보안 현황 파악하기

학습 목표

이 유닛을 완료하면 다음을 수행할 수 있습니다.

• Salesforce 환경 내에서 기밀 데이터를 보호하는 관리자의 역할을 설명합니다.
  
• IT 부서와의 효과적인 커뮤니케이션 및 협업 방식을 개발하고 유지합니다.
  
• Salesforce에서 액세스 권한과 가시성을 관리하기 위한 모범 사례를 적용합니다.
  
• 최소 권한 원칙과 안전한 조직 운영에 이 원칙이 중요한 이유를 설명합니다.
  
• Salesforce 리소스를 활용해 계속해서 보안 Knowledge를 확장하고 학습을 이어가세요.
  

보안 모범 사례에 대해 알아보기

Salesforce 관리자는 Salesforce 환경 내의 기밀 데이터를 보호할 책임이 있으므로 보안에 대해 학습해야 합니다. 여기에는 무단 액세스 및 데이터 유출로부터 보호하는 다단계 인증(MFA), IP 제한, 로그인 시간 제한, 권한 집합 등의 보안 조치를 이해하고 구현하는 것이 포함됩니다. 보안 모범 사례를 숙지하고 있으면 사용자가 업무를 수행하는 데 꼭 필요한 최소한의 액세스 권한을 갖도록 하여 플랫폼의 신뢰성과 무결성을 유지하는 데 도움이 됩니다. 또한 보안을 철저히 관리함으로써 팀이 필요한 리소스에 보다 원활하게 액세스할 수 있도록 하여 사용자 생산성을 높이는 데에도 기여하게 됩니다.

IT 부서와의 커뮤니케이션 모범 사례

특히 보안 문제와 관련해서는 IT 부서와의 정기적인 커뮤니케이션이 매우 중요합니다. IT 부서에서는 조직의 규정 준수 기준을 명확히 하고, 사용자 온보딩 및 오프보딩 절차도 정리해 줄 수 있습니다. 또한 Salesforce의 개체 및 필드를 추적하는 데 필수적인 데이터 사전과 같은 문서도 제공할 수 있습니다. 이러한 데이터 사전을 IT 부서와 공유하면 Salesforce 조직이 외부 시스템과 상호 작용할 경우에도 통합 프로세스를 원활하게 진행할 수 있습니다.

통합하면서 Salesforce Sandbox를 외부 Sandbox와 연결해야 하는 경우, Sandbox 프로비저닝에 시간이 걸릴 수 있으므로 사전에 IT 부서와 조율하는 것이 중요합니다. 선제적 커뮤니케이션은 강력한 팀워크를 구축하고 모든 팀이 보안 정책을 준수하도록 합니다. 또한 IT 부서에서는 Sandbox 내 데이터 시딩이나 테스트 스크립트와 같은 프로세스를 단순화하기 위해 자동화된 스크립트를 제공할 수 있습니다.

회사와 조직 내 변화 속도에 따라서는 IT 부서와 매주 회의를 진행하는 것이 다소 지나칠 수 있습니다. 회의의 구체적인 빈도와 형식은 조직의 요구와 IT 부서의 선호 사항에 따라 달라질 수 있습니다. 한 주 동안의 요청 사항과 업데이트를 모아 IT 부서와 공유하는 방식은 회의의 효율성과 생산성을 높이는 데 도움이 됩니다. 보안 요구 사항은 상황에 따라 달라지므로 이러한 모범 사례를 조직의 특성에 맞게 조정하는 것이 중요합니다. IT 부서와의 지속적인 강력한 협업 관계를 구축하면 Salesforce 환경의 보안을 유지하고 통합도 보다 원활하게 진행할 수 있습니다.

액세스 권한 및 가시성 검토

Salesforce의 액세스 권한과 가시성은 조직, 페르소나, 레코드, 필드의 네 가지 계층으로 구성됩니다. 각 계층에는 MFA, 권한 집합 그룹, 필드 수준 보안 등 구성 가능한 다양한 기능이 존재합니다. 이 모든 것을 관리하는 일은 부담스러울 수 있지만, 프로필 수를 줄이고 권한 집합을 우선시하면 보안 구성을 단순화할 수 있습니다.

최소 권한 원칙은 사용자, 기기, 애플리케이션, 시스템이 업무를 수행하는 데 필요한 최소 수준의 액세스 권한만을 가져야 한다는 개념입니다. Salesforce는 프로필에만 의존하는 것보다 사용자 액세스를 더 유연하게 제어할 수 있는 권한 집합 주도 모델로 운영할 것을 권장합니다.

권한 세트는 프로필을 변경하지 않고도 사용자에게 적용할 수 있는 설정 및 권한의 번들로, 특정 직무 및 업무에 따라 액세스 권한을 맞춤 설정할 수 있게 합니다. 이 모범 사례를 구현하려면 먼저 사용자에게 중요한 업무, 직무, 프로세스를 식별하고 이에 맞는 권한 집합을 정의해야 합니다. 프로필에서 고위험 권한을 제거하고, 이러한 권한이 필요한 경우에만 권한 집합을 통해 사용자에게 다시 부여하세요. 이러한 접근 방식은 보안 관리의 효율성을 높이고 과도한 권한 부여로 인한 위험을 줄이는 데 도움이 됩니다.

체계적인 관리 차원에서, Salesforce 액세스 권한의 네 가지 계층을 기준으로 매주 액세스 관련 메모를 정리하세요. 이렇게 하면 필요한 변경 사항에 대비하는 데 도움이 됩니다. 또한 보안 상태 확인 도구를 활용하는 것이 필수적입니다. 이 도구는 Salesforce 인스턴스를 업계 보안 기준과 비교하여 개선이 필요한 영역을 식별하고, 위험 수준별로 구체적인 권장 사항을 제공합니다. 보안 상태 확인에서 강조하는 중요 항목들을 해결하는 일은 안전한 Salesforce 환경을 유지하기 위해 반드시 필요합니다. 주중에 1시간을 투자하여 사용자 관찰에서 얻은 메모를 바탕으로 액세스 수준을 검토하면, 보안 구성이 사용자 요구와 모범 사례에 부합하도록 유지할 수 있습니다.

권한 집합을 우선시하고, IT 부서와 정기적으로 소통하며, 보안 상태 확인과 같은 도구를 활용하면 Salesforce 조직에 견고하고 유연한 보안 프레임워크를 구축할 수 있습니다.

AI와 신기술

Salesforce 관리자에게는 Agentforce와 같은 AI 솔루션을 사용자 정의하고 배포하며, 비즈니스 프로세스와 최종 사용자 경험을 개선할 책임이 있습니다. 보안 측면에서 관리자는 에이전트를 관리하고 책임 있는 AI 활용이 이루어지도록 하는 중요한 역할을 합니다.

보안 관점에서 사용자가 Trust Layer 외부의 LLM으로 Salesforce 데이터를 노출하지 않도록 관리하는 것이 매우 중요합니다. 예를 들어, 사용자가 보고서를 다운로드하거나 내보낸 후 Salesforce Platform이 아닌 외부 AI 클라이언트에 업로드하는 것이 이에 해당합니다. (다음 유닛에서 데이터와 분석에 대해 자세히 알아보겠습니다.)

Agentforce는 Salesforce의 핵심 보안 구성 요소인 Einstein Trust Layer를 기반으로 구축되어 있으며, 민감한 데이터를 보호하기 위해 데이터 마스킹을 사용합니다. 이 마스킹 프로세스는 개인 식별 정보(PII)나 결제 카드 산업(PCI) 데이터를 대규모 언어 모델(LLM)에 전송되는 프롬프트 내에서 자리 표시자 텍스트로 대체하는 방식으로 이루어집니다. 이 마스킹 기술은 LLM이 민감한 정보를 직접 노출하지 않고도 데이터를 처리할 수 있게 하여, 데이터 프라이버시와 규정 준수를 유지할 수 있도록 합니다.

관리자는 Agentforce를 통해 사용자에게 자율 에이전트에 대한 액세스 권한을 부여하여 일반적인 Salesforce 작업을 지원할 수 있습니다. Einstein Copilot 권한은 라이선스와 권한 같은 Salesforce의 표준 액세스 제어를 준수하므로, 사용자 활동의 보안을 보장합니다.

지속적인 학습의 중요성

Salesforce 조직의 보안을 유지하는 데 있어 관리자는 핵심적인 역할을 하며, 지속적인 학습은 변화하는 보안 위협과 모범 사례에 대응하는 데 매우 중요합니다.

보안 영역에서 지속적인 학습이 중요한 이유는 다음과 같습니다.

• 끊임없이 변화하는 보안 위협: 새로운 위협과 취약점이 주기적으로 등장하므로 최신 동향과 공격 경로에 대한 이해가 필요합니다. 해커들은 지속적으로 새로운 기술을 개발하고 있기 때문에 효과적으로 위험을 완화하려면 최신 위협에 대한 학습을 계속해야 합니다. 지속적인 학습은 새로운 위협과 취약성을 예측하고 이에 대응할 수 있도록 합니다.
  
• 지속적으로 진화하는 Salesforce: Salesforce는 연 3회의 업데이트를 통해 새로운 보안 기능과 개선 사항을 제공합니다. 이러한 최신 릴리스가 조직의 보안 태세에 어떤 영향을 미치는지 이해하면 최신 보안 조치를 선제적으로 도입하고 사용자 액세스를 효과적으로 관리할 수 있습니다.
  
• 계속 개선되는 모범 사례: 보안 모범 사례는 고정된 것이 아니며, 작년에 안전하다고 여겨졌던 방식이 현재는 더 이상 유효하지 않을 수 있습니다. 보안 모범 사례 가이드에서 설명하는 것과 같이 Salesforce와 업계 전문가들이 제공하는 최신 권장 사항을 꾸준히 살펴보는 것이 좋습니다. 예를 들어 모든 사용자에게 다단계 인증(MFA)을 구현하는 것은 필수적인 보안 조치가 되었으며, 관리자는 조직에서 이를 설정하고 실행하는 역할을 맡고 있습니다.
  
• 기술 역량 확장: 지속적인 학습은 보안 Knowledge와 기술을 확장하여 Salesforce 조직을 보다 잘 보호할 수 있게 해 줍니다. 새로운 기능과 모범 사례에 대해 학습하면 회사에서 자신의 가치를 높이고, 보안 요구 사항을 지원하며, 사이버 보안 분야에서 새로운 커리어 기회를 모색할 수 있습니다. 예를 들어, 보안 설정을 분석하고 산업 모범 사례에 따라 권장 사항을 제시하는 보안 상태 확인 도구에 대해 배울 수 있습니다.
  

다음은 도움이 되는 학습 리소스입니다.

• Trailhead: Salesforce의 무료 온라인 학습 플랫폼으로, 보안과 관련된 다양한 모듈, 트레일, superbadge를 제공하며, 실습 중심의 경험과 Knowledge를 습득할 수 있게 해줍니다. 예시에는 사용자 액세스 기초 Superbadge 유닛과 환경 보안 트레일이 포함됩니다.
  
• Salesforce 관리자 팟캐스트: 이 팟캐스트에는 보안 전문가들이 자주 등장하여 최신 보안 트렌드와 모범 사례에 대한 인사이트를 제공합니다. 예를 들어, Laura Pelkey와 함께 하는 보안 지원 에피소드는 조직 내에서 보안을 지원하는 데 유익한 조언을 소개합니다.
  
• Salesforce 보안 사이트: Salesforce 온라인 문서는 보안 기능과 설정에 대한 종합적인 가이드를 제공합니다. Salesforce 보안 가이드와 ID 확인 및 싱글사인온(SSO) 같은 특정 보안 측면에 초점을 맞춘 가이드를 참고할 수 있습니다.
  
• Salesforce 관리자 사이트: 이 웹 사이트는 관리자 전용 블로그, 팟캐스트, 동영상, 모범 사례 등 보안 관련 리소스를 엄선하여 제공합니다. 이 중앙 허브는 Salesforce 조직의 보안을 유지하는 데 유용한 정보를 담고 있습니다.
  
• Trust.Salesforce.com: 이 웹 사이트는 Salesforce 시스템의 성능과 보안 상태에 대한 업데이트를 제공하여, 조직에 영향을 줄 수 있는 문제나 사고의 최신 정보를 파악할 수 있게 해 줍니다.
  

지속적인 학습을 통해 보안 책임을 효과적으로 수행하고, 조직의 데이터를 보호하며, 회사 내에서 높은 가치를 지닌 보안 지원자가 될 수 있습니다.

리소스

• 관리자 웹 사이트: 보안 리소스
• 관리자 팟캐스트: Laura Pelkey와 함께 하는 보안 지원
• Salesforce 도움말: 앞으로 필수로 적용될 다단계 인증(MFA) 안내
• Trailhead: 사용자 인증
• Trailhead: 상태 확인을 통해 보안 구성 점검하기
• Trailhead: 적합한 Salesforce 보안 설정 선택하기
• Salesforce 보안: 신뢰