Überblick über die Backup-&-Archive-Sicherheit

Überblick

Flosum Backup & Archive ist darauf ausgelegt, Sicherheitsstandards auf Unternehmensniveau sowohl in von Flosum gehosteten als auch in kundenseitig gehosteten Umgebungen bereitzustellen. Dieser Artikel bietet einen umfassenden Überblick über die Sicherheitsarchitektur und behandelt Verschlüsselung, Infrastruktur-Setup, Identitätsverwaltung und sichere Kommunikationspraktiken.

Wichtige Sicherheitsfunktionen

Starke Verschlüsselung: Verwendet AES-256 und TLS 1.2+, um einen robusten Datenschutz zu gewährleisten.
Sichere Schlüsselverwaltung: Verschlüsselungsschlüssel werden durch AWS KMS für erhöhte Sicherheit geschützt.
Kontrollierter Zugriff: Bietet flexible Identity-Provider-Optionen für eine maßgeschneiderte Zugriffskontrolle.
Kompatibilität: Integriert sich nahtlos mit Salesforce Shield und VPN-Lösungen und gewährleistet so umfassende Sicherheit.

Diese Funktionen stellen sicher, dass Flosum Backup & Archive sichere und zuverlässige Backup- und Archivierungslösungen für Unternehmensanforderungen bietet.

Überblick über die Systemarchitektur

Backup & Archive läuft auf einer cloudbasierten virtuellen Maschine (VM) und unterstützt zwei Bereitstellungsmodelle:

Von Flosum gehostet

Flosum hostet die Anwendung auf AWS-Infrastruktur.

Vom Kunden gehostet

Der Kunde besitzt und verwaltet die Cloud-Instanz und die Infrastruktur.

Kernkomponenten

Cloud-virtuelle Maschine:
- Erforderliche Spezifikationen: 32 GB RAM, 4 CPU, AWS r5n.xlarge oder besser
- Betriebssystem: Ubuntu x64
Domainregistrierung und SSL-Zertifikat:
- Erforderlich für sicheren Zugriff
- Es wird nur TLS 1.2 oder höher unterstützt (nicht SSL)
- HTTPS-Datenverkehr wird mithilfe von NGINX und SSL-Zertifikaten verwaltet
NGINX-Proxy:
- Dient als Gateway zum Backup-&-Archive-Docker-Container
- Verwaltet HTTPS und Routing
MySQL-Datenbank:
- Speichert Konfigurationsdaten (z. B. Zugriffstoken, Auftragsprotokolle, Datensatzinformationen)
- Speichert NICHT die eigentlichen Backup-Daten des Kunden
Speicheroptionen:
- SSD (gp2/gp3) oder AWS S3 (nur für AWS-Bereitstellungen)
- Unterstützt Dateikomprimierung für Text-/Datendateien (bis zu 60 %)
- Binärdateien werden nicht komprimiert
VPN-Unterstützung:
- Vollständig kompatibel
- Anonymer Zugriff wird nicht unterstützt
Kompatibilität mit Salesforce Shield:
- Vollständig unterstützt; Backup & Archive funktioniert über API ohne Konflikte

Verschlüsselung und Datensicherheit

Schlüsselverwaltung

Verschlüsselungsschlüssel:
- Sicher gespeichert in der Backup-&-Archive- Datenbank und geschützt durch AWS KMS
- Einzigartiger Schlüssel pro verbundener Org
- Schlüssel bleiben über Sandbox-Aktualisierungen hinweg erhalten
Schlüssellebenszyklus:
- Kann nicht automatisch rotiert werden
- Um einen Schlüssel zu ändern, verbinden Sie eine neue Salesforce-Org

Verschlüsselungsschlüssel für Customer-Hosted migrieren

32-Byte-Base64-Schlüssel generieren: openssl rand -base64 32
Schlüssel zu docker-compose hinzufügen: LOCAL_ORGANIZATION_ENCRYPTION_KEY=<key>
Aktualisieren Sie die App, um die Migration abzuschließen

Verschlüsselung bei der Übertragung und im Ruhezustand

Übertragung:
- Alle Daten werden über HTTPS (SSL/TLS)
- Bidirektionale Verschlüsselung zwischen Salesforce und Backup & Archive
Im Ruhezustand:
- Daten werden mit AES-256 in der Cloud-Speicherung verschlüsselt
- Bleibt selbst beim Anzeigen/Exportieren verschlüsselt

Entschlüsselungsprozess der Daten für die GUI-Anzeige

Wenn der Benutzer verschlüsselte Daten aus dem Backup-&-Archive-Speicher anfordert, wird der folgende Prozess ausgeführt.

Der Verschlüsselungsschlüssel wird aus der Backup-&-Archive-Datenbank abgerufen
Der Schlüssel wird im RAM der VM zwischengespeichert
Die verschlüsselte Datei wird im Arbeitsspeicher dekomprimiert und entschlüsselt
Die Daten werden dem Benutzer in der GUI angezeigt
Die Datei im Speicher bleibt verschlüsselt

Identitäts- und Zugriffsverwaltung

Backup & Archive unterstützt verschiedene Anmeldeverfahren, einschließlich mehrerer Identity-Provider-Protokolle:

Flosum-Benutzername und -Passwort
Single Sign-On (SSO)
- OIDC (OpenID Connect) Identity Provider
- SAML (Security Assertion Markup Language) Identity Provider
- JIT (Just-In-Time) Bereitstellung
- SCIM (System for Cross-domain Identity Management) Unterstützung

Flosums Global Settings App wird verwendet, um den Zugriff über gehostete Umgebungen hinweg sicher zu verwalten. Detaillierte Informationen zur Benutzerverwaltung finden Sie im folgenden Artikel.

Overview of Roles, Groups, and Users

Informationen zur Einrichtung von Identity Providern für SSO finden Sie im folgenden Artikel.

Overview of Identity Provider (SSO)

Lizenzierung und Versionskontrolle

Backup & Archive und Flosum DevOps sind separate Produkte
- Jedes verfügt über eine eigene Lizenz und Versionsnummer
Unterstützung mehrerer Orgs:
- Mit einer einzigen Lizenz können mehrere Salesforce-Orgs verwaltet werden
- Zusätzliche Orgs erhöhen den erforderlichen Speicherplatz und können zusätzliche Kosten verursachen
Aktuelle Version prüfen:
- Den Abschnitt „Release Notes“ für die aktuelle Version von Backup & Archive anzeigen: Backup & Archive

VorherigeBackup & Archive: Best Practices für die Implementierung NächsteAnalyse einer Organisation mit Insights

Zuletzt aktualisiert vor 4 Tagen

War das hilfreich?

hashtag Überblick

hashtagWichtige Sicherheitsfunktionen

hashtagÜberblick über die Systemarchitektur

hashtagKernkomponenten

hashtagVerschlüsselung und Datensicherheit

hashtagSchlüsselverwaltung

hashtagVerschlüsselungsschlüssel für Customer-Hosted migrieren

hashtagVerschlüsselung bei der Übertragung und im Ruhezustand

hashtagEntschlüsselungsprozess der Daten für die GUI-Anzeige

hashtagIdentitäts- und Zugriffsverwaltung

hashtagLizenzierung und Versionskontrolle