Salesforce Trust

보안 최신 상태 유지

Salesforce는 고객 보안의 효과적 파트너 업체로서 소프트웨어 표준 설정을 책임지고 있습니다.

 

보안 모범 사례

Salesforce는 고객이 서비스에 더욱 안전하게 액세스할 수 있도록 노력하고 있습니다. 위협 환경이 진화함에 따라, 고객이 Salesforce 조직에 대한 무단 액세스를 방지하기 위한 조치를 취하는 것이 좋습니다.

회사 데이터를 보호하는 동시에, Salesforce 사용자가 최대한 안전한 환경을 이용할 수 있도록 Salesforce 관리자가 다음 단계를 수행하는 것이 좋습니다. 다음은 Salesforce에서 사용할 수 있는 보안 기능으로, 최종 사용자 확인 또는 인증의 추가적인 계층을 제공합니다.

2단계 인증

2단계 인증을 사용하려면 로그인을 시도할 때 항상 로그인 자격 증명과 2차 인증 요소가 모두 있어야 합니다. Salesforce Authenticator 또는 보안 공급자가 제공하는 유사 솔루션을 사용하여 이를 수행할 수 있습니다. 로그인을 시도할 때 두 군데 소스로부터 받은 유효한 자격 증명이 없는 경우 Salesforce에 액세스할 수 없습니다. 도움말 및 교육에서 이 기능을 구현하는 방법을 알아보십시오.

로그인 IP 범위

로그인 IP 범위 사용자가 지정된 IP 주소(보통 회사 네트워크 또는 VPN)에서 Salesforce에 로그인하도록 요구하는 방식으로 무단 액세스를 제한합니다. 로그인 IP 범위를 사용하면 관리자가 허가된 IP 주소 범위를 정의하여 Salesforce에 대한 액세스를 제어할 수 있습니다. 지정된 IP 주소를 벗어난 주소에서 Salesforce에 로그인하려고 시도하는 경우 액세스가 허용되지 않습니다. Professional, Group 또는 Personal Edition을 사용하는 경우 보안 관리 > 세션 설정에서 로그인 IP 범위를 구성할 수 있습니다. Enterprise, Unlimited, Performance 또는 Developer Edition을 사용하는 경우에는 사용자 관리 > 프로필에서 로그인 IP 범위를 구성할 수 있습니다. 이 기능을 구현하는 방법을 알아봅니다.

TLS 1.1 이상

2017년 3월 4일부터 보안 환경을 강화하고 PCI 준수를 지속하기 위해 Salesforce에서 보안 조직 연결에 최신 프로토콜인 TLS 1.1 이상을 사용해야 합니다. TLS 1.0을 사용하는 조직은 API 통합에 대한 액세스, 커뮤니티 및 사이트에 연결, 파트너 앱 교환 및 사용자 브라우저 액세스를 계속하려면 업그레이드해야 합니다.

연결 시 TLS 1.1을 지원하는지 확인하기 위해 사용자 및 통합이 Salesforce에 연결되는 방식을 살펴봅니다. 계속 TLS 1.0을 사용하는 사용자 또는 통합을 식별하기 위해 관리자가 "TLS 프로토콜" 및 "TLS 암호 그룹" 필드를 로그인 내역 보고서에 추가할 수 있습니다.

성공적으로 전환하려면 비활성화되기 전에 조치를 취해야 합니다. 이 변화에 대비하는 방법에 대한 모범 사례를 보려면 TLS 1.0 비활성화 준비 점검 목록(PDF)를 다운로드합니다.

자세한 내용은 Salesforce의 TLS 1.0 비활성화를 검토하고 Official: Salesforce Infrastructure Success Community Group에 질문을 게시하십시오. 보안 연결: TLS 1.0 비활성화가 조직에 미치는 영향(웨비나)을 시청하여 비활성 상태에 대한 전문가의 의견을 들어볼 수 있습니다.

추가 문의 사항이 있는 경우 도움말 및 교육 포털을 통해 지원 부서에서 사례를 개시하십시오.

피싱에 대한 사용자 교육

Salesforce는 모든 Salesforce 사용자를 대상으로 피싱 교육을 적극 권장합니다. 대부분의 사이버 공격에서 맬웨어(악성 소프트웨어)를 이용해 암호 또는 데이터를 도용하거나 전체 컴퓨터/네트워크를 중단하도록 설계된 악성 코드로 컴퓨터를 감염시킵니다.

Salesforce 사용자에게 수행할 수 있는 몇 가지 간단한 권장 사항이 있습니다.

피싱에 속지 않고 의심스러운 이메일에서 링크를 클릭하거나 첨부 파일을 열지 않도록 사용자를 교육합니다. 가장 효율적인 사이버 공격 기법 중 하나는 맬웨어를 설치하는 링크를 클릭하거나 첨부 파일을 열도록 상대를 속이는 것입니다. 이는 이메일을 열도록 유인하므로 피싱 이메일이라고 합니다. 피싱 이메일은 흥미롭거나, 유용하거나, 실제 회사에서 보낸 정식 메시지처럼 보일 수 있습니다(소포 배달, 급여 명세서, IRS, 소셜 네트워킹 등).

사용자에게 알 수 없는 소스에서 발송된 이메일을 열지 않도록 지시합니다. 해커는 사용자의 컴퓨터를 감염시킬 수 있도록 링크를 클릭하기를 원합니다. 마찬가지로, 사용자에게 알 수 없는 소스에서 수신된 이메일을 소스 및 타당성 여부를 근거로 평가해야 한다는 점을 알려줍니다. 보낸 사람의 주소를 항상 확인해야 하며, URL에 대한 링크 위로 커서를 이동하면 해당 주소를 확인할 수 있습니다. 예를 들어, 링크가 Salesforce에서 발송된 경우 링크 위로 커서를 이동하면 ".salesforce.com"으로 끝나는 URL이 표시됩니다.

Salesforce 이메일이 올바른지 확실하지 않은 경우에는 security@salesforce.com으로 해당 이메일을 전달하십시오. 아래의 최근 피싱 예를 참조하십시오.

내 도메인

내 도메인을 사용하면 고객 도메인을 Salesforce 조직 URL에 추가할 수 있습니다. 사용자 정의 도메인이 있으면 브랜드를 강조하고 조직의 보안을 강화할 수 있습니다. 또한 이를 통해 코드 및 통합(e.g. na1.salesforce.com)에 인스턴스 이름을 지정하지 않는 모범 사례를 따를 수 있습니다. 이 모범 사례를 따르면 향후 유지 보수 시 사용자와 최종 사용자에게 더욱 원활한 환경이 제공됩니다.

내 도메인을 사용하여 Salesforce 도메인에 속하는 사용자 정의 도메인을 정의합니다. 사용자 정의 도메인은 실제로 주 도메인의 하위 도메인입니다. Universal Containers를 예로 들면, 내 도메인(예: https://universal-containers.my.salesforce.com)에서 하위 도메인은 "universal-containers"가 됩니다.

사용자 정의 도메인 이름을 통해 여러 가지 주요 방법으로 조직에 대한 로그인과 인증을 더욱 쉽게 관리할 수 있으며, 다음을 수행할 수 있습니다.

  • 새 도메인 이름을 사용하지 않는 페이지 요청을 차단 또는 리디렉션
  • 사용자 정의 로그인 정책을 설정하여 사용자가 인증되는 방법 판별
  • 동시에 여러 Salesforce 조직에서 작업
  • 사용자가 로그인 페이지에서 Google 및 Facebook과 같은 소셜 계정을 이용해 로그인할 수 있도록 허용
  • 사용자가 한 번 로그인하여 외부 서비스에 액세스할 수 있도록 허용
  • 고유한 도메인 URL을 사용해 비즈니스 ID 강조 표시
  • 로그인 화면을 브랜드화하고 오른쪽 프레임 콘텐츠 사용자 정의

내 도메인 및 이를 조직에서 구현하는 방법에 대해 자세히 알아보십시오.

암호 정책

강력한 암호 보안은 Salesforce 계정 보호에 있어 중요한 첫 번째 단계입니다.

Salesforce는 다음과 같은 모범 사례를 권장합니다.

  1. 암호 만료 - Salesforce는 사용자가 암호를 재설정할 수 있는 기간을 90일 미만으로 권장합니다.
  2. 암호 길이 - Salesforce는 최소 암호 길이를 8~10자로 제안합니다.
  3. 암호 복잡도 - 사용자에게 Salesforce 암호에 영문자와 숫자를 혼합하여 포함하도록 요구합니다.
    또한 여러 계정에서 암호를 재사용하지 않도록 알리거나 계정이 둘 이상 손상될 위험에 대해 알려줍니다. 사용자가 온라인이나 대면하여 다른 사용자와 암호(Salesforce 암호 포함)를 공유하면 안 된다는 점을 이해해야 합니다.

세션 시간 초과 임계값 줄이기

사용자가 컴퓨터를 사용하지 않는 상태로 두거나 로그오프하지 않는 경우가 있습니다. 일정 기간 동안 세션 활동이 없으면 세션을 자동으로 닫아 응용 프로그램을 무단 액세스로부터 보호할 수 있습니다. 기본 제한 시간은 2시간이며, 이 값을 30분에서 8시간 사이로 설정할 수 있습니다. 세션 시간 제한을 변경하려면 설정>보안 관리>세션 설정을 클릭합니다.

피싱 예제

피싱 메일은 사기성 이메일을 이용해 사용자가 기밀 정보를 유출하도록 합니다. 이러한 이메일은 일반적으로 인증된 기관에서 발송한 것처럼 보이고 해당 기관의 사이트 내용이 표시되는 링크가 포함되어 있을 수 있지만, 실제로는 정보를 수집하도록 설계된 가짜 사이트입니다.

의심스러운 이메일을 security@salesforce.com에 전달하여 보고하십시오.

이러한 사기 행위가 더욱 정교해짐에 따라, 이메일이 진짜인지 또는 가짜인지 파악하기 어려울 수 있습니다. 속임수를 피하는 가장 좋은 방법은 원하는 내용을 파악하고 있는 것입니다. 최근 스캠에 대한 예를 확인하십시오.

의심스러운 이메일 보고