Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Wie Varonis Salesforce-Administratoren jeden Tag Stunden spart | Varonis

Geschrieben von Nathan Coppinger | Mar 8, 2023 7:24:00 PM

Salesforce-Administratoren befinden sich in einem ständigen Spannungsfeld: Einerseits müssen sie mit schnellen Geschäftsanforderungen Schritt halten, andererseits müssen sie ihre Salesforce-Prozesse optimieren. Administratoren – die häufig mehrere Salesforce-Organisationen verwalten – sind für die Zuweisung von Benutzerberechtigungen verantwortlich und müssen sicherstellen, dass Salesforce auch nach jedem Softwareupdate weiterhin korrekt konfiguriert bleibt. Man kann durchaus sagen, dass die Arbeit eines Administrators nie erledigt ist. Aber Varonis kann jeden Tag einfacher machen.

Varonis für Salesforce bietet Administratoren die folgenden Möglichkeiten:

Vereinfachung der Berechtigungsverwaltung

  • Zeigen Sie die effektiven Nettoberechtigungen jedes Benutzers an, von den Systemberechtigungen bis hinunter zur Objekt- und Feldebene, und wie er sie jeweils erhalten hat.
  • Vergleichen Sie die Berechtigungen zweier Benutzer in Ihren verschiedenen Salesforce-Organisationen mit einem Mausklick nebeneinander.
  • Vergleichen Sie schnell die Berechtigungen zwischen einzelnen Profilen, Berechtigungssätzen und Berechtigungssatzgruppen.
  • Zeigen Sie problemlos alle Profile, Berechtigungssätze und Berechtigungssatzgruppen an, die eine bestimmte Berechtigung haben, sowie die zugehörigen Benutzer.

Sehen Sie sich unseren Videokurs zur Entwirrung von Profilen und Berechtigungen in Salesforce an

Reduzierung technischer Schulden  

  • Identifizieren Sie automatisch nicht zugewiesene Profile, Berechtigungssätze, Berechtigungssatzgruppen und Rollen automatisch und entfernen Sie sie mithilfe von Varonis aus Salesforce.

Verwaltung mehrerer Salesforce-Organisationen über eine einzige Oberfläche

  • Überwachen und verwalten Sie Benutzer, Berechtigungen und Aktivitäten in Ihren Produktions- und Sandbox-Umgebungen über eine einheitliche Benutzeroberfläche.
  • Schließen Sie Lücken im Offboarding-Prozess, indem Sie veraltete interne Benutzer und ehemalige Subunternehmer in all Ihren Salesforce-Organisationen identifizieren.

Klassifizierung vertraulicher Daten in Datensätzen, Feldern und Dateien

  • Varonis scannt Salesforce, um sensible Daten, die in Datensätzen, Feldern und Anhängen gespeichert sind, präzise zu erkennen und zu klassifizieren.

 

Erfahren Sie, wie Sie die Analyse von Salesforce-Berechtigungen mit Varonis enorm vereinfachen können.

Berechtigungsanalyse in Salesforce

Wenn CRM-Administratoren nur mithilfe der nativen Salesforce-Tools verstehen möchten, was ein Benutzer genau tun kann, müssen sie dafür die Berechtigungen berücksichtigen, die einem Benutzer über sein Profil gewährt wurden, sowie die verschiedenen Berechtigungssätze und Berechtigungssatzgruppen zusammenfügen. Nur so lassen sich die effektiven Berechtigungen ermitteln. 

Die Komplexität steigt dadurch noch weiter, dass Administratoren bestimmte Berechtigungen stummschalten (ausschließen) können, wenn sie einem Benutzer Profile und Berechtigungssätze zuweisen. Dadurch muss man zusätzlich ermitteln, ob solche Ausnahmen festgelegt wurden, als dem Benutzer diese Berechtigungen zugewiesen wurden. Und all das dient nur dazu, dass Administratoren verstehen, auf welche Salesforce-Objekte und -Felder Benutzer zugreifen können. Herauszufinden, welche Datensätze ein Benutzer lesen und bearbeiten kann, ist nochmal eine ganz andere Hausnummer. 

Konfiguration der Systemberechtigungen in Salesforce

Um die Berechtigungen eines Benutzers auf Datensatzebene zu ermitteln, müssen Sie Ihre organisationsweiten Standardeinstellungen überprüfen (also ob jeder auf einen neuen Datensatz zugreifen/ihn bearbeiten kann, oder nur der Ersteller). Außerdem müssen Sie analysieren, wo sich der Benutzer innerhalb der Organisationshierarchie befindet.

Im Prinzip mag das einfach erscheinen, aber Salesforce-Administratoren können durchaus viele Stunden damit verbringen, Benutzerberechtigungen zu analysieren und nachzuverfolgen. 

Wenn man nun die effektiven Berechtigungen eines Benutzers mit denen eines anderen Benutzers vergleichen möchte oder alle Benutzer, denen Berechtigungen mit hohem Risiko zugewiesen wurden, finden möchte, wird alles noch viel schwieriger. Selbst wenn Sie diese Informationen zur Hand haben, ist die Wahrscheinlichkeit groß, dass sich seit der letzten Überprüfung der Berechtigungen etwas geändert hat. Am Ende müssen Sie sowieso noch einmal alles wiederholen, um auf Nummer sicherzugehen. 

Entwirren Sie komplizierte Systemberechtigungen mit Varonis


Varonis vereinfacht die Analyse von Berechtigungen radikal, indem es nicht nur die effektiven Netto-Berechtigungen einer Person anzeigt, sondern auch, wie sie diese erhalten hat – bis hin zur Objekt- und Feldebene.

Anstatt in das Profil jedes Benutzers zu klicken und sich die einzelnen Berechtigungssätze und Berechtigungssatzgruppen genauer anzusehen, können Sie jetzt alle effektiven Berechtigungen von einem Bildschirm aus sehen. Wenn Sie mit dem Mauszeiger über ein Häkchen fahren, sehen Sie, wie der jeweilige Benutzer Zugriff erhalten hat. Sie können sich auch Berechtigungssätze in der Spaltenansicht anzeigen lassen, um dort alles nebeneinander vergleichen zu können.

 

Varonis zeigt eine aggregierte Ansicht der effektiven Berechtigungen an.


In einer Vertriebsorganisation mit häufig wechselnden Regionen und Rollen kann es leicht passieren, dass die Berechtigungen aus dem Ruder laufen. Mit Varonis können Administratoren die Kontrolle über ihre Salesforce-Organisationen zurückgewinnen und eine hygienische und sichere Umgebung gewährleisten, die allen Beteiligten das Leben leichter macht. 

Wenn Administratoren wissen, welche Berechtigungen die einzelnen Profile und Berechtigungssätze gewähren, können sie nicht nur ihre bestehende Umgebung bereinigen, sondern auch die Onboarding- und Offboarding-Prozesse erheblich rationalisieren. 

Mit Varonis können Sie mit Sicherheit korrekte Berechtigungen zuweisen, wenn neue Mitglieder in Ihre Organisation kommen bzw. wenn bestehende Mitglieder neue Rollen innerhalb der Organisation übernehmen. Dadurch müssen Sie nicht mehr jedes Profil, jeden Berechtigungssatz und jede Berechtigungssatzgruppe überprüfen, um beispielsweise Ihrem neuen Vertriebsmitarbeiter nicht zufällig eine umfassende oder riskante Berechtigungskombination zuzuweisen, etwa „Alle anzeigen und alle exportieren“. 

Berechtigungen auf Datensatz-, Feld-, Objekt- und Codeebene

Zusätzlich zu den Berechtigungen auf Systemebene erweitert Varonis die Transparenz auf Datensatz-, Feld-, Objekt- und Codeebene. Wir vereinfachen den Zugriff auf ein einfaches CRUDS-Modell (create, read, update, delete, share, zu Dt. erstellen, lesen, aktualisieren, löschen, freigeben) und zeigen Ihnen genau, wie viel Zugriff jemand auf jedes Objekt und Feld in Ihrer Umgebung hat und wie er diesen Zugriff erhalten hat.

Innerhalb eines bestimmten Datensatzes erhalten Sie eine Detailansicht für jedes Feld, in der Sie schnell die vereinfachte CRUDS-Ansicht des Zugriffs sehen und nachvollziehen können, auf welchen Berechtigungssätzen dieser Zugriff beruht.

 

Varonis analysiert Berechtigungen bis auf Datensatz-, Feld-, Objekt- und Codeebene.

Einheitliches Tracking von Berechtigungen

Sie können nicht nur sehen, welche Berechtigungen ein einzelner Benutzer hat, sondern auch alle Benutzer mit einer bestimmten Berechtigung – dadurch lassen sich wichtige Fragen beantworten, beispielsweise: „Wer hat Zugriff auf den Export?“ 

Die bidirektionale Ansicht der Berechtigungen von Varonis in Salesforce ermöglicht es Ihnen, auf eine einzelne Systemberechtigung zu klicken, z. B. „Berichte exportieren“, und die Profile, Berechtigungssätze und Berechtigungssatzgruppen, die diese Berechtigung enthalten, einfach zu überprüfen. So können Sie leicht sehen, welchen Benutzern diese Berechtigung zugewiesen wurde. Indem Sie einzelne Berechtigungen verfolgen, können Sie besser nachvollziehen, welche Benutzer über umfassende oder riskante Kombinationen von Berechtigungen verfügen.

 

Indem Sie auf eine einzelne Berechtigung klicken, können Sie alle Profile, Berechtigungssätze und Benutzer anzeigen, denen diese zugewiesen ist.

Vergleichen von Berechtigungen

Mit Varonis lassen sich nicht nur die Berechtigungen eines einzelnen Benutzers in Salesforce leicht analysieren, sondern man kann auch die aggregierten Berechtigungen zweier Benutzer nebeneinander per Klick auf eine Schaltfläche vergleichen. Wir können sogar Berechtigungen zwischen verschiedenen Salesforce-Organisationen vergleichen.

 

Vergleichen Sie ganz einfach die Berechtigungen zweier Benutzer nebeneinander.

Wenn Sie auf doppelte Profile oder Berechtigungssätze stoßen, aber nicht sicher sind, welches/welcher das/der richtige ist, schafft Varonis leicht Abhilfe. Varonis erweitert seine Berechtigungsvergleichsfunktionen, damit Sie Profile, Berechtigungssätze und Berechtigungssatzgruppen nebeneinander vergleichen können. Dadurch können Sie leichter verstehen, welche Berechtigungen sie enthalten, sodass Sie doppelte und redundante Berechtigungen schnell beseitigen können.

Identifizieren und Entfernen nicht zugewiesener Profile und Berechtigungssätze

Im Laufe der Zeit, wenn Ihre Salesforce-Organisationen wachsen und sich weiterentwickeln, stellen Sie möglicherweise fest, dass Sie Profile und Berechtigungssätze haben, die Sie nicht mehr benötigen oder verwenden. Diese erhöhen Ihre technischen Schulden und Ihr Risiko erheblich. 

Gemäß den gängigen Best Practices sollten Sie in Ihrer Umgebung so wenig Profile und Berechtigungssätze wie möglich haben. Je mehr Sie haben, desto schwieriger wird es, Berechtigungen zu verwalten, und desto größer ist das Risiko, dass Sie einem Benutzer veraltete Berechtigungen zuweisen.

Unabhängig davon, ob sie Duplikate sind, riskante Kombinationen enthalten oder einfach nicht mehr verwendet werden, sollten Sie diese nicht zugewiesenen Berechtigungen identifizieren und entfernen, um die Verwaltung und Wartung Ihrer Umgebung in Zukunft zu vereinfachen. 

Mit Varonis erhalten Sie einen sofort einsatzbereiten Bericht mit jedem Profil, Berechtigungssatz, Berechtigungssatzgruppe und jeder Rolle in Ihrer Umgebung. Der Bericht ermöglicht es Ihnen, diese jeweils im Detail anzuzeigen, um zu sehen, welche Berechtigungen sie gewähren und ob sie irgendwelchen Benutzern zugewiesen sind. 

Verwenden Sie diesen Bericht, um alle nicht zugewiesenen Berechtigungen in Ihrer Salesforce-Organisation zu filtern und sie dauerhaft direkt über die Varonis-Oberfläche aus Ihrem System zu löschen. 

 

Identifizieren und entfernen Sie nicht zugewiesene Profile und Berechtigungssätze automatisch in Salesforce.

Mit den Varonis-Funktionen zur Behebung nicht zugewiesener Berechtigungen können Administratoren den Zustand ihrer Umgebung besser verwalten und ihre technischen Schulden schnell und ohne stundenlange Arbeit abbauen. Diese Aktionen können sogar so konfiguriert werden, dass sie nach Zeitplan ausgeführt werden, damit die Behebung automatisch erfolgt.

So können Sie verhindern, dass Profile oder Berechtigungssätze, die Benutzern entfernt wurden, weil sie zu viele oder eine riskante Kombination von Berechtigungen boten, versehentlich neu zugewiesen oder von einem betrügerischen oder kompromittierten Administrator missbraucht werden. Arbeiten Sie in Salesforce auf ein Modell der notwendigsten Berechtigung hin; Ihre Sicherheitsadministratoren werden es Ihnen danken.

Verwalten Sie alle Ihre Salesforce-Organisationen über eine einzige Oberfläche.

Heutzutage kommt es selten vor, dass nur eine einzige Salesforce-Instanz verwendet wird. Die meisten Unternehmen haben mehrere Salesforce-Organisationen in ihrer Umgebung – unabhängig davon, ob sie darüber Bescheid wissen oder nicht. Neben Ihrer Produktionsumgebung enthalten Sandboxes und andere Salesforce-Organisationen oft sensible Daten oder Kopien Ihrer Produktionsdaten.

Genauso wichtig ist es, diese verschiedenen Organisationen zu überwachen, zu pflegen und sicherzustellen, dass die Benutzer darin über die richtigen Berechtigungen verfügen. Wenn Sie nur Salesforce verwenden, müssen Sie den gesamten Prozess der Berechtigungsanalyse erneut durchlaufen, da viele Benutzer je nach Organisation unterschiedliche Berechtigungen haben. 

Mit Varonis erhalten Sie einen vollständigen Überblick über Ihre verschiedenen Salesforce-Organisationen, die darin enthaltenen Benutzer und die ihnen zugewiesenen Berechtigungen. Wir fassen Aktivitätsströme in einer einzigen Ansicht zusammen und erweitern unsere Funktionen zur Berechtigungsanalyse auf all Ihre Salesforce-Organisationen. So können Sie schnell vom Produktionskonto eines Benutzers zu dessen Sandbox wechseln. 

Offboarding-Lücken schließen

Wenn jemand das Unternehmen verlässt, sollten Sie sicherstellen, dass er oder sie nicht mehr auf Ihre Unternehmensdaten zugreifen kann. Schockierend ist, dass drei von vier ehemaligen Auftragnehmern auch dann nach noch auf sensible Daten zugreifen können, wenn sie das Unternehmen bereits verlassen haben.

Wenn Sie mehrere Salesforce-Organisationen in Ihrer Umgebung haben (was wahrscheinlich ist), passiert es schnell, dass Sie einen Benutzer aus einer Instanz entfernen, sein Konto in einer anderen jedoch übersehen. Varonis identifiziert alle Personen, die Zugriff auf Ihre verschiedenen Salesforce-Organisationen haben – einschließlich persönlicher Konten und externer Benutzer wie Subunternehmer. Es verbindet dann diese Identitäten plattformübergreifend, damit Sie alle Offboarding-Lücken leicht erkennen und sicherstellen können, dass Sie diesen Benutzern den Zugriff auf all Ihre Salesforce-Organisationen entziehen.   


Varonis verknüpft zugehörige Identitäten automatisch miteinander.

Ermitteln Sie sensible Daten und wer Zugriff darauf hat

Wenn Ihr Compliance-Beauftragter oder Ihr Sicherheitsteam Sie fragt, wo Sie sensible Daten in Ihren Salesforce-Organisationen gespeichert haben, können Sie ihnen dann eine präzise Antwort geben? 

Ohne Salesforce Shield bietet Salesforce ab Werk nur eingeschränkte Klassifizierungsfunktionen. Für alle Felder (außer den grundlegenden), z. B. E-Mail- oder Adressfelder, müssen Sie die Sensibilitätswerte, Klassifizierungstags und relevanten Regeltags jeweils durcharbeiten und manuell konfigurieren. Dieser Prozess ist oft enorm umfangreich, je nachdem, wie viele verschiedene Feldtypen Sie konfiguriert haben. 

Es ist leicht, davon auszugehen, dass Sie wissen, wo sich die personenbezogenen Daten in Ihren Salesforce-Datensätzen und -Feldern befinden. Telefonnummern stehen im Telefonfeld, Adressen im Adressfeld, E-Mail-Adressen im E-Mail-Feld und so weiter – aber das ist nicht immer der Fall. 

Oft geben Marketing- oder Vertriebsmitarbeiter sensible oder sogar regulierte Daten in ein anderes Feld ein, z. B. in das Notizfeld. Dort schauen Sie womöglich nicht sofort nach. Aber keine Sorge – wenn sensible Daten in Salesforce gespeichert werden, wird Varonis sie dort finden und schützen.

Finden Sie sensible Daten, die in Datensätzen und Feldern gespeichert sind.

Varonis erkennt und klassifiziert automatisch sensible und regulierte Daten in Ihrer Salesforce-Umgebung und zeigt Ihnen, wer Zugriff darauf hat und was sie damit tun können. Wir identifizieren, wo sich sensible Daten in den Datensätzen und Feldern der einzelnen Objekte befinden – einschließlich aller Dateien oder Anhänge!
 

Erfahren Sie schnell, wo sich sensible Daten in Ihrer Salesforce-Organisation befinden, ohne dass Sie irgendwelche Regeln konfigurieren müssen.

Arbeiten Sie schlauer, nicht härter

Möchten Sie sehen, wie Varonis Ihnen viele Arbeitsstunden einsparen könnte? Fordern Sie hier eine Demo an.

PS: Vereinfachen Sie die Arbeit Ihrer Sicherheitsteams und erzählen Sie ihnen auch von Varonis!