詳細情報:
ルーティングとポリシー - コンテンツ配信ネットワーク
Salesforce Experience Cloud LWR サイトの最適なパフォーマンスと堅牢なセキュリティを確保するには、単一ドメイン証明書を使用して Salesforce コンテンツ配信ネットワーク (CDN) を有効にします。
コントロール名
エクスペリエンスサイト向け Salesforce コンテンツ配信ネットワーク
推奨設定
Experience Cloud サイトで拡張ドメインが有効になっている場合、デフォルトでコンテンツ配信ネットワーク (CDN) を使用します。
[設定]> [ドメイン]> [ドメインの編集]> [Salesforce コンテンツ配信ネットワーク (CDN)] を使用してドメインを提供します。
制御の概要
Salesforce Experience Cloud LWR サイトの最適なパフォーマンスと堅牢なセキュリティを確保するには、単一ドメイン証明書を使用して Salesforce コンテンツ配信ネットワーク (CDN) を有効にします。この制御では、グローバルエッジキャッシュを使用して遅延を最小限に抑えると同時に、統合された Web アプリケーションファイアウォール (WAF) とレート制限をリリースして、SQL インジェクション、クロスサイトスクリプティング、DDoS 攻撃などの悪意のあるトラフィックを自動的に検出してブロックします。
設定されていない場合のセキュリティリスク
Salesforce CDN を有効にしないと、Experience Cloud LWR サイトは、SQL インジェクションやクロスサイトスクリプティングなどの高度なアプリケーション層攻撃や、統合 WAF やレート制限によって軽減される中断を伴う DDoS イベントにさらされることになります。さらに、グローバルエッジキャッシュを使用しないと、遅延とサーバー負荷が大幅に増加し、ピークトラフィック時にパフォーマンスが低下してサイトが使用できなくなるリスクがあります。
脅威のシナリオ
悪意のあるアクターが会社の Experience Cloud LWR サイトに対して分散型サービス拒否 (DDoS) 攻撃を開始します。この攻撃では、Salesforce CDN のレート制限とエッジキャッシュ保護がないため、正当なユーザーにすぐに応答できなくなります。受信要求を絞り込む有効な Web アプリケーションファイアウォール (WAF) がない場合、攻撃者はクロスサイトスクリプティング (XSS) などの一般的な Web の脆弱性を同時に悪用してユーザーセッションを乗っ取ったり、悪意のあるコードを挿入したりして、データの持ち出しや深刻なサービスの中断を引き起こします。
推定 CVSS スコア範囲
重大 (9.0 ~ 10.0)。
リスクの影響に関する考慮事項
エクスペリエンスサイトでホストされるデータの種別と、サイトの対象ユーザーによって異なります。
より高いリスク
LWR エクスペリエンスサイトが、WAF 機能を持たない独自の CDN を使用して設定されていないか、CDN を使用していません。
Low or No Risk When (低リスクまたは無リスクの場合)
WAF 設定を使用して独自の CDN を使用するように LWR エクスペリエンスサイトを設定します。
ビジネスと統合に関する考慮事項
ユーザーロケーションは、CDN を有効にするときの考慮事項の一部であり、CDN 機能で有効化された WAF を介して悪意のあるトラフィックを監視することもできます。
推奨される修復
Salesforce CDN を有効にするか、独自の CDN と制御を使用してサイトへのトラフィックを監視します。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
セキュリティ状態レビューでは、コンテンツ配信ネットワーク (CDN) を使用してページの読み込み時間とサイトのパフォーマンスを最適化できるように CDN が設定されているかどうかが識別されます。Salesforce は CDN プロバイダーと提携し、Experience Cloud サイトのユーザーに公開キャッシュ可能なコンテンツを効率的に配信します。
単一ドメイン証明書で Salesforce CDN を使用するサイトには、Web アプリケーションファイアウォールとレート制限セキュリティ機能が含まれます。これらの機能は、不正なトラフィックを除外することでセキュリティを向上させます。有効なトラフィックに焦点を絞ることで、顧客に対するサイトのパフォーマンスが向上します。
