全平台加密架构的关键组件(KDF 密码、KDF 盐、封装密钥和 DEK)使用包含封装密钥、签名和密钥派生的分层结构进行保护。
            • 后台:适用于租户密码的 Shield Platform Encryption 流程
              通过字段级加密,当用户提交数据时,应用程序服务器会在其缓存中查找特定于组织的数据加密密钥 (DEK)。如果未找到,应用程序服务器会从数据库中获取加密的租户秘密,并请求区域密钥管理服务器 (KMS) 派生密钥。Shield 平台加密服务随后便会加密应用程序服务器上的数据。如果您选择退出密钥派生或使用外部密钥管理服务或仅缓存密钥服务,加密服务会将客户提供的数据加密密钥直接应用于数据。
            • 数据库加密过程
              Salesforce 的数据库加密在片段级别操作,以块的形式加密和解密数据,通常为 64KB 或更小。
            • 后台:搜索索引加密过程
              Salesforce 的搜索引擎由 Apache Solr 和 Apache Lucene 提供支持,将记录数据组织在一个可扩展的分区域搜索索引中。搜索加密使用唯一的 AES-256 位密钥保护特定于组织的搜索索引文件(.fdt.tim.tip 文件类型)。此加密发生在段级别,确保内存中的所有索引操作都加密。对加密搜索索引和密钥缓存的访问严格通过编程 API。
            • Shield Platform Encryption 如何在 Sandbox 中工作
              刷新来自生产组织的 Sandbox 可以创建生产组织的精确副本。如果在生产组织中启用了 Shield Platform Encryption,将复制所有加密设置,包括在生产中创建的租户密码。所有 Shield Platform Encryption 功能都是如此。
            • 为何选择自带密钥?
              Shield Platform Encryption 的自带密钥 (BYOK) 功能为您提供了额外的保护,以防有人未经授权访问关键数据。它还可以帮助您满足处理财务、健康或个人数据方面的监管要求。在您设置密钥材料后,通常在您想要对 Salesforce 组织中的静态数据进行加密时,可以使用 Shield Platform Encryption。
            • 为什么我的加密数据没有屏蔽?
              如果 Shield Platform Encryption 服务不可用,您可以屏蔽某些加密字段中的数据。屏蔽数据有助于解决加密密钥问题,而不是控制用户对数据的访问权限。如果您有不想让某些用户看到的数据,请重新访问这些用户的字段级安全设置、记录访问权限设置和对象权限。
            • Hyperforce 中的 Shield 平台加密
              Shield 平台加密与容量级加密并行操作。默认情况下,Hyperforce 会为静态数据提供容量级加密。容量级加密使用 Salesforce 拥有和管理的一个加密密钥,保护磁盘上的所有数据。使用 Shield 平台加密,您可以使用由您控制和管理的唯一密钥在 Hyperforce 中加密数据。此外,如果贵组织在 Hyperforce 上,您可以使用数据库加密来加密整个事务数据库。
            • 部署启用了 Shield Platform Encryption 的应用程序
              作为开发人员,您可以使用 Salesforce Extensions for Visual Studio Code、迁移工具和 Postman 等工具将应用程序部署到贵组织。部署应用程序时,加密字段属性的设置由其在目标组织中的设置决定。

            另请参阅:

             
            正在加载
            Salesforce Help | Article