Radar
News// Curadoria editorial
Relevância
62
média

Security Center Essentials: a Salesforce finalmente resolveu o problema do admin que não sabe por onde começar na segurança

Uma versão gratuita do Security Center chega para Enterprise, Unlimited e Performance Edition. Pouco, mas o suficiente para parar de rodar Health Check no escuro

Curadoria e análise de Guilherme Dornelas16 de julho de 20263 min de leitura
// Compartilhar
Security Center Essentials: a Salesforce finalmente resolveu o problema do admin que não sabe por onde começar na segurança

A Salesforce lançou o Security Center Essentials, versão reduzida e gratuita do Security Center, com Health Check, auditoria de integrações e IP ranges centralizados. Não é a ferramenta completa, mas resolve uma dor real de quem nunca teve budget para Shield.

Todo projeto Salesforce que já passei tem uma variação da mesma cena: alguém pergunta "quem tem acesso a isso?" ou "esse connected app ainda é usado?" e a resposta vem depois de trinta minutos clicando em Setup, cruzando relatório de login history com lista de connected apps, tentando lembrar se o Health Check foi rodado no trimestre passado ou há um ano.

Esse é exatamente o buraco que o Security Center Essentials tenta tapar. A Salesforce está distribuindo uma versão reduzida do Security Center (aquele produto que antes vivia dentro do universo Shield, com preço de add-on) para todo mundo que tem licença Enterprise, Unlimited ou Performance Edition. Sem custo adicional. Isso já é a parte mais interessante da notícia, porque historicamente visibilidade de segurança decente em Salesforce sempre exigiu comprar algo além da licença base.

O que realmente vem incluído

O pacote é modesto e a Salesforce não escondeu isso: são sete métricas organizadas em três blocos.

  • Health Check: score e baseline de configuração, com histórico de 30 dias em vez do snapshot único que a maioria de nós está acostumada a olhar uma vez e esquecer.
  • Integrações de terceiros: lista de connected apps e packages (managed e unmanaged), incluindo quem instalou e quando.
  • IP Ranges: login IP ranges configurados por perfil e trusted IP ranges do org.

A atualização é semanal, automática, com opção de refresh on-demand, e os dados ficam retidos por 30 dias. Para acessar, basta ter a permissão de sistema View Security Center Pages e abrir o Security Center pelo App Launcher.

Por que isso importa na prática

Quem já fez auditoria de segurança em org que rodou anos sem arquiteto dedicado sabe o cenário: dezenas de connected apps instalados por gente que já saiu da empresa, integração via API que ninguém sabe mais para que serve, trusted IP range configurado em 2019 que hoje não faz sentido nenhum. Ter isso centralizado, com histórico, tira a segurança do modo "projeto de arqueologia" e coloca no modo rotina.

O detalhe que vale destacar: connected apps e packages são um vetor de risco enorme, principalmente em orgs que cresceram com integrações via MuleSoft, ferramentas de terceiros conectadas via OAuth, ou pacotes instalados durante alguma implementação que já não tem mais consultoria acompanhando. Saber quem instalou e quando é o tipo de dado que normalmente só aparece quando algo já deu errado.

O limite claro dessa versão

É importante calibrar expectativa. Essentials não é o Security Center completo. Não tem visibilidade multi-org, não tem políticas de segurança customizadas, não substitui Shield nem Event Monitoring para quem precisa de auditoria fina de comportamento de usuário. É um dashboard de leitura, não uma ferramenta de resposta a incidente.

Para arquiteto que trabalha com múltiplos orgs (produção, sandbox, orgs de subsidiárias diferentes), a ausência de visão consolidada entre orgs é a limitação que mais vai pesar. Se o cliente tem mais de um org de produção, o Essentials ainda vai exigir abrir cada org separadamente.

// Por que isso importa

Segurança em Salesforce sempre foi tratada como responsabilidade difusa: um pouco do admin, um pouco do arquiteto, um pouco de ninguém. Ter uma camada gratuita de visibilidade dentro da licença base muda o piso mínimo de governança que se pode exigir em qualquer projeto, inclusive os de orçamento apertado que nunca cogitariam comprar Shield só para ter um painel de Health Check decente.

// Minha leitura

Vale registrar que a Salesforce não deixou claro no anúncio se o Essentials vai continuar existindo como oferta permanente ou se é uma isca para upgrade ao Security Center completo. Histórico da empresa com features "gratuitas por tempo limitado" pede cautela antes de construir processo de governança inteiro em torno disso sem revisar o roadmap.

// Como aplicar na prática

Depois do rollout (previsto para terminar até final de julho), o primeiro passo é dar a permissão View Security Center Pages para quem realmente precisa (arquiteto, admin sênior, time de segurança), abrir o painel e usar ele como ponto de partida de uma revisão trimestral: comparar o Health Check score contra a baseline, listar todo connected app instalado e confirmar com o time se ainda é usado, e revisar os IP ranges configurados para saber se ainda refletem a realidade da empresa (VPN trocada, escritório fechado, etc).

Se o cliente tem múltiplos orgs, documente manualmente os dados de cada um até decidir se vale investir no Security Center completo, que resolve a visão multi-org.

// Pontos de atenção

Não trate o Essentials como um scanner de vulnerabilidade completo. Ele mostra métricas de configuração, não comportamento de usuário nem tentativa de acesso suspeita em tempo real. Continue combinando com Login History, Setup Audit Trail e, se o orçamento permitir, Event Monitoring para o que o painel não cobre.

Outro ponto: a retenção de 30 dias é curta para quem precisa de análise histórica mais longa (auditoria anual, por exemplo). Vale exportar os dados periodicamente se a governança da empresa exigir histórico maior.

Fonte original:Salesforce Blog

Este conteúdo foi reescrito e analisado editorialmente em português a partir de informações públicas da fonte indicada.

// Radar Salesforce — Newsletter

Releases, Flow, Revenue Cloud e Agentforce — com leitura de arquiteto, direto no seu e-mail.

Curadoria editorial em PT-BR, sem repost de notícia. Você recebe contexto, "por que importa" e como aplicar — assinada por mim.

// Sem spam · cancele quando quiser