search
Atención al cliente

Resumen de seguridad de Backup y Archive

hashtag
Descripción general

Flosum Backup & Archive está diseñado para ofrecer seguridad de nivel empresarial tanto en entornos alojados por Flosum como en entornos alojados por el cliente. Este artículo proporciona una descripción general completa de su arquitectura de seguridad, abarcando el cifrado, la configuración de la infraestructura, la gestión de identidades y las prácticas de comunicación segura.

hashtag
Funciones clave de seguridad

  • Cifrado robusto: Utiliza AES-256 y TLS 1.2+ para garantizar una sólida protección de los datos.

  • Gestión segura de claves: Las claves de cifrado están protegidas por AWS KMS para una mayor seguridad.

  • Acceso controlado: Ofrece opciones flexibles de proveedor de identidad para un control de acceso adaptado.

  • Compatibilidad: Se integra sin problemas con Salesforce Shield y soluciones VPN, garantizando una seguridad integral.

Estas funciones garantizan que Flosum Backup & Archive proporcione soluciones seguras y fiables de copia de seguridad y archivado para las necesidades empresariales.

hashtag
Descripción general de la arquitectura del sistema

Backup & Archive se ejecuta en una máquina virtual (VM) basada en la nube y admite dos modelos de implementación:

Alojado por Flosum

Flosum aloja la aplicación en la infraestructura de AWS.

Alojado por el cliente

El cliente posee y administra la instancia y la infraestructura en la nube.

hashtag
Componentes principales

  • Máquina virtual en la nube:

    • Especificaciones requeridas: 32 GB de RAM, 4 CPU, AWS r5n.xlarge o superior

    • SO: Ubuntu x64

  • Registro de dominio y certificado SSL:

    • Requerido para acceso seguro

    • Solo se admite TLS 1.2 o posterior (no SSL)

    • El tráfico HTTPS se gestiona usando NGINX y certificados SSL

  • Proxy NGINX:

    • Actúa como puerta de enlace al contenedor Docker de Backup & Archive

    • Gestiona HTTPS y el enrutamiento

  • Base de datos MySQL:

    • Almacena datos de configuración (por ejemplo, tokens de acceso, registros de trabajos, información del conjunto de datos)

    • NO almacena los datos reales de copia de seguridad del cliente

  • Opciones de almacenamiento:

    • SSD (gp2/gp3) o AWS S3 (solo para implementaciones en AWS)

    • Admite la compresión de archivos de texto/datos (hasta un 60%)

    • Los archivos binarios no se comprimen

  • Compatibilidad con VPN:

    • Totalmente compatible

    • El acceso anónimo no es compatible

  • Compatibilidad con Salesforce Shield:

    • Totalmente compatible; Backup & Archive funciona a través de API sin conflicto

hashtag
Cifrado y seguridad de datos

hashtag
Gestión de claves

  • Claves de cifrado:

    • Almacenadas de forma segura en la base de datos de Backup & Archive y protegidas por AWS KMS

    • Clave única por cada organización conectada

    • Las claves son persistentes entre actualizaciones de sandbox

  • Ciclo de vida de la clave:

    • No se pueden rotar automáticamente

    • Para cambiar una clave, conecte una nueva organización de Salesforce

circle-info

hashtag
Migración de claves de cifrado para alojamiento por el cliente

  • Genere una clave base64 de 32 bytes: openssl rand -base64 32

  • Añada la clave a docker-compose: LOCAL_ORGANIZATION_ENCRYPTION_KEY=<key>

  • Actualice la aplicación para completar la migración

hashtag
Cifrado en tránsito y en reposo

  • En tránsito:

    • Todos los datos se transmiten a través de HTTPS (SSL/TLS)

    • Cifrado bidireccional entre Salesforce y Backup & Archive

  • En reposo:

    • Los datos se cifran utilizando AES-256 en el almacenamiento en la nube

    • Permanece cifrado incluso al visualizarse/exportarse

circle-info

hashtag
Proceso de descifrado de datos para la visualización en la interfaz gráfica

Cuando el usuario solicita datos cifrados del almacenamiento de Backup & Archive, se produce el siguiente proceso.

  1. La clave de cifrado se recupera de la base de datos de Backup & Archive

  2. La clave se almacena en caché en la RAM de la VM

  3. El archivo cifrado se descomprime y descifra en memoria

  4. Los datos se muestran al usuario en la interfaz gráfica

  5. El archivo en el almacenamiento permanece cifrado

hashtag
Gestión de identidad y acceso

Backup & Archive admite diferentes métodos de inicio de sesión, incluidos múltiples protocolos de proveedor de identidad:

  • Nombre de usuario y contraseña de Flosum

  • Inicio de sesión único (SSO)

    • OIDC Proveedores de identidad (OpenID Connect)

    • SAML Proveedores de identidad (Security Assertion Markup Language)

    • JIT (Just-In-Time) Aprovisionamiento

    • SCIM (System for Cross-domain Identity Management) Compatibilidad

circle-info

de Flosum Configuración global se utiliza para gestionar de forma segura el acceso en todos los entornos alojados. Para obtener información detallada sobre la gestión de usuarios, consulte el siguiente artículo.

Para obtener información sobre cómo configurar proveedores de identidad para SSO, consulte el siguiente artículo.

hashtag
Licencias y control de versiones

  • Backup & Archive y Flosum DevOps son productos separados

    • Cada uno tiene su propia licencia y número de versión

  • Compatibilidad con varias organizaciones:

    • Una sola licencia puede gestionar varias organizaciones de Salesforce

    • Las organizaciones adicionales aumentan el almacenamiento requerido y pueden generar costes extra

  • Consulte la versión actual:

    • Consulte la sección Notas de la versión para ver la versión actual de Backup & Archive: Backup & Archive

AnteriorBackup y Archive: mejores prácticas de implementaciónSiguienteAnálisis de una organización con Insights

Última actualización

¿Te fue útil?