您在此处:
路由和策略 - Salesforce Edge 网络
要改善全局连接和安全性,通过在 My Domain 设置中配置“通过 Salesforce Edge 网络路由 My Domain”设置来启用 Salesforce Edge 网络。
控件名称
Salesforce Edge 网络
推荐配置
设置>My Domain>路由和策略>使用 Salesforce Edge 网络 - 使用路由方法选择 - 全局或区域(取决于或用例)。
控制概览
要改善全局连接和安全性,通过在 My Domain 设置中配置“通过 Salesforce Edge 网络路由 My Domain”设置来启用 Salesforce Edge 网络。此控制确保用户请求被智能路由到最近的 Salesforce 存在点,通过边缘侧 TLS 终止和静态内容缓存减少延迟,同时通过使用内置的 Web 应用程序防火墙 (WAF) 维护管理分布式拒绝服务 (DDoS) 攻击的可信 Salesforce 基础设施的安全性。
安全风险(如果未配置)
在未启用 Salesforce Edge 网络的情况下,所有流量必须传输到集中数据中心进行 TLS 终止和处理,这显著增加了全局用户的延迟和会话超时或连接失败的风险。这种安全握手处理的延迟使公司没有基于边缘的现代化网络优化,无法针对性能驱动的安全瓶颈提供增强的弹性。
威胁场景
恶意行为者在远程数据中心路由导致的延长延迟期间,对远程地理区域的用户进行中间人或会话劫持攻击。由于连接缺少 Salesforce Edge 网络提供的基于边缘的快速 TLS 终止,因此增加的“第一个字节时间”和延长的握手持续时间为攻击者拦截或中断敏感的用户流量创造了更大的机会。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
风险取决于组织实例中的数据。
高风险
通过使用 IP 范围到受信 IP 范围或登录 IP 范围,访问组织不受限制。
低风险或无风险
实施登录 IP 范围或受信 IP 范围:通过在简档级别强制执行登录 IP 范围,或在网络设置中强制执行受信 IP 范围,以确保访问来自受信网络。
业务和集成注意事项
当您启用 Salesforce Edge 网络时,您的大多数 My Domain URL 都是通过它路由的。但是,请注意这些例外:
- 包含您的 Salesforce 实例名称的 URL。查看哪些 My Domain URL 以 My Domain URL 格式包含您的实例名称。
- 与自定义域相关联的 URL,例如为贵组织的 Salesforce 站点或 Experience Cloud 站点提供服务且不使用 HTTPS 选项的
https://www.example.com:在 Salesforce 服务器中,利用 HTTPS 证书为域提供服务。 - 域以
.force.com结尾的 Salesforce 站点和 Experience Cloud 站点 - 与 Customer 360 Data Manager 关联的以
.admin.salesforce-hub.com和.my.salesforce-hub.com结尾的 URL - 与 Live Agent 聊天关联的以
.my.salesforcescrt.com或.my.salesforce-scrt.com结尾的 URL - 与不可信内容域相关联的 URL
- 与政府独立架构 (GIA) 数据中心中的组织相关联的 URL
建议的补救措施
启用 Salesforce CDN。
安全健康审查指导
安全运行状况审查确定 Salesforce Edge 是否已配置为帮助客户保护组织的流量,因为它根据实时网络状况将用户流量路由到最近和最佳的 Salesforce 数据中心,从而提高性能和响应能力。此外,它还通过使用内置的 Web 应用程序防火墙 (WAF) 保护 Salesforce 组织免受分布式拒绝服务 (DDoS) 攻击。
