Übersicht zur Sicherheit von Backup & Archiv


Überblick

Flosum Backup & Archive wurde entwickelt, um unternehmensgerechte Sicherheit sowohl in von Flosum betriebenen als auch in vom Kunden betriebenen Umgebungen zu bieten. Dieser Artikel gibt einen umfassenden Überblick über die Sicherheitsarchitektur und behandelt Verschlüsselung, Infrastrukturaufbau, Identitätsverwaltung und sichere Kommunikationspraktiken.

Wesentliche Sicherheitsfunktionen

  • Starke Verschlüsselung: Verwendet AES-256 und TLS 1.2+ zur Gewährleistung eines robusten Datenschutzes.

  • Sichere Schlüsselverwaltung: Verschlüsselungsschlüssel werden zu erhöhtem Schutz durch AWS KMS gesichert.

  • Kontrollierter Zugriff: Bietet flexible Identity-Provider-Optionen für maßgeschneiderte Zugriffskontrolle.

  • Kompatibilität: Integriert sich nahtlos mit Salesforce Shield und VPN-Lösungen und sorgt so für umfassende Sicherheit.

Diese Funktionen stellen sicher, dass Flosum Backup & Archive sichere und zuverlässige Backup- und Archivierungslösungen für Unternehmensanforderungen bietet.


Systemarchitektur-Übersicht

Backup & Archive läuft auf einer cloudbasierten virtuellen Maschine (VM) und unterstützt zwei Bereitstellungsmodelle:

Von Flosum gehostet

Flosum betreibt die Anwendung auf AWS-Infrastruktur.

Vom Kunden gehostet

Der Kunde besitzt und verwaltet die Cloud-Instanz und die Infrastruktur.

Kernkomponenten

  • Cloud-virtuelle Maschine:

    • Erforderliche Spezifikationen: 32 GB RAM, 4 CPU, AWS r5n.xlarge oder besser

    • Betriebssystem: Ubuntu x64

  • Domain-Registrierung & SSL-Zertifikat:

    • Erforderlich für sicheren Zugriff

    • Nur TLS 1.2 oder neuer wird unterstützt (kein SSL)

    • HTTPS-Verkehr wird mit NGINX und SSL-Zertifikaten verwaltet

  • NGINX-Proxy:

    • Dient als Gateway zum Backup & Archive Docker-Container

    • Verwaltet HTTPS und Routing

  • MySQL-Datenbank:

    • Speichert Konfigurationsdaten (z. B. Zugriffstoken, Job-Protokolle, Datensatzinformationen)

    • Speichert NICHT die eigentlichen Kundensicherungsdaten

  • Speicheroptionen:

    • SSD (gp2/gp3) oder AWS S3 (nur für AWS-Bereitstellungen)

    • Unterstützt Dateikompression für Text-/Datendateien (bis zu 60%)

    • Binärdateien werden nicht komprimiert

  • VPN-Unterstützung:

    • Voll kompatibel

    • Anonymer Zugriff wird nicht unterstützt

  • Kompatibilität mit Salesforce Shield:

    • Vollständig unterstützt; Backup & Archive arbeitet über API ohne Konflikte


Verschlüsselung & Datensicherheit

Schlüsselverwaltung

  • Verschlüsselungsschlüssel:

    • Sicher gespeichert in der Backup & Archive Datenbank und geschützt durch AWS KMS

    • Einzigartiger Schlüssel pro verbundenem Org

    • Schlüssel bleiben über Sandbox-Refreshes hinweg bestehen

  • Schlüssellebenszyklus:

    • Kann nicht automatisch rotiert werden

    • Um einen Schlüssel zu ändern, verbinden Sie eine neue Salesforce-Org

circle-info

Migrieren von Verschlüsselungsschlüsseln für vom Kunden gehostete Installationen

  • Generieren Sie einen 32-Byte Base64-Schlüssel: openssl rand -base64 32

  • Fügen Sie den Schlüssel zu docker-compose hinzu: LOCAL_ORGANIZATION_ENCRYPTION_KEY=<key>

  • Aktualisieren Sie die App, um die Migration abzuschließen

Verschlüsselung während der Übertragung und im Ruhezustand

  • Während der Übertragung:

    • Alle Daten werden über HTTPS (SSL/TLS)

    • Bidirektionale Verschlüsselung zwischen Salesforce und Backup & Archive

  • Im Ruhezustand:

    • Daten werden verschlüsselt mit AES-256 in Cloud-Speicher

    • Bleiben verschlüsselt, selbst wenn sie angezeigt/exportiert werden

circle-info

Entschlüsselungsprozess von Daten zur Anzeige in der GUI

Wenn der Benutzer verschlüsselte Daten aus dem Backup & Archive-Speicher anfordert, erfolgt der folgende Prozess.

  1. Der Verschlüsselungsschlüssel wird aus der Backup & Archive-Datenbank abgerufen

  2. Der Schlüssel wird im VM-RAM zwischengespeichert

  3. Die verschlüsselte Datei wird im Speicher dekomprimiert und entschlüsselt

  4. Die Daten werden dem Benutzer in der GUI angezeigt

  5. Die Datei im Speicher bleibt verschlüsselt


Identitäts- & Zugriffsverwaltung

Backup & Archive unterstützt mehrere Identity Provider:

  • Benutzername & Passwort

  • OAuth 2.0

  • Single Sign-On (SSO)

circle-info

Flosums Globale Einstellungen App wird verwendet, um den Zugriff in gehosteten Umgebungen sicher zu verwalten.


Lizenzierung & Versionskontrolle

  • Backup & Archive und Flosum DevOps sind separate Produkte

    • Jedes hat seine eigene Lizenz- und Versionsnummer

  • Multi-Org-Unterstützung:

    • Eine einzelne Lizenz kann mehrere Salesforce-Orgs verwalten

    • Zusätzliche Orgs erhöhen den benötigten Speicher und können zusätzliche Kosten verursachen

  • Überprüfen Sie die aktuelle Version:

    • Siehe den Abschnitt Release Notes für die aktuelle Version von Backup & Archive: Backup & Archive

Zuletzt aktualisiert

War das hilfreich?