세션 보안 설정 검토

세션 보안 설정에 대해 알아봅니다.

• 세션 시간 제한 설정 제어
  Salesforce 세션 시간 초과 제어는 지정된 비활성 기간 후 사용자 세션을 자동으로 종료하여 무단 액세스를 방지하기 위해 고안된 보안 조치입니다.
• 세션 설정 제어
  세션을 원래 IP 주소로 잠그면 세션이 처음 설정된 특정 IP 주소에서 액세스한 경우에만 사용자의 세션 ID가 유효한 상태로 유지되도록 하여 세션 하이재킹을 방지합니다.
• 보안 연결(HTTPS) 설정 제어
  이 다층형 제어 프레임워크는 모든 요청에 대한 연속 IP 유효성 검사를 적용하고 HTTPOnly 특성을 통해 무단 스크립트 액세스에서 세션 토큰을 보호하여 세션 무결성을 강화합니다.
• 캐싱 설정 제어
  이 구성은 글로벌 콘텐츠 배달 네트워크(CDN) 및 보안 브라우저 캐싱을 사용하여 플랫폼 성능과 사용자 편의성을 최적화하여 정적 Lightning 리소스의 전달을 가속화합니다.
• 콘텐츠 보안 정책 보호 제어
  Internet Explorer를 사용하여 Salesforce Classic 템플릿을 볼 때 사용자가 보안 검사를 우회하지 못하도록 방지하고 권한이 없는 스크립트 및 자원이 플랫폼 내에서 실행되지 않도록 차단하는 엄격한 프레임워크를 적용합니다.
• 콘텐츠 보안 정책(CSP) 지시문 렌더링 제어
  CSP(콘텐츠 보안 정책) 지시문 렌더링을 활성화하면 Salesforce 조직이 Lightning 페이지에 리소스가 로드되는 방법에 대한 최신 보안 표준을 채택할 수 있습니다.
• 교차 사이트 요청 위조(CSRF) 방어 제어
  Salesforce 세션 설정에서 CSRF 방어를 활성화하여 환경을 보호합니다.
• 클릭잭 방어 제어
  Salesforce는 클릭잭 방어 설정을 제공하여 조직을 UI 복구 공격으로부터 보호합니다.
• Lightning Loader API 버전 관리
  최신 Lightning Locker API 버전을 활성화하면 조직의 모든 Lightning 구성 요소가 최신 보안 패치에 따라 관리되는 보안 제어 기능을 사용할 수 있습니다.
• Lightning 웹 보안 제어
  Lightning 웹 보안(LWS) 활성화는 기존 Lightning Locker 아키텍처를 Lightning 구성 요소를 위한 현대적인 가상화 기반 Sandbox로 대체하는 보안 컨트롤입니다.
• 참조 페이지 URL 보호 제어
  Salesforce의 참조 페이지 URL 보호 제어를 사용하면 참조 페이지-정책 HTTP 머리글이 외부 웹 사이트와 공유되는 내부 URL 정보의 양을 규제할 수 있습니다.
• 교차 출처 보안 머리글 제어
  Salesforce 세션 설정에서 COOP(Cross-Origin Opener Policy) 및 COEP(Cross-Origin Embedder Policy)를 활성화합니다.
• 콘텐츠 스니핑 방어 제어
  브라우저에서 실행 가능한 스크립트로 파일을 잘못 해석하지 않도록 Salesforce 관리자는 세션 설정 메뉴에서 "콘텐츠 스니핑 방어 활성화"를 활성화해야 합니다.
• 보안 로그아웃 페이지 제어
  이 제어를 통해 브라우저 탭에서 Salesforce 세션이 만료되면 사용자가 사전 정의된 안전한 URL로 자동 리디렉션됩니다.
• 새 사용자 환영 이메일 설정 제어
  환영 이메일에 대한 Salesforce "링크 만료" 설정은 새 사용자의 활성화 링크가 활성 상태로 유지되는 시간 범위를 정의하는 보안 제어입니다.