Ejecutar Health Check
Objetivos de aprendizaje
Después de completar esta unidad, podrá:
- Explicar de qué modo Health Check puede proteger su organización
- Usar las configuraciones de Health Check para mejorar la seguridad de las aplicaciones que se ejecutan en su organización de Salesforce
Seguridad de Salesforce Platform y aplicaciones personalizadas
Cuando desarrolla aplicaciones personalizadas para ejecutarlas en su organización de Salesforce, es importante garantizar que estén protegidas no solo las aplicaciones en sí, sino también la instancia de Salesforce. Dado que la mayoría de las aplicaciones personalizadas son específicas de una empresa, es probable que las aplicaciones que desarrolle sean relevantes para su organización de Salesforce.
Salesforce se esfuerza continuamente por brindar una plataforma segura, y consideramos que la seguridad de las aplicaciones que usted desarrolla es una responsabilidad compartida. En este sentido, dejamos parte del control de seguridad en sus manos, de modo que tenga la flexibilidad de cumplir con los requisitos de negocio de su organización.
Las funciones de seguridad de Salesforce le permiten ofrecer a sus usuarios las herramientas necesarias para cumplir su trabajo de manera segura y eficiente. Este módulo abarca dos métodos importantes para garantizar la seguridad de su organización de Salesforce al desarrollar y ejecutar aplicaciones personalizadas. Comencemos por Health Check.
¿Qué es Health Check?
Health Check es un tablero que permite ver qué tan alineada está la configuración de seguridad de su organización con los ajustes recomendados por Salesforce. Se muestra un puntuaje de 0 a 100, donde 100 es la configuración más segura. Desde este tablero de una página, puede ajustar la solidez de los mecanismos de seguridad implementados en su organización y corregir los parámetros de configuración vulnerables con un solo clic. Toda la configuración de seguridad está disponible en una sola página, lo cual permite ver rápidamente la seguridad general de la organización. Un puntuaje resumido muestra en qué medida su organización se adapta adecuadamente al estándar recomendado por Salesforce.
¿Por qué usar Health Check?
Health Check puede exponer los mecanismos de seguridad inactivos que presenta la configuración de seguridad de su organización. Puede usar esta información para mejorar la seguridad de su organización al implementar aplicaciones personalizadas. Esta función es importante porque, cada vez que desarrolla e implementa una aplicación personalizada, afecta la seguridad general de la organización. La mayoría de las aplicaciones integradas en Salesforce Platform están implementadas en la organización del propietario. Esto significa que el modo en que se ejecute el código personalizado dependerá de cómo se hayan configurado los parámetros de seguridad en su organización.
Proteger las aplicaciones de Salesforce
Habilitar los permisos de seguridad correctos es fundamental para garantizar que las aplicaciones funcionen de manera segura al implementarlas en Salesforce. Puede crear componentes de Lightning mediante dos modelos de programación: el de componentes web Lightning (LWC) y el modelo original, el de componentes Aura. No obstante, en términos generales, Salesforce está privilegiando el uso de LWC por sobre los componentes Aura.
Los LWC son elementos HTML personalizados que se construyen mediante HTML y JavaScript. Los LWC y los componentes Aura pueden coexistir y funcionar conjuntamente en una página. Los administradores y usuarios finales los ven como componentes de Lightning. Los LWC utilizan estándares principales de componentes web y suministran solo lo que es necesario para funcionar bien en los navegadores que admite Salesforce. Al estar construidos con un código que se ejecuta de manera nativa en los navegadores, los LWC son ligeros y ofrecen un desempeño excepcional. La mayor parte del código que programa es JavaScript y HTML estándar.
Dado que los LWC se están convirtiendo en el estándar de desarrollo de aplicaciones web, este módulo abarca las condiciones y configuraciones de seguridad de LWC.
Proteger la configuración de la sesión LWC
Para ejecutar una aplicación con tecnología de Salesforce, a menudo se dispone de lo siguiente:
- Una organización de Salesforce
- Código del lado del navegador en LWC
- Código del lado del servidor en Apex
Al habilitar los permisos de seguridad correctos, es posible cambiar el modo en que las aplicaciones funcionan al implementarlas en Salesforce. Para acceder a los permisos de seguridad, vaya a Configuración | Seguridad o vaya a Configuración y use el cuadro de búsqueda para encontrar la configuración exacta que necesite. La mayoría de las opciones de configuración de seguridad son botones de alternancia. Recomendamos habilitar las siguientes opciones de configuración de seguridad:
Require HttpOnly Attribute
La configuración del atributo HttpOnly cambia el modo en que la aplicación se comunica con el servidor de Salesforce, ya que se incrementa la seguridad de cada cookie que envía la aplicación. Dado que HttpOnly impide que JavaScript lea las cookies, el navegador puede recibir la cookie, pero esta no puede modificarse en el navegador.
HttpOnly es un indicador adicional incluido en el encabezado de respuestas Set-Cookie HTTP. El uso del indicador HttpOnly al generar una cookie permite mitigar el riesgo de que una secuencia de comandos del lado del cliente acceda a la cookie protegida.
Enable User Certificates
Esta configuración permite que la autenticación basada en certificados use certificados digitales X.509 codificados en PEM para autenticar usuarios individuales en su organización.
Enable Clickjack Protection
Puede establecer la protección contra secuestro de clics para un sitio en alguno de estos niveles:
- Permitir marcos de cualquier página (sin protección)
- Permitir marcos solo del mismo origen (recomendado)
- No permitir marcos de cualquier página (máxima protección)
En Salesforce Communities, la protección contra secuestro de clics tiene dos partes. Se recomienda que establezca ambas en el mismo nivel.
- Sitio Force.com de Communities (establecido desde la página de detalles del sitio Force.com)
- Sitio Site.com de Communities (establecido desde la página de configuración del sitio Site.com)
Require HTTPS
Esta configuración debe activarse en dos ubicaciones.
- Active HSTS para sitios y comunidades en la configuración de la sesión.
- Active Require Secure Connections (HTTPS) en la comunidad o en la configuración de seguridad del sitio de Salesforce.
Session Timeout
Si su organización tiene información confidencial y desea aplicar una sólida seguridad de datos, se recomienda establecer un breve periodo de tiempo de espera.
Puede configurar los siguientes valores:
- Valor del tiempo de espera
- Forzar el cierre de sesión si se agota el tiempo de espera de la sesión
- Desactivar las ventanas emergentes de advertencia sobre tiempo de espera
Enable Cross-Site Scripting (XSS) Protection
Active la configuración de protección XSS contra ataques reflejados de secuencias de comandos entre sitios. Si se detecta un ataque reflejado de secuencias de comandos entre sitios, el navegador muestra una página en blanco sin contenido. Si no hay contenido, las secuencias de comandos no pueden usarse para inyectar ataques.
Ahora que vimos cómo proteger a su organización con las funciones integradas de LWC, en la próxima unidad, analizaremos en detalle de qué modo Shield ayuda a proteger sus aplicaciones.
Recursos
- Trailhead: Fundamentos de seguridad
- Artículo de Knowledge: Preguntas frecuentes sobre seguridad en la plataforma de servicios de Salesforce CRM
- Vínculo externo Open Web Application Security Project (OWASP) - HttpOnly
- Artículo de Knowledge: Componentes base: comparación de componentes Aura y componentes web Lightning
- Ayuda de Salesforce: Crear y editar sitios de Salesforce
- Ayuda de Salesforce: Activar la protección contra secuestro de clics en Site.com
- Ayuda de Salesforce: Modificar configuración de seguridad de sesión
