Ruting og policyer - Salesforce Edge-nettverk

Navn på kontroll

Salesforce Edge-nettverk

Anbefalt konfigurasjon

Oppsett>Mitt domene>Ruting og policyer>Bruk Salesforce Edge-nettverk – valgt med rutingsmetode – global eller regional (avhengig av eller bruksområdet).

Oversikt over kontroll

For å forbedre global tilkobling og sikkerhet aktiverer du Salesforce Edge-nettverket ved å konfigurere innstillingen Rut Mitt domene gjennom Salesforce Edge-nettverk i Mitt domene-oppsettet. Denne kontrollen sikrer at brukerforespørsler rutes intelligent til nærmeste Salesforce-tilstedeværelsessted, og reduserer latens gjennom TLS-terminering på kantsiden og bufring av statisk innhold, samtidig som den opprettholder sikkerhet for klarert Salesforce-infrastruktur som håndterer DDoS-angrep (Distributed Denial of Service)-angrep ved bruk av innebygd Web Application Firewall (WAF).

Sikkerhetsrisiko hvis ikke konfigurert

Uten Salesforce Edge-nettverk aktivert må all trafikk reise til et sentralisert datasenter for TLS-terminering og behandling, noe som betydelig øker latensen og risikoen for tidsavbrudd eller tilkoblingsfeil for globale brukere. Denne forsinkelsen i sikker håndholdningsbehandling forlater firmaet uten de moderne, kantbaserte nettverksoptimaliseringene som gir forbedret motstand mot ytelsesdrevne sikkerhetsflaskehalser.

Trusselscenarier

En skadelig aktør målretter brukere i eksterne geografiske områder med et mann-i-midten- eller øktkapringsangrep i løpet av de utvidede latensperiodene som skyldes langdistanse-datasenterruting. Fordi tilkoblingen mangler den raske, kantbaserte TLS-termineringen som tilbys av Salesforce Edge-nettverket, skaper den økte "time-to-first-byte"-tiden og den forlengede varigheten av håndtrykket et større vindu med muligheter for angripere til å fange opp eller avbryte sensitiv brukertrafikk.

Beregnet CVSS Score-område

Kritisk (9.0–10.0).

Viktige punkter om risikoinnvirkning

Risikoen er avhengig av dataene i organisasjonsforekomstene.

Høyere risiko når

Tilgang til organisasjonen begrenses ikke ved å bruke IP-områder til klarerte IP-områder eller IP-områder for pålogging.

Lav eller ingen risiko når

Håndheving av IP-områder for pålogging eller klarerte IP-områder: Ved å håndheve IP-områder for pålogging på Profil-nivå eller klarerte IP-områder i nettverksoppsettet for å forsikre deg om at tilgangen kommer fra et klarert nettverk.

Viktige punkter om virksomheten og integrasjonen

Når du aktiverer Salesforce Edge-nettverk, rutes de fleste av URL-adressene til Mitt domene gjennom det. Vær imidlertid oppmerksom på disse unntakene:

• URL-adresser som inneholder Salesforce-forekomstnavnet. Se hvilke URL-adresser for Mitt domene som inneholder forekomstnavnet ditt i URL-adresseformater for Mitt domene.
• URL-adresser som er knyttet til tilpassede domener, som https://www.example.com, som betjener organisasjonens Salesforce-nettsteder eller Experience Cloud-nettsteder og ikke bruker HTTPS-alternativet: Tjen domenet med HTTPS-sertifikatet ditt på Salesforce-servere.
• Salesforce-nettsteder og Experience Cloud-nettsteder med domener som slutter på .force.com
• URL-adresser knyttet til Customer 360 Data Manager som slutter med .admin.salesforce-hub.com og .my.salesforce-hub.com
• URL-adresser knyttet til Live Agent Chat som slutter med .my.salesforcescrt.com eller .my.salesforce-scrt.com
• URL-adresser som er knyttet til innholdsdomener som ikke er klarert
• URL-adresser som er knyttet til organisasjoner i datasentre i Government Isolated Architecture (GIA)

Anbefalt rettelse

Aktiver Salesforce CDN.

Veiledning for vurdering av sikkerhetstilstand

Sikkerhetstilstandsvurdering identifiserer om Salesforce Edge er konfigurert for å hjelpe kunder med å sikre trafikk til sine organisasjoner, fordi den ruter brukertrafikk til det nærmeste og mest optimale Salesforce-datasenteret basert på sanntids nettverksbetingelser, noe som forbedrer ytelsen og responsiviteten. I tillegg beskytter den også Salesforce-organisasjoner mot DDoS-angrep (Distributed Denial of Service) ved å bruke innebygd nettprogrambrannmur (WAF).