Salesforce Trust

掌握最新安全性狀況

身為保障客戶安全強而有力的合作夥伴,Salesforce 致力於制定軟體即服務標準。

 

安全性最佳實作

Salesforce 致力於幫助客戶更安全地存取我們的服務。由於安全威脅日新月異,我們強烈建議客戶採取行動來協助防止其 Salesforce 環境遭到未經授權存取。

我們強烈建議 Salesforce 管理員考慮採取下列步驟,盡可能保障 Salesforce 使用者的體驗,同時保護公司資料。下列 Salesforce 的安全功能可提供額外的使用者驗證防護:

雙因素驗證

雙因素驗證要求所有嘗試登入的使用者都需要有登入認證與第二個驗證因素。這可透過使用 Salesforce Authenticator 或安全供應商的類似解決方案達成。任何嘗試登入的使用者若沒有兩種來源的有效認證,將不授與其存取 Salesforce 的權限。在說明和訓練中瞭解如何實作此功能。

登入 IP 範圍

登入 IP 範圍要求使用者從指定的 IP 位址 (通常是您的公司網路或 VPN) 登入 Salesforce,以限制未經授權存取。透過使用「登入 IP 範圍」,管理員可定義允許的 IP 位址範圍以控制 Salesforce 存取。任何嘗試從非指定 IP 位址登入 Salesforce 的使用者,將不授與其存取權限。如果您使用的是 Professional、Group 或 Personal 版,您可以在「安全性控制」>「工作階段設定」下設定「登入 IP 範圍」。如果您使用的是 Enterprise、Unlimited、Performance 或 Developer 版,您可以在「管理使用者」>「設定檔」下設定「登入 IP 範圍」。瞭解如何實作此功能。

TLS 1.1 或更高版本

自 2017 年 3 月 4 日起,Salesforce 將要求安全組織連線使用最新的通訊協定 TLS 1.1 或更高版本,藉此提供更安全的環境並持續符合 PCI 規範。使用 TLS 1.0 的組織必須升級,才能繼續存取 API 整合項目、連線至社群和網站、交換合作夥伴應用程式,以及存取使用者瀏覽器。

請瞭解您的使用者和整合項目如何連線至 Salesforce,以確保您的連線已準備好支援 TLS 1.1。若要找出仍使用 TLS 1.0 的使用者或整合項目,管理員可以將「TLS 通訊協定」與「TLS 加密套件」欄位新增至登入歷程記錄報告中。

為了能成功移轉,您應在停用前採取行動。您可以下載 TLS 1.0 停用準備檢查清單 (PDF) 以瞭解如何為此變更做好準備的最佳作法。

如需詳細資訊,請檢閱「Salesforce 將停用 TLS 1.0」,並將您的問題張貼於官方:Salesforce 基礎結構 Success 社群群組。您也可以觀賞「安全連線:TLS 1.0 停用如何影響您的組織」(網路研討會),聆聽專家對於停用的說明。

如果您有其他問題,請透過「說明和訓練入口網頁」向客戶支援開啟個案。

向使用者進行網路釣魚教育

Salesforce 強烈建議對所有的 Salesforce 使用者進行網路釣魚教育。大多數的網路攻擊會使用惡意軟體,讓電腦感染到針對竊取密碼、資料,或中斷整個電腦/網路所設計的惡意程式碼。所幸,您不必是安全性專家,就能協助制止惡意軟體。

您可以對 Salesforce 使用者提供一些簡單的建議:

教導使用者在碰到網路釣魚時不會上當、不會點擊可疑電子郵件中的連結或開啟附件。最有效的網路攻擊手法之一,就是誘使人按一下連結或開啟附件,藉此安裝惡意軟體。這些之所以稱做網路釣魚電子郵件,是因為它們會引誘您開啟電子郵件。網路釣魚電子郵件會提供一些有趣、實用的訊息,或佯裝為來自實際公司的正當訊息 (包裹遞送、薪資、IRS、社交網路等)。

指導使用者絕對不要開啟來源不明的電子郵件。駭客會誘使人按一下駭客的連結,藉此感染使用者的電腦。同樣的,教導使用者若收到來源不明的電子郵件,應根據來源以及是否合理來評估該郵件。如果不合理,則可能是惡意的。應一律驗證寄件者的地址,任何網址連結皆可透過將滑鼠游標停留在上方的方式進行驗證。例如,如果連結表示來自 Salesforce,則將游標停留在連結上方時應顯示網址結尾為「.salesforce.com」。

如果您或任何使用者不確定 Salesforce 電子郵件是否正當,請將電子郵件轉寄到 security@salesforce.com。請參閱下方的近期網路釣魚範例

我的網域

「我的網域」可讓您在您的 Salesforce 組織 URL 中加入自訂網域。自訂網域可讓您凸顯您的品牌,讓您的組織更加安全。此外,也可讓您遵照我們的最佳作法,不在程式碼中指定例項名稱與整合項目 (例如 na1.salesforce.com)。遵循此最佳作法可在未來任何的維護期間,為您及您的使用者提供更流暢的體驗。

使用「我的網域」,您便能定義為您 Salesforce 網域一部分的自訂網域。自訂網域實際上是主網域的子網域。如果我們以 Universal Containers 為例,在此「我的網域」範例中其子網域為「universal-containers」,例如 https://universal-containers.my.salesforce.com。

自訂網域名稱能以數種重要方法幫助您進一步為您的組織管理登入與驗證事項。您可以:

  • 封鎖或重新導向未使用新網域名稱的頁面
  • 設定自訂登入原則以決定驗證使用者的方式
  • 同時使用多個 Salesforce 組織
  • 讓使用者從登入頁面使用社交帳戶登入,例如 Google 與 Facebook
  • 讓使用者登入一次,即可存取外部服務
  • 透過您獨特的網域 URL 來凸顯您的企業身分
  • 在您的登入畫面上加上品牌,自訂右框架內容

深入瞭解「我的網域」及如何針對您的組織實作。

密碼原則

對保護您的 Salesforce 帳戶而言,強大的密碼安全性是重要的第一步。

Salesforce 建議採用以下最佳作法:

  1. 密碼到期 – Salesforce 建議在 90 天內強制使用者重設其密碼
  2. 密碼長度 – Salesforce 建議密碼長度至少需 8-10 個字元
  3. 密碼複雜性 – 要求使用者在其 Salesforce 密碼中混合使用字母與數字字元。
    此外,提醒使用者切勿讓多個帳戶重複使用同一個密碼,否則會讓多個帳戶有遭到入侵的風險。最後,使用者必須瞭解絕對不能在線上或親自向任何人透露密碼,包括其 Salesforce 密碼。

降低工作階段逾時閾值

使用者有時會讓其電腦無人管理或未登出。您可以讓已有一段時間沒有工作階段活動的工作階段自動關閉,防止您的應用程式遭未經授權存取。預設的逾時時間為 2 小時。您可以將此值設定在 30 分鐘到 8 小時之間。若要變更工作階段逾時值,請按一下「設定」>「安全性控制」>「工作階段設定」。

網路釣魚範例

網路釣魚會使用詐騙電子郵件誘騙使用者透露機密資訊,這類電子郵件通常看起來像來自正當的組織,其中包含像是該組織網站的連結,但實際上是針對擷取資訊設計的假網站。

您可以將可疑的電子郵件轉寄到 security@salesforce.com 進行舉報。

隨著詐騙手法日益高明,讓辨別電子郵件的真偽更加困難,避免上當的最佳方法就是知道要注意的事項。請查看以下的近期詐騙範例:

舉報可疑電子郵件