Loading
Salesforce 조직 보호
목차
필터 기준 (0)추가
필터 선택

          결과 없음
          결과 없음
          몇 가지 검색 팁

          키워드의 맞춤법을 확인하십시오.
          더 일반적인 검색 용어를 사용하십시오.
          필터 수를 줄여 검색 범위를 확장하십시오.

            전체 Salesforce 도움말 검색
            전체 Salesforce 도움말 검색
            보안 연결(HTTPS) 설정 제어

            위치:

            1. Salesforce 도움말
            2. 문서
            3. Salesforce 조직 보호

            보안 연결(HTTPS) 설정 제어

            이 다층형 제어 프레임워크는 모든 요청에 대한 연속 IP 유효성 검사를 적용하고 HTTPOnly 특성을 통해 무단 스크립트 액세스에서 세션 토큰을 보호하여 세션 무결성을 강화합니다.

            제어 이름

            보안 연결(HTTPS) 설정

            권장 구성

            • 사용자로 로그인 후 다시 로그인 활성화
            • HTTPOnly 특성 필요 활성화
            • 모든 요청에 대해 로그인 IP 범위 적용
            • 게시 요청을 사용하여 교차 도메인 세션에 대한 세션 정보 보내기 활성화

            Setup>Session Settings>Force Relogin After Login-As-Use |Require HTTPOnly Attribute |login IP 범위는 모든 요청 |사후 요청을 사용하여 교차 도메인 세션에 대한 세션 정보를 전송합니다.

            제어 개요

            이 다층형 제어 프레임워크는 모든 요청에 대한 연속 IP 유효성 검사를 적용하고 HTTPOnly 특성을 통해 무단 스크립트 액세스에서 세션 토큰을 보호하여 세션 무결성을 강화합니다. 또한 POST 요청을 사용하여 교차 도메인 탐색 중 세션 누출을 방지하고 "다음으로 로그인" 세션 직후 새 로그인을 요구하여 관리 책임을 보장합니다.

            구성되지 않은 경우 보안 위험

            이러한 제어를 활성화하지 않으면 교차 도메인 탐색 중에 크로스 사이트 스크립팅(XSS) 공격 및 URL 누출을 통해 세션이 노출되므로 세션 하이재킹 위험이 크게 증가합니다. 또한 세션 중에 사용자가 신뢰할 수 없는 네트워크로 이동하거나 관리자가 재인증 없이 사용자를 가리킨 후 활성 세션을 유지하는 경우 조직에 무단 액세스 지속이 발생합니다.

            위협 시나리오

            공격자가 크로스 사이트 스크립팅(XSS) 취약성을 활용하여 HTTPOnly 보호가 없는 세션 쿠키를 훔친 다음, 시스템에서 요청할 때마다 사용자의 IP 주소를 다시 확인하지 못하므로 신뢰할 수 없는 네트워크에서 원활하게 액세스할 수 있습니다. 한편, 크로스 도메인 탐색 중에 중요한 세션 ID가 브라우저 로그를 통해 누출되며, 하이재킹된 관리자 계정은 "다음으로 로그인" 세션이 완료된 후 오랫동안 활성 상태로 유지됩니다.

            예상 CVSS 점수 범위

            중요(9.0~10.0)

            위험 영향 고려 사항

            각 프로필에 액세스할 수 있는 사용자 수, 사용자에게 할당된 다양한 프로필, 데이터 또는 개체.

            위험이 높은 경우

            HTTPOnly 특성이 누락된 경우 이러한 설정을 비활성화된 상태로 두는 위험은 강력한 콘텐츠 보안 정책(CSP)이 없으므로 시스템이 쉽게 세션 쿠키를 스크래핑할 수 있는 스크립트에 취약해집니다.

            낮은 위험 또는 비위험

            이러한 특정 세션 보안 설정이 활성화되지 않은 경우 위험을 완화하기 위해 다음 보상 제어 기능을 사용하여 "세부적인 방어" 전략을 구현할 수 있습니다.

            • 필수 다단계 인증(MFA): 세션 ID가 URL(누락된 POST)을 통해 누출되거나 스크립트(누락된 HTTPOnly)를 통해 도난된 경우에도 공격자가 고위험 작업을 수행하거나 액세스를 재설정하려는 경우 두 번째 요소에 대한 의문이 발생합니다.
            • 더 엄격한 세션 제한 시간 제한: "다음으로 로그인" 세션 후 다시 로그인을 강제 적용하지 않는 경우 전역 세션 시간 제한(예: 15분 또는 30분)을 줄이면 비관리 또는 하이재킹 세션의 기회 기간이 유효한 상태로 유지되도록 제한됩니다.
            • 프로필 수준 로그인 IP 범위: "모든 요청에 적용"은 이상적이지만 프로필 수준에서 엄격한 IP 범위를 설정하면 신뢰할 수 있는 네트워크에서만 초기 세션을 설정할 수 있습니다.
            • 강력한 콘텐츠 보안 정책(CSP): 올바르게 구성된 CSP는 먼저 악성 스크립트가 실행되지 않도록 방지할 수 있으므로 쿠키에 HTTPOnly 특성이 없다는 위험을 크게 줄일 수 있습니다.
            • 엄격한 입력 세분화 및 출력 인코딩: 코드 수준(LWC/Aura 구성 요소)에서 교차 사이트 스크립팅(XSS)을 방지하여 공격자가 HTTPOnly 보호가 없는 세션 토큰을 훔치는 데 사용하는 기본 방법을 제거합니다.

            비즈니스 및 통합 고려 사항

            이러한 제어를 구현하면 보안이 크게 강화되지만, 지원 세션 후 자주 다시 로그인하면 IP 주소가 세션 중에 순환되는 경우 모바일 사용자가 중단될 수 있습니다.

            권장 수정

            플랫폼에서 보안 연결 설정을 구현합니다.

            보안 상태 검토 지침

            보안 상태 검토는 세션을 보호하기 위해 조직에 보안 연결 설정이 적용되는지 여부를 검사합니다.

            다음 사항도 참조:

             
            로드 중
            Salesforce Help | Article