Ejecutar Health Check

Objetivos de aprendizaje

Después de completar esta unidad, podrá:

Explicar de qué modo Health Check puede proteger su organización
Usar las configuraciones de Health Check para mejorar la seguridad de las aplicaciones que se ejecutan en su organización de Salesforce

Seguridad de Salesforce Platform y aplicaciones personalizadas

Cuando desarrolla aplicaciones personalizadas para ejecutarlas en su organización de Salesforce, es importante garantizar que estén protegidas no solo las aplicaciones en sí, sino también la instancia de Salesforce. Dado que la mayoría de las aplicaciones personalizadas son específicas de una empresa, es probable que las aplicaciones que desarrolle sean relevantes para su organización de Salesforce.

Salesforce se esfuerza continuamente por brindar una plataforma segura, y consideramos que la seguridad de las aplicaciones que usted desarrolla es una responsabilidad compartida. En este sentido, dejamos parte del control de seguridad en sus manos, de modo que tenga la flexibilidad de cumplir con los requisitos de negocio de su organización.

Las funciones de seguridad de Salesforce le permiten ofrecer a sus usuarios las herramientas necesarias para cumplir su trabajo de manera segura y eficiente. Este módulo abarca dos métodos importantes para garantizar la seguridad de su organización de Salesforce al desarrollar y ejecutar aplicaciones personalizadas. Comencemos por Health Check.

¿Qué es Health Check?

Health Check es un tablero que permite ver qué tan alineada está la configuración de seguridad de su organización con los ajustes recomendados por Salesforce. Muestra un puntuaje de 0 a 100, donde 100 es la configuración más segura. Desde este tablero de una página, puede ajustar la solidez de los mecanismos de seguridad implementados en su organización y corregir los parámetros de configuración vulnerables con un solo clic. Toda la configuración de seguridad está disponible en una sola página, lo cual permite ver fácil y rápidamente la seguridad general de la organización. Un puntuaje resumido muestra en qué medida su organización está alineada con el estándar, o la base, que recomienda Salesforce.

¿Por qué usar Health Check?

Health Check puede exponer mecanismos de seguridad inactivos o mal configurados en los ajustes de seguridad de su organización. Usted puede usar esa información para mejorar la seguridad de su organización al implementar las aplicaciones personalizadas. Es importante utilizar estas funciones integradas porque, cada vez que desarrolla e implementa una aplicación personalizada, afecta la seguridad general de la organización.

La mayoría de las aplicaciones integradas en Salesforce Platform están implementadas en la organización del propietario. Esto significa que el modo en que se ejecuta el código personalizado depende de cómo se han configurado los parámetros de seguridad en su organización.

Proteger las aplicaciones de Salesforce

Habilitar los permisos de seguridad correctos es fundamental para garantizar que las aplicaciones funcionen de manera segura al implementarlas en Salesforce. Puede crear componentes de Lightning mediante dos modelos de programación: el de componentes web Lightning (LWC) y el modelo original, el de componentes Aura. No obstante, en términos generales, Salesforce ya no está privilegiando el uso de componentes Aura, por lo que recomendamos firmemente usar LWC.

Los LWC son elementos HTML personalizados que se construyen mediante HTML y JavaScript. Los LWC y los componentes Aura pueden coexistir y funcionar conjuntamente en una página. Los administradores y usuarios finales los ven como componentes de Lightning. Los LWC utilizan estándares principales de componentes web y suministran solo lo que es necesario para funcionar bien en los navegadores que admite Salesforce. Al estar construidos con un código que se ejecuta de manera nativa en los navegadores, los LWC son ligeros y ofrecen un desempeño excepcional. La mayor parte del código que programa es JavaScript y HTML estándar.

Dado que los LWC se están convirtiendo en el estándar de desarrollo de aplicaciones web, este módulo abarca las condiciones y configuraciones de seguridad de LWC.

Proteger la configuración de la sesión LWC

Para ejecutar una aplicación con tecnología de Salesforce, a menudo se dispone de todo lo siguiente:

Una organización de Salesforce
Código del lado del navegador en LWC
Código del lado del servidor en Apex

Al habilitar los permisos de seguridad correctos, es posible cambiar el modo en que las aplicaciones funcionan al implementarlas en Salesforce. Para acceder a los permisos de seguridad, vaya a Setup (Configuración) | Security (Seguridad) o vaya a Configuración y use el cuadro de búsqueda para encontrar la configuración exacta que necesite. La mayoría de las opciones de configuración de seguridad son botones de alternancia. Recomendamos habilitar estas opciones de configuración de seguridad:

HttpOnly
User Certification (Certificación de usuario)
Clickjack Protection (Protección contra secuestro de clics)
HTTPS
Session Timeout
Cross-Site Scripting (XSS) Protection (Protección de secuencia de comandos de sitio cruzada [XSS])

Require HttpOnly Attribute

La configuración del atributo HttpOnly cambia el modo en que la aplicación se comunica con el servidor de Salesforce, ya que se incrementa la seguridad de cada cookie que envía la aplicación. Dado que HttpOnly impide que JavaScript lea las cookies, el navegador puede recibir la cookie, pero el script que se ejecuta en el navegador no puede acceder a ella ni modificarla.

HttpOnly es un indicador adicional incluido en el encabezado de respuestas Set-Cookie HTTP. El uso del indicador HttpOnly al generar una cookie permite mitigar el riesgo de que una secuencia de comandos del lado del cliente acceda a la cookie protegida.

Enable User Certificates

Esta configuración permite que la autenticación basada en certificados use certificados digitales X.509 codificados en PEM para autenticar usuarios individuales en su organización.

Enable Clickjack Protection

Puede establecer la protección contra secuestro de clics para un sitio en alguno de estos niveles:

Permitir marcos de cualquier página (sin protección)
Permitir marcos solo del mismo origen (recomendado)
No permitir marcos de cualquier página (máxima protección)

En Salesforce Communities, la protección contra secuestro de clics tiene dos partes. Se recomienda que establezca ambas en el mismo nivel.

Sitio Force.com de Communities (establecido desde la página de detalles del sitio Force.com)
Sitio Site.com de Communities (establecido desde la página de configuración del sitio Site.com)

Require HTTPS

Esta configuración debe activarse en dos ubicaciones.

Active HSTS para sitios y comunidades en la configuración de la sesión.
Active Require Secure Connections (HTTPS) en la comunidad o en la configuración de seguridad del sitio de Salesforce.

Establecer el tiempo de espera de sesión

Si su organización tiene información confidencial y desea aplicar una sólida seguridad de datos, se recomienda establecer un breve periodo de tiempo de espera.

Puede configurar los siguientes valores:

Valor del tiempo de espera
Forzar el cierre de sesión si se agota el tiempo de espera de la sesión
Desactivar las ventanas emergentes de advertencia sobre tiempo de espera

Enable Cross-Site Scripting (XSS) Protection

Active la configuración de protección XSS contra ataques reflejados de secuencias de comandos entre sitios. Si se detecta un ataque reflejado de secuencias de comandos entre sitios, el navegador muestra una página en blanco sin contenido. Si no hay contenido, las secuencias de comandos no pueden usarse para inyectar ataques.

Ahora sabe cómo proteger a su organización con las funciones integradas de LWC. En la próxima unidad, exploraremos de qué modo Shield ayuda a proteger sus aplicaciones.

¿Necesita ayuda?

Descubrir más