Shield Platform Encryption(추가 기능) 암호화 정책 - 수신 거부 키 파생 및 BYOK 활성화

제어 이름

Shield Platform Encryption 정책 - Salesforce 관리 키 - 확률적 테넌트 암호

권장 구성

암호화 설정의 고급 암호화 설정에서 자체 키를 업로드하고 키 파생을 거부합니다. KMS에서 관리되는 자체 키를 구성하고 사용하여 필드, 파일 및 첨부 파일, 이벤트 버스 데이터를 암호화합니다.

설정>암호화 설정>고급 암호화 설정>BYOK가 키 파생을 거부하도록 허용 활성화

설정>키 관리>키 유형> 자체 키 가져오기>Salesforce 키 파생 사용 해제>키 업로드 를 선택합니다.

제어 개요

BYOK 기능을 최종 데이터 암호화 키로 사용하여 중요한 데이터를 암호화합니다.

구성되지 않은 경우 보안 위험

암호화가 활성화되지 않은 경우 권한이 없는 직원이 민감한 PII(개인 식별 정보)를 볼 수 있으며, 노출된 키로 인해 암호화 제어가 효과적이지 않을 수 있습니다. 매년(예: 정기적으로) 키를 순환하면 누출된 키는 특정 데이터에 대한 액세스 권한만 부여합니다. 나머지 데이터는 다른 키 아래에서 안전하게 유지됩니다.

위협 시나리오

암호화 키 관리를 사용하지 않으면 노출된 키를 위협 작업자가 사용하여 암호화된 중요한 데이터에 액세스할 수 있습니다.

예상 CVSS 점수 범위

높음(7.0~8.9)

위험 영향 고려 사항

플랫폼에 저장된 중요한 데이터 및 회사에서 준수해야 하는 규제 요구 사항에 따라 다릅니다.

위험이 높은 경우

암호화가 활성화되지 않고 키가 회전되거나 많은 사용자 및 외부 응용 프로그램에 노출되지 않습니다.

낮은 위험 또는 비위험

다음 중 하나 이상이 구현되면 이 제어가 낮은 위험으로 간주될 수 있습니다.

• Salesforce 생성 키 사용
• MFA를 사용하여 키에 대한 액세스가 제한됨

비즈니스 및 통합 고려 사항

고객은 데이터를 암호화하기 위한 키를 관리하는 비즈니스 근거를 평가해야 합니다.

권장 수정

요구 사항에 따라 Salesforce 관리 키 또는 자체 키 가져오기 등 회사 정책 및 규정 준수 요구 사항에 부합하는 키 암호화 관리를 활성화합니다.

보안 상태 검토 지침

N/A - 현재 보안 상태 검토 도구에서 검사되지 않았습니다.