Bewährte Vorgehensweisen hinsichtlich Sicherheit

Salesforce empfiehlt nicht, untergeordnete oder SSL/TLS-Zwischenzertifikate zu verankern, da sie zu Verfügbarkeitsproblemen führen können, wenn Zwischenzertifikate während Routinevorgängen umgestellt werden. Möglicherweise gibt es jedoch bestimmte Anwendungsfälle mit Middleware-Integrationen, die das Verankern von Zertifikaten erfordern. Wenn Sie untergeordnete Zertifkate/Zwischenzertifkate verankern, sollen Sie nur Stammzertifikate verankern. Wenn Sie zeitnahe Benachrichtigungen zu anstehenden Zertifikatumstellungen und -verlängerungen erhalten möchten, treten Sie der Trailblazer Community zu Zertifikatsänderungen bei und abonnieren Sie die E-Mail-Aktualisierungen der Gruppe.

IP-Bereiche für die Anmeldung schränken den nicht autorisierten Zugriff ein, da sich Benutzer über bestimmte IP-Adressen – in der Regel Ihr Unternehmensnetzwerk oder VPN – bei Salesforce anmelden müssen. Mit "IP-Bereiche für die Anmeldung" können Administratoren einen Bereich zulässiger IP-Adressen definieren, um den Zugriff auf Salesforce zu steuern. Benutzern, die versuchen, sich außerhalb der bestimmten IP-Adressen anzumelden, wird kein Zugriff erteilt.

• Wenn Sie die Professional, Group oder Personal Edition verwenden, können Sie die IP-Bereiche für die Anmeldung unter "Sicherheitssteuerungen" > "Sitzungseinstellungen" konfigurieren.
• Wenn Sie die Enterprise, Unlimited, Performance oder Developer Edition verwenden, können Sie die IP-Bereiche für die Anmeldung unter "Benutzerverwaltung" > "Profile" konfigurieren.

Im Rahmen Ihrer allgemeinen Sicherheitsstrategie sollten Sie über die Verwendung von Salesforce Shield nachdenken. Salesforce ist zwar mit vielen sofort einsatzfähigen Sicherheitssteuerungen ausgestattet, Shield ergänzt jedoch Ihre Sicherheitsfunktionen durch erweitere Verschlüsselung, Anwendungs- und Datenüberwachung sowie die Automatisierung von Sicherheitsrichtlinien. Mit Shield können Administratoren und Entwickler eine neue Vertrauensebene sowie Transparenz bei geschäftskritischen Anwendungen schaffen.

Mit "Meine Domäne" können Sie dem URL Ihrer Salesforce-Organisation eine benutzerdefinierte Domäne hinzufügen. Durch eine benutzerdefinierte Domäne können Sie Ihre Marke hervorheben und Ihre Organisation sicherer machen. Zudem können Sie dadurch die bewährte Vorgehensweise befolgen, keine Instanznamen in Code und Integrationen anzugeben (z. B. na1.salesforce.com). Wenn Sie diese bewährte Vorgehensweise befolgen, profitieren Sie und Ihre Endbenutzer bei künftigen Wartungen von einer nahtlosen Erfahrung.

Mit "Meine Domäne" können Sie eine benutzerdefinierte Domäne definieren, die Teil der Salesforce-Domäne ist. Bei einer benutzerdefinierten Domäne handelt es sich um eine Unterdomäne einer primären Domäne. Beim Beispiel "Universal Containers" wäre deren Unterdomäne in diesem "Meine Domäne"-Beispiel "universal-containers": https://universal-containers.my.salesforce.com.

Mit einem benutzerdefinierten Domänennamen können Sie die Anmeldung und die Authentifizierung für Ihre Organisation besser auf unterschiedliche Weise verwalten. Sie können:

• Seitenanforderungen, die den neuen Domänennamen nicht verwenden, blockieren oder umleiten
• Eine benutzerdefinierte Anmelderichtlinie festlegen, um zu bestimmen, wie Benutzer authentifiziert werden
• Gleichzeitig in mehreren Salesforce-Organisationen arbeiten
• Benutzern auf der Anmeldeseite das Anmelden mit einem Account in sozialen Netzwerken wie Google und Facebook ermöglichen
• Zulassen, dass Benutzer sich einmal anmelden, um auf externe Services zuzugreifen
• Ihre Geschäftsidentität mit Ihrem eindeutigen Domänen-URL hervorheben
• Ihren Anmeldebildschirm mit Branding versehen und die Inhalte im rechten Frame anpassen

Benutzer lassen ihre Computer manchmal unbeaufsichtigt oder melden sich nicht ab. Sie können Ihre Anwendungen vor nicht autorisiertem Zugriff schützen, indem Sie Sitzungen automatisch schließen, wenn für einen bestimmten Zeitraum keine Sitzungsaktivität vorhanden ist. Die standardmäßige Zeitüberschreitung beträgt 2 Stunden. Sie können einen Wert zwischen 30 Minuten und 8 Stunden festlegen. Zum Ändern der Sitzungszeitüberschreitung klicken Sie auf "Setup" > "Sicherheitssteuerungen" > "Sitzungseinstellungen".

Transport Layer Security oder TLS ist das am häufigsten verwendete Sicherheitsprotokoll für Webbrowser und andere Anwendungen, die den sicheren Austausch von Daten über ein Netzwerk erfordern. Seit Oktober 2019 verlangt Salesforce, dass für alle sicheren Organisationsverbindungen TLS 1.2 oder höher verwendet wird, um für die sicherste Umgebung und die kontinuierliche Einhaltung der Bestimmungen der Zahlungskartenbranche zu sorgen.

Salesforce empfiehlt dringend Phishing-Schulungen für alle Salesforce-Benutzer. Bei den meisten Cyber-Angriffen wird Malware (Schadsoftware) verwendet, um einen Computer mit schädlichem Code zu infizieren und Kennwörter oder Daten zu stehlen oder einen Computer/ein Netzwerk zu beeinträchtigen. Zum Glück müssen Sie kein Sicherheitsexperte sein, um Malware zu stoppen.

Beim Phishing werden Benutzer mit betrügerischen E-Mails dazu verleitet, vertrauliche Informationen preiszugeben. Solche E-Mails erwecken typischerweise den Anschein, als kämen sie von einer seriösen Organisation, und können Links enthalten, die scheinbar zur Website der Organisation führen (z. B. Paketlieferung, Lohnbuchhaltung, Finanzamt, soziale Netzwerke), die Website oder der Anhang sind jedoch gefälscht und dienen dazu, Malware zu installieren und Daten zu erfassen. Diese Betrügereien werden immer raffinierter und es kann schwierig sein, den Unterschied zwischen einer legitimen und einer gefälschten E-Mail zu erkennen. Nachfolgend finden Sie einige Empfehlungen, die Sie Ihren Salesforce -Benutzern erläutern sollten, wenn sie ihre E-Mails überprüfen (auf der Seite "Sicherheitshinweise" finden Sie Beispiele zu aktuellen Betrügereien):

• Überprüfen der Betreffzeile auf unerwartete Nachrichten und unbeholfene Sprache
• Überprüfen der Person und der Organisation (z. B. den Mauszeiger über den Absendernamen und die URLs bewegen, aber nicht darauf klicken)
• Nicht auf verdächtige Anhänge klicken (z. B. seltsame Namen oder Formate)
• Benutzeranmeldeinformationen (z. B. Benutzernamen, Kennwort) nicht weitergeben, sofern Sie nicht sicher sind, ob die E-Mail von einem vertrauenswürdigen Absender stammt
• Überprüfen der Sprache (z. B. Grammatik, Rechtschreibung)
• Skeptisch sein bei dringenden oder sofortigen Nachrichten – insbesondere bei Nachrichten, in denen nach Geld gefragt wird

Wenn Sie oder einer Ihrer Benutzer unsicher sind, ob eine Salesforce-E-Mail legitim ist, leiten Sie eine Kopie der verdächtigen E-Mail als Anhang an security@salesforce.com weiter. Fügen Sie die Wörter "Phish" oder "Malware" in die Betreffzeile ein, um anzugeben, dass es sich bei der E-Mail um eine verdächtige Phishing-E-Mail handelt.

Anweisungen zum Weiterleiten einer E-Mail als Anhang mit Gmail finden Sie im Artikel zum Senden von E-Mails beim Google-Support.

Starke Kennwortsicherheit ist ein wichtiger Schritt beim Schutz Ihrer Salesforce-Accounts und Salesforce empfiehlt die folgenden bewährten Vorgehensweisen: 

• Kennwortablauf: Salesforce empfiehlt einen Zeitraum von maximal 90 Tagen, nach dem Benutzer gezwungen werden, ihre Kennwörter neu festzulegen.
• Kennwortlänge: Salesforce schlägt eine Mindestkennwortlänge von 8 bis 10 Zeichen vor.
• Kennwortkomplexität: Zwingen Sie Benutzer, eine Mischung aus Buchstaben und Zahlen in ihren Salesforce-Kennwörtern zu verwenden.

Erinnern Sie Benutzer daran, Kennwörter niemals bei mehreren Accounts zu verwenden, denn sonst können gleich mehrere Accounts in falsche Hände geraten. Erklären Sie ihnen außerdem, dass sie niemals Kennwörter an andere weitergeben dürfen – weder online noch persönlich. Dies schließt auch ihr Salesforce-Kennwort ein.

Ein Berechtigungssatz ist eine Sammlung von Einstellungen und Berechtigungen, die Benutzern Zugriff auf verschiedene Tools und Funktionen geben. Berechtigungssätze erweitern den Funktionszugriff von Benutzern, ohne ihre Profile zu ändern.

Erstellen Sie Berechtigungssätze, um logischen Benutzergruppen unabhängig von ihrer primären Arbeitsfunktion Zugriff zu erteilen Angenommen, Sie verfügen über mehrere Benutzer, die Leads löschen und übertragen müssen. Sie können einen Berechtigungssatz anhand der Aufgaben erstellen, die von diesen Benutzern ausgeführt werden müssen. Zudem können Sie den Berechtigungssatz in Berechtigungssatzgruppen basierend auf den Funktionen einschließen. Benutzer können zwar nur über ein Profil, aber über mehrere Berechtigungssätze verfügen. 

Prüfprotokolle bieten eine chronologische Aufzeichnung aller Aktivitäten in Ihrem System wie Anmeldungen, Berechtigungsänderungen und das Hinzufügen/Löschen von Datensätzen. Mit ihnen kann eine anomale Verwendung des Systems erkannt werden und sie sind wichtig beim Diagnostizieren potenzieller oder tatsächlicher Sicherheitsprobleme.

Es wird empfohlen, Aktivierungsprotokolle für Ihre Salesforce-Instanz einzurichten und regelmäßige Prüfungen vorzunehmen, um das System auf unerwartete Änderungen oder Nutzungstrends zu überwachen.

Ein Hardware-Sicherheitsmodul ist ein gehärtetes physisches oder virtuelles System, das zum Bereitstellen und Verwalten von kryptografischen Funktionen in Unternehmensumgebungen verwendet wird. HSMs werden in Verbindung mit zentralen Sicherheitsfunktionen, einschließlich Verschlüsselung, Entschlüsselung und Authentifizierung, verwendet.

Es wird empfohlen, HSMs als Vertrauensanker zu verwenden, um Schlüssel zu schützen, die zum Schutz von Daten in Umgebungen mit mehreren Clouds oder lokalen Umgebungen verwendet werden. Sie sollten mit den höchsten Sicherheitsstandards (wie FIPS 140-2 und Common Criteria) zertifiziert sein, von den Unternehmensnetzwerken der Organisation isoliert werden und der Zugriff auf sie sollte nur auf autorisiertes Personal beschränkt sein.