search
Suporte ao Cliente

Visão Geral de Segurança do Backup e Arquivo

hashtag
Visão geral

O Flosum Backup & Archive foi projetado para oferecer segurança de nível empresarial tanto em ambientes hospedados pela Flosum quanto em ambientes hospedados pelo cliente. Este artigo fornece uma visão geral abrangente de sua arquitetura de segurança, cobrindo criptografia, configuração da infraestrutura, gerenciamento de identidade e práticas seguras de comunicação.

hashtag
Principais recursos de segurança

  • Criptografia forte: Utiliza AES-256 e TLS 1.2+ para garantir proteção robusta dos dados.

  • Gerenciamento seguro de chaves: As chaves de criptografia são protegidas pelo AWS KMS para segurança aprimorada.

  • Acesso controlado: Oferece opções flexíveis de provedor de identidade para controle de acesso personalizado.

  • Compatibilidade: Integra-se perfeitamente com o Salesforce Shield e soluções de VPN, garantindo segurança abrangente.

Esses recursos garantem que o Flosum Backup & Archive forneça soluções seguras e confiáveis de backup e arquivamento para necessidades corporativas.

hashtag
Visão geral da arquitetura do sistema

O Backup & Archive é executado em uma máquina virtual (VM) baseada em nuvem e oferece suporte a dois modelos de implantação:

Hospedado pela Flosum

A Flosum hospeda o aplicativo na infraestrutura AWS.

Hospedado pelo cliente

O cliente é proprietário e gerencia a instância em nuvem e a infraestrutura.

hashtag
Componentes principais

  • Máquina virtual em nuvem:

    • Especificações necessárias: 32 GB de RAM, 4 CPU, AWS r5n.xlarge ou superior

    • SO: Ubuntu x64

  • Registro de domínio e certificado SSL:

    • Necessário para acesso seguro

    • Somente TLS 1.2 ou superior é suportado (não SSL)

    • O tráfego HTTPS é gerenciado usando NGINX e certificados SSL

  • Proxy NGINX:

    • Atua como gateway para o contêiner Docker do Backup & Archive

    • Gerencia HTTPS e roteamento

  • Banco de dados MySQL:

    • Armazena dados de configuração (por exemplo, tokens de acesso, registros de tarefas, informações de conjuntos de dados)

    • NÃO armazena os dados reais de backup do cliente

  • Opções de armazenamento:

    • SSD (gp2/gp3) ou AWS S3 (somente para implantações AWS)

    • Oferece suporte à compactação de arquivos de texto/dados (até 60%)

    • Arquivos binários não são compactados

  • Suporte a VPN:

    • Totalmente compatível

    • O acesso anônimo não é suportado

  • Compatibilidade com Salesforce Shield:

    • Totalmente suportado; o Backup & Archive funciona via API sem conflito

hashtag
Criptografia e segurança de dados

hashtag
Gerenciamento de chaves

  • Chaves de criptografia:

    • Armazenadas com segurança no banco de dados do Backup & Archive e protegidas pelo AWS KMS

    • Chave exclusiva por org conectado

    • As chaves permanecem persistentes entre atualizações de sandbox

  • Ciclo de vida da chave:

    • Não pode ser rotacionada automaticamente

    • Para alterar uma chave, conecte uma nova org do Salesforce

circle-info

hashtag
Migrando chaves de criptografia para hospedagem pelo cliente

  • Gere uma chave base64 de 32 bytes: openssl rand -base64 32

  • Adicione a chave ao docker-compose: LOCAL_ORGANIZATION_ENCRYPTION_KEY=<key>

  • Atualize o aplicativo para concluir a migração

hashtag
Criptografia em trânsito e em repouso

  • Em trânsito:

    • Todos os dados são transmitidos via HTTPS (SSL/TLS)

    • Criptografia bidirecional entre o Salesforce e o Backup & Archive

  • Em repouso:

    • Os dados são criptografados usando AES-256 no armazenamento em nuvem

    • Permanece criptografado mesmo ao ser visualizado/exportado

circle-info

hashtag
Processo de descriptografia dos dados para exibição na GUI

Quando o usuário solicita dados criptografados do armazenamento do Backup & Archive, ocorre o seguinte processo.

  1. A chave de criptografia é recuperada do banco de dados do Backup & Archive

  2. A chave é armazenada em cache na RAM da VM

  3. O arquivo criptografado é descompactado e descriptografado na memória

  4. Os dados são exibidos ao usuário na GUI

  5. O arquivo no armazenamento permanece criptografado

hashtag
Gerenciamento de identidade e acesso

O Backup & Archive oferece suporte a diferentes métodos de login, incluindo vários protocolos de provedor de identidade:

  • Nome de usuário e senha do Flosum

  • Single Sign-On (SSO)

    • OIDC Provedores de identidade (OpenID Connect)

    • SAML Provedores de identidade (Security Assertion Markup Language)

    • JIT Provisionamento Just-In-Time

    • SCIM Suporte a (System for Cross-domain Identity Management)

circle-info

do Flosum Configurações globais é usado para gerenciar com segurança o acesso em ambientes hospedados. Para obter informações detalhadas sobre o gerenciamento de usuários, consulte o seguinte artigo.

Para obter informações sobre a configuração de Provedores de Identidade para SSO, consulte o seguinte artigo.

hashtag
Licenciamento e controle de versão

  • Backup & Archive e Flosum DevOps são produtos separados

    • Cada um tem sua própria licença e número de versão

  • Suporte a múltiplas orgs:

    • Uma única licença pode gerenciar várias orgs do Salesforce

    • Orgs adicionais aumentam o armazenamento necessário e podem gerar custo extra

  • Verifique a versão atual:

    • Consulte a seção de Notas de versão para a versão atual do Backup & Archive: Backup & Archive

AnteriorBackup e Arquivo: Melhores Práticas de ImplementaçãoPróximoAnalisando uma Organização com Insights

Atualizado

Isto foi útil?