Вы находитесь здесь:
Ротация материала ключа шифрования
Вы управляете жизненным циклом ключей шифрования данных, управляя жизненным циклом материала ключа. Salesforce рекомендует регулярно создавать или загружать новый материал ключа Shield Platform Encryption. При ротации секрета клиента, ключа шифрования данных (DEK) или корневого ключа вы заменяете его либо материалом ключа Salesforce, либо материалом ключа, который вы предоставляете.
Требуемые версии
| Доступно как в Salesforce Classic (недоступно во всех организациях), так и в Lightning Experience. |
| Доступно в версиях: Enterprise, Performance и Unlimited Edition с лицензиями Salesforce Shield или Shield Platform Encryption. |
| Доступно бесплатно в версии Developer Edition. |
| Необходимые полномочия пользователя | |
|---|---|
| Для создания, удаления, экспорта, импорта и загрузки секретов клиента и материала ключа клиента | Управление ключами шифрования |
Чтобы определить частоту ротации, ознакомьтесь с политиками безопасности. Частота ротации материала ключа зависит от типа и среды. Для секретов с ограничениями можно менять секреты клиента один раз в интервал.
| Материал ключа | Тип ключа | Производственные среды | Безопасные среды Sandbox |
|---|---|---|---|
| Поля и файлы (вероятностные) | Секрет клиента | 24 часа | 4 часа |
| Поля (детерминистские) | Секрет клиента | 7 дней | 4 часа |
| Вся база данных | Секрет клиента базы данных | 3 месяца | 3 месяца |
| Analytics | Секрет клиента | 24 часа | 4 часа |
| Шина события | Секрет клиента | 7 дней | 7 дней |
| Поисковый индекс | Секрет клиента | 7 дней | 7 дней |
| Поисковый индекс | DEK | 7 дней | 7 дней |
| Salesforce | Корневой ключ | Без ограничений | Без ограничений |
| Salesforce (для данных Data 360) | Корневой ключ | 3 месяца | 3 месяца |
| Тип ключа | Ключевые статусы |
|---|---|
| Корневой AWS | Активный, Ожидание активации, Архивный, Отмененный, Неактивный |
| Корневой Salesforce (для данных Data 360) | Активно, архивировано |
| Корневой Salesforce | Активный, архивный, неактивный |
| Поиск DEK | Активно, архивировано, уничтожено |
| Секрет клиента | Активно, архивировано, уничтожено |
Статус ключа означает одно и то же, независимо от типа ключа.
- Активно
- Ключ можно использовать для шифрования и расшифровки новых и существующих данных.
- Ожидание активации
- Ключ создается в Salesforce, но дожидается завершения активации другого процесса.
- Архивировано
- Ключ не может шифровать новые данные. Его можно использовать для расшифровки данных, ранее зашифрованных этим ключом, когда он был активным.
- Отменено
- Процесс активации корневого ключа отменен.
- Уничтожено
- Ключ не может шифровать или расшифровывать данные. Данные, зашифрованные данным ключом при его активности, больше не могут быть расшифрованы. Файлы и вложения, зашифрованные данным ключом, больше не могут быть загружены.
- Неактивно
-
Корневой ключ присутствует, но неактивен, что предотвращает шифрование и расшифровку данных управляемыми им DEK.
Ротация корневых ключей и ключей шифрования данных
Shield Platform Encryption шифрует некоторые хранилища данных парами ключей, состоящими из корневого ключа и ключа шифрования данных (DEK). В зависимости от хранилища данных, можно менять один или оба ключа в паре ключей. Ротация корневых ключей, защищающих DEK, может помочь вам соответствовать вашим требованиям к соответствию при обработке ключей. Для хранилищ данных, поддерживающих управляемые клиентами DEK, например, поисковые индексы, можно также менять DEK. При ротации корневого ключа новый корневой ключ становится активным корневым ключом. Архивные корневые ключи продолжают обезопасить существующие DEK. При ротации DEK он закрепляется активным корневым ключом.
- Введите строку «Управление ключами» в поле «Быстрый поиск» меню «Настройка» и выберите пункт «Управление ключами».
- В запасе корневых ключей выберите вкладку типа корневого ключа. Нажмите «Создать корневой ключ», а потом выполните рекомендации по созданию нового корневого ключа.Новый корневой ключ становится активным корневым ключом и используется для защиты новых DEK. Архивные корневые ключи продолжают обезопасить старые DEK, созданные при активности этих корневых ключей.
- В таблице управления ключами выберите вкладку типа ключа. Если этот тип ключа поддерживает DEK, отображается параметр ротации DEK. Нажмите «Создать DEK».Новый DEK становится активным DEK. Он защищен активным корневым ключом и шифрует новые данные с этого времени. Архивные DEK продолжают расшифровывать зашифрованные данные. Архивные DEK защищены корневым ключом, активным при создании DEK.
Ротация секретов клиентов
Как и в случае с другим материалом ключа, измените секреты клиента Shield Platform Encryption, чтобы помочь вам соответствовать требованиям безопасности и соответствия.
Функция формирования ключа использует основной секрет (семя KDF, ранее основной секрет), который сменяется каждым основным выпуском Salesforce. Ротация основного секрета не влияет на ключи шифрования или зашифрованные данные, пока вы не произведете ротацию секрета клиента.
- Введите строку «Шифрование платформы» в поле «Быстрый поиск» меню «Настройка» и выберите пункт «Управление ключами».
- В таблице управления ключами выберите тип ключа.
- Проверьте статус секретов клиента типа данных.
-
Нажмите «Создать секрет клиента» или «Принести собственный ключ». Если вы используете собственный секрет клиента, загрузите зашифрованный секрет клиента и хэш секрета клиента.
Примечание
Разрешается использовать не более 50 активных и архивных секретов клиента каждого типа. Например, у вас может быть 1 активный и 49 архивных секретов клиента «Поля и файлы (вероятностные)» и столько же секретов клиента Analytics. Это ограничение включает материал Salesforce и материал ключа, предоставленный пользователем. Секреты клиента базы данных не входят в это ограничение.
Если вы нарушите это ограничение, удалите существующий ключ, прежде чем активировать, архивировать повторно или создавать выноску на другой. Прежде чем уничтожить ключ, синхронизируйте данные, которые он шифрует, с активным ключом.
- При создании нового секрета клиента «Поля (детерминистское)» открывается окно. Прочитайте сведения в окне и установите флажки для признания требований и рисков синхронизации данных. Потом нажмите «Создать секрет клиента».
- Если вы хотите повторно зашифровать значения полей с помощью материала активного ключа, синхронизируйте новые и существующие зашифрованные данные под последними и ключами. Вы можете синхронизировать данные на странице статистики шифрования и синхронизации данных в настройках.
