Lightning 웹 보안

제어 이름

Lightning 웹 보안

권장 구성

• Lightning 웹 구성 요소 및 Aura 구성 요소에 Lightning 웹 보안 사용

설정>세션 설정>Lightning 웹 구성 요소 및 Aura 구성 요소에 Lightning 웹 보안 사용

제어 개요

Lightning 웹 보안(LWS) 활성화는 기존 Lightning Locker 아키텍처를 Lightning 구성 요소를 위한 현대적인 가상화 기반 Sandbox로 대체하는 보안 컨트롤입니다. 자체 JavaScript Sandbox 내의 다양한 네임스페이스에서 구성 요소를 격리하고 "유사한 왜곡"을 사용하여 잠재적으로 안전하지 않은 API를 동적으로 수정하여 악성 코드가 다른 구성 요소를 방해하거나 고성능을 유지하면서 무단 데이터에 액세스하지 못하도록 방지합니다.

구성되지 않은 경우 보안 위험

LWS(Lightning Web Security)를 활성화하지 않으면 서로 다른 소스의 구성 요소가 서로의 개인 데이터에 액세스할 수 없도록 강력한 가상화가 부족할 수 있으므로 다중 네임스페이스 데이터 유출 및 DOM 기반 공격의 위험이 증가합니다.

위협 시나리오

사용자가 Lightning 웹 보안의 가상화가 없으면 네임스페이스 경계를 우회하여 글로벌 JavaScript 환경 및 다른 구성 요소의 DOM에 액세스할 수 있는 악성 또는 손상된 타사 Lightning 구성 요소를 무의식적으로 설치합니다. 그러면 악의적인 구성 요소가 동일한 페이지의 합법적인 Salesforce 구성 요소에서 중요한 레코드 데이터를 자동으로 스크래핑하거나 사용자 입력을 캡처하고 정보를 외부 공격자 제어 서버로 추출할 수 있습니다.

예상 CVSS 점수 범위

중요(9.0~10.0)

위험 영향 고려 사항

플랫폼에 배포된 구성 요소를 평가하는 보안 개발 수명 주기가 없으므로 위험이 증가합니다.

위험이 높은 경우

무단 데이터 추출을 차단하고 신뢰할 수 없는 외부 스크립트의 실행을 제한하는 CSP가 부족합니다.

낮은 위험 또는 비위험

Lightning 웹 보안(LWS)이 아직 활성화되어 있지 않은 경우의 위험을 최소화하기 위해 조직은 신뢰할 수 없는 외부 스크립트의 실행을 제한하는 정교한 콘텐츠 보안 정책(CSP)을 엄격하게 적용해야 합니다.

또한 Salesforce Shield 이벤트 모니터링과 결합하여 모든 타사 관리 패키지 및 사용자 정의 구성 요소에 대한 엄격한 보안 검토를 수행하여 비정상적인 데이터 액세스 패턴을 감지하면 잠재적인 교차 네임스페이스 활용으로부터 방어하는 중요한 계층이 됩니다.

비즈니스 및 통합 고려 사항

Lightning 웹 보안(LWS)을 활성화할 때 기본 통합 및 비즈니스 고려 사항은 기존 Aura 및 타사 구성 요소에 대한 포괄적인 감사를 수행하는 것입니다. Lightning Locker 전환하려면 전역 창 개체를 직접 조작하거나 새 가상화 Sandbox와 충돌하는 방식으로 "사용 엄격"을 사용하는 JavaScript를 재단계화해야 할 수 있습니다.

권장 수정

세션 설정에서 Lightning 웹 보안을 활성화합니다.

보안 상태 검토 지침

보안 상태 검토는 세션 보안 설정을 검사하여 Lightning 웹 보안이 설정되어 웹 및 Aura 구성 요소를 보호하는지 확인합니다.