Mantenha a segurança de seus dados
Objetivos de aprendizagem
Após concluir esta unidade, você estará apto a:
- Proteger seus dados.
- Gerenciar tokens e credenciais de OAuth.
- Criar interações API SOAP seguras.
Evitar riscos de segurança comuns
Independentemente de como você escolhe integrar seus aplicativos ou sistemas externos com o Marketing Cloud Engagement, existem algumas diretrizes que deve seguir para manter seus dados seguros. As melhores práticas abordadas nesta unidade ajudam a evitar riscos de segurança comuns, como scripts entre sites, exposição de dados confidenciais, injeção de HTML e outros. Vamos dar uma olhada mais atenta nessas possíveis ameaças.
Falsificação de solicitação entre sites
Prática que induz um usuário autenticado a realizar uma ação indesejada em um servidor vulnerável.
Injeção de HTML
Ataque que coloca HTML em um site vulnerável, como um iframe que exibe uma página diferente da desejada.
Script entre sites
Um invasor usa JavaScript em um domínio vulnerável e faz com que um usuário clique em um link malicioso. O navegador executa o JavaScript e, bem, coisas ruins acontecem.
Redirecionamentos arbitrários
Ataque que envolve um usuário clicando no que parece ser uma URL do servidor típica, mas o link o envia a um site malicioso.
Execução remota de código
Ataque que encontra vulnerabilidades nos servidores de destino e executa dados de entrada.
Boas notícias: mesmo que essas ameaças de segurança sejam bastante assustadoras, existem coisas que você pode fazer para proteger seus dados. Vamos analisar algumas das melhores práticas de segurança de dados.
Melhores práticas de segurança de dados
Permissões de limite
Sempre que você cria tokens de acesso OAuth, verifique se eles são válidos apenas para as tarefas necessárias. Afinal de contas, se seu vizinho precisasse de algo da sua garagem, você daria as chaves de toda a casa? Em outras palavras, atribua apenas as permissões necessárias aos tokens e ao pacote instalado.
Proteger seus tokens
Ao armazenar seus valores de token, mantenha apenas o token de atualização em seu servidor externo. Solicite um novo token de acesso quando precisar de um e armazene apenas esse valor na memória. Esses tokens precisam receber a mesma segurança e prioridade das credenciais de conta do Salesforce.
Usar TLS atualizado
Verifique se seus servidores Web externos usam uma configuração TLS atualizada e aplicam TLS em suas solicitações às APIs do Marketing Cloud Engagement. Seu token de acesso deve aparecer apenas no cabeçalho de autorização.
Revisar mensagens de erro
É claro que suas mensagens de erro devem ser um pouco mais descritivas do que ERRO: #12345. Mas também não fale tudo na mensagem de erro. Não inclua vestígios de pilha e de depuração em sua mensagem de erro para evitar que os invasores usem essas informações contra você.
Criar sessões seguras
Verifique se suas sessões usam procedimentos seguros para criar, gerenciar e encerrar trabalhos de usuários autorizados. Gire IDs de sessão para fazer com que os invasores não possam salvar esses valores para acesso. Confira se sua integração também verifica os níveis de permissão e a sessão do usuário antes de conceder acesso a dados ou funções restritas. Conceda as funções de acordo com o nível de cada usuário. E use pontos de extremidade específicos do locatário sempre que estiverem disponíveis para fazer com que suas solicitações usem as conexões mais seguras possíveis.
Armazenar informações confidenciais corretamente
Armazene todas as informações confidenciais em seu próprio sistema usando as melhores práticas de armazenamento seguro da sua plataforma. Por que armazenar informações confidenciais, como senhas, números de cartão de crédito e números de segurança social, com segurança em seu próprio sistema? Porque essas informações nunca devem ser armazenadas nos Engajamento servidores do Marketing Cloud Engagement!
Corrigir todos os softwares e hardwares importantes
Evite problemas de execução remota de código corrigindo vulnerabilidades nos serviços que escutam nas portas do servidor Web, atualizando pacotes de software e executando dados de usuário desserializados cautelosamente.
Está se sentindo mais seguro agora? A segurança é uma preocupação contínua e você deve reavaliar regularmente suas necessidades de segurança. No entanto, essas informações serve de base sólida para seus esforços. Muito bem!