Executar a Verificação de integridade
Objetivos de aprendizagem
Após concluir esta unidade, você estará apto a:
- Explicar como a Verificação de integridade pode manter sua organização segura.
- Usar as configurações da Verificação de integridade para melhorar a segurança dos aplicativos em execução na organização do Salesforce.
Segurança e aplicativos personalizados da Salesforce Platform
Quando você cria aplicativos personalizados para serem executados na sua organização do Salesforce, é importante garantir que sua instância do Salesforce seja segura, além de proteger os próprios aplicativos. Como a maioria dos aplicativos personalizados é específica para negócios, os aplicativos que você cria provavelmente serão específicos da sua organização do Salesforce.
O Salesforce se esforça constantemente para tornar a plataforma o mais segura possível e vemos a segurança dos aplicativos que você desenvolve como uma responsabilidade compartilhada. No âmbito deste esforço, fornecemos parte desse controle de segurança para que você tenha a flexibilidade para atender aos requisitos comerciais da sua organização.
Os recursos de segurança do Salesforce permitem que você prepare seus usuários para trabalhar de forma segura e eficiente. Este módulo aborda duas formas importantes de garantir a segurança da organização do Salesforce ao desenvolver e executar aplicativos personalizados. Vamos começar com a Verificação de integridade.
O que é a Verificação de integridade?
A Verificação de integridade é um painel que permite ver até que ponto as configurações de segurança em sua organização estão alinhadas com as configurações recomendadas pela Salesforce. Ela exibe uma pontuação de 0 a 100, sendo 100 a definição de configuração mais segura. A partir deste painel de página única, você pode ajustar a robustez dos mecanismos de segurança integrados à sua organização e corrigir configurações vulneráveis com apenas um clique. Todas as configurações de segurança estão disponíveis em uma única página, facilitando a visualização rápida da segurança geral da organização. Uma pontuação resumida mostra quão bem sua organização está alinhada com o padrão recomendado ou de referência da Salesforce.
Por que usar a Verificação de integridade?
A Verificação de integridade pode expor mecanismos de segurança inativos ou configurados incorretamente nas configurações de segurança da sua organização, e você pode usar essas informações para melhorar a segurança da sua organização ao implantar aplicativos personalizados. É importante usar este recurso integrado porque sempre que você cria e implanta um aplicativo personalizado, você afeta a segurança da organização como um todo.
A maioria dos aplicativos criados na Salesforce Platform são implantados na organização do proprietário. Isto significa que a forma como seu código personalizado é executado depende de como você define as configurações de segurança em sua organização.
Proteção de aplicativos Salesforce
Habilitar as permissões de segurança corretas é fundamental para garantir que seus aplicativos funcionem com segurança quando implantados no Salesforce. Você pode criar componentes do Lightning usando dois modelos de programação: Componentes Web do Lightning (LWC) e o modelo original, componentes do Aura. No entanto, de forma geral, o Salesforce tem deixado de usar componentes do Aura e, em vez disso, incentivamos fortemente o uso de LWC.
Os componentes Web do Lightning (LWC) são elementos HTML personalizados criados usando HTML e JavaScript. O LWC e os componentes do Aura podem coexistir e operar em conjunto em uma página. Para administradores e usuários finais, ambos aparecem como componentes do Lightning. O LWC usa os principais padrões de componentes Web e fornece apenas o que é necessário para um bom desempenho em navegadores compatíveis com o Salesforce. Por ter como base o código executado nativamente nos navegadores, o LWC é leve e oferece desempenho excepcional. A maior parte do código usado é JavaScript e HTML padrão.
Proteja suas configurações de sessão do LWC
Para executar um aplicativo do Salesforce, você geralmente tem todos os elementos a seguir:
- Uma organização do Salesforce
- Código do lado do navegador no LWC
- Código do lado do servidor no Apex
Ao habilitar as permissões de segurança corretas, você pode alterar a forma como seus aplicativos operam quando implantados no Salesforce. Para acessar as permissões de segurança, vá para Setup (Configuração) | Security or Setup (Segurança ou Configuração) e use a caixa de pesquisa para encontrar a configuração exata que você está procurando. A maioria das configurações de segurança são simples botões ligar/desligar. Recomendamos ativar estas configurações de segurança:
- HttpOnly
- Certificado do usuário
- Proteção clickjack
- HTTPS
- Tempo limite da sessão
- Proteção de scripts entre sites (XSS)
Exigir o atributo HttpOnly
A definição do atributo HttpOnly muda a forma como um aplicativo se comunica com o servidor do Salesforce, aumentando a segurança de cada cookie que o aplicativo enviar. Como HttpOnly impede que os cookies sejam lidos por JavaScript, o navegador pode receber o cookie, mas ele não pode ser acessado nem modificado por um script sendo executado no navegador.
HttpOnly é um indicador adicional incluído no cabeçalho de resposta HTTP Set-Cookie. O uso do indicador HttpOnly ao gerar um cookie ajuda a reduzir o risco de um script do lado do cliente acessar o cookie protegido.
Habilitar certificados de usuários
Use esta configuração para permitir que a autenticação baseada em certificado use certificados digitais X.509 codificados por PEM para autenticar usuários individuais em sua organização.
Habilitar a proteção Clickjack
Você pode definir a proteção Clickjack de um site para um desses níveis.
- Permitir enquadramento por qualquer página (sem proteção).
- Permitir enquadramento somente pela mesma origem (recomendado).
- Não permitir enquadramento por nenhuma página (maior proteção).
As comunidades do Salesforce têm duas partes de proteção Clickjack. Recomendamos que você defina as duas com o mesmo nível.
- Site de comunidades Force.com (definido na página de detalhes do site Force.com)
- Site de comunidades Site.com (definido na página de configuração de Site.com)
Exigir HTTPS
Essa configuração deve ser habilitada em dois locais.
- Habilite HSTS para sites e comunidades nas Configurações de sessão.
- Habilite Exigir conexões seguras (HTTPS) nas configurações de segurança da comunidade ou do site do Salesforce.
Definir o tempo limite da sessão
Convém definir um período de tempo limite curto se sua organização tiver informações confidenciais e você quiser reforçar a segurança.
Você pode definir valores, incluindo:
- Valor do tempo limite
- Forçar o logout no tempo limite da sessão
- Desativar o pop-up de aviso de tempo limite
Habilitar a proteção XSS (script entre sites)
Habilite a configuração da proteção XSS para proteger contra ataques de script entre sites refletidos. Se um ataque de script entre sites refletidos for detectado, o navegador mostrará uma página em branco, sem conteúdo. Se não houver conteúdo, os scripts não poderão ser usados para injetar ataques.
Agora você sabe como proteger sua organização com os recursos integrados do LWC. Na próxima unidade, explore como o Shield ajuda você a proteger seus aplicativos.
Recursos
- Trailhead: Noções básicas de segurança
- Artigo do Knowledge: Perguntas frequentes sobre a segurança da plataforma de serviços do Salesforce CRM
- Link externo: Open Web Application Security Project (OWASP) - HttpOnly
- Artigo do Knowledge: Componentes básicos: Componentes do Aura vs. Componentes Web do Lightning
- Ajuda do Salesforce: Criar e editar sites do Salesforce
- Ajuda do Salesforce: Habilitar a proteção Clickjack em Site.com
- Ajuda do Salesforce: Modificar as configurações de segurança da sessão