路由與原則 - Salesforce Edge 網路

控制名稱

Salesforce Edge 網路

建議組態

設定>我的網域>路由與原則>使用 Salesforce Edge 網路 - 透過路由方法選取 - 全域或區域 (視使用個案而定)。

控制概觀

若要改善全域連線和安全性,請在「我的網域」設定中設定「透過 Salesforce Edge 網路路由我的網域」設定,以啟用 Salesforce Edge 網路。此控制項可確保使用者要求以智慧方式路由至最接近的 Salesforce 可用性點,透過邊緣 TLS 終止和靜態內容快取來減少延遲,同時透過使用內建的 Web 應用程式防火牆 (WAF) 管理分散式拒絕服務 (DDoS) 攻擊的信任 Salesforce 基礎結構安全性。

未設定安全性風險

若未啟用 Salesforce Edge 網路,所有流量都必須前往集中化資料中心進行 TLS 終止和處理,進而大幅增加延遲,並增加全域使用者的工作階段逾時或連線失敗的風險。此安全手動處理的延遲會讓公司沒有現代、以邊緣為基礎的網路最佳化,這些最佳化功能可在效能驅動的安全性瓶頸上提供增強彈性。

威脅情況

惡意執行動作使用者在長距離資料中心路由造成的延長延遲期間,以中間人或工作階段劫持攻擊作為遠端地理區域使用者的目標。由於連線缺少 Salesforce Edge 網路提供的快速、以邊緣為基礎的 TLS 終止,因此增加的「時間到第一位元組」和延長的握手持續時間會為攻擊者建立更大的機會時段,讓他們可以攔截或中斷敏感的使用者流量。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

風險取決於組織例項中的資料。

風險愈高時機

透過將 IP 範圍用於信任的 IP 範圍或登入 IP 範圍,不會限制對組織的存取。

低風險或無風險的時機

強制執行登入 IP 範圍或信任的 IP 範圍:透過在「設定檔」層級強制執行「登入 IP 範圍」或在「網路設定」中強制執行「信任的 IP 範圍」,以確保存取權來自信任的網路。

業務與整合考量事項

當您啟用 Salesforce Edge 網路時，您大部分的「我的網域 URL」都會透過其進行路由。不過,請注意這些例外情況:

• 包含您 Salesforce 例項名稱的 URL。查看哪些「我的網域 URL」是以「我的網域 URL 格式」包含您的例項名稱。
• 與自訂網域 (例如 https://www.example.com) 相關聯的 URL,其提供您組織的 Salesforce 網站或 Experience Cloud 網站,且不使用 HTTPS 選項:在 Salesforce 伺服器上使用您的 HTTPS 憑證為網域提供服務。
• 網域結尾為 .force.com 的 Salesforce 網站和 Experience Cloud 網站
• 結尾為 .admin.salesforce-hub.com 和 .my.salesforce-hub.com 的 Customer 360 Data Manager 相關聯的 URL
• 與結尾為, .my.salesforcescrt.com 或 .my.salesforce-scrt.com
• 與不受信任內容網域相關聯的 URL
• 與「政府隔離結構 (GIA)」資料中心內的組織相關聯的 URL

建議的補救措施

啟用 Salesforce CDN。

安全性健康檢閱指南

「安全性健康審查」會識別 Salesforce Edge 是否已設定為協助客戶保護其組織的流量,因為其會根據即時網路條件將使用者流量路由至最接近且最佳的 Salesforce 資料中心,進而改善效能和回應性。此外,也會使用內建的 Web 應用程式防火牆 (WAF),來保護 Salesforce 組織免受「分散式拒絕服務」(DDoS) 攻擊。