Sichere Daten

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 2 Minuten Lesedauer

    • Datensicherheit ist einer der wichtigsten und am meisten übersehenen Aspekte beim Erstellen einer Anwendung. ServiceNow konfiguriert während des Tabellenerstellungsprozesses automatisch die Zugriffssteuerung für eine neue oder ausgewählte Rolle. Nur Benutzer mit der Rolle können auf die Tabelle zugreifen und lesen, erstellen, schreiben und löschen.

    Verwenden Sie Zugriffskontrollregeln, um Sicherheit auf Tabellen- und Spaltenebene in Now Platform zu konfigurieren. Um den Zugriff auf eine Anwendung ordnungsgemäß zu konfigurieren, sollten Entwickler verstehen, wie Zugriffskontrollen funktionieren und in welcher Reihenfolge Zugriffskontrollen ausgewertet werden. Wenden Sie mehrere Zugriffssteuerungen an, die zusammen eine Zugriffssteuerungsliste (ACL) ergeben.

    Selbstgesteuertes Training: Anwendungensichern

    Dokumentation: Zugriffskontrolllistenregeln

    Unter Berücksichtigung der Sicherheit:
    • Schützen Sie Tabellen, UI-Seiten, Eigenschaftenseiten und andere Inhalte mit den entsprechenden Zugriffskontrollen und Rollen.
    • Beschränken Sie die Verwendung von GlideRecord-Abfragen in Zugriffskontrollskripts. GlideRecord-Abfragen können die Leistung beeinträchtigen.
    Ab dem Abonnementmodell der Orlando-Plattform werden Kunden nach der Anzahl der Tabellen berechnet, auf die ein Benutzer zugreifen kann, unabhängig davon, ob der Benutzer auf die Tabelle zugreift. Konfigurieren Sie ACLs, um den Zugriff auf eine Tabelle einzuschränken, um sicherzustellen, dass nur die Benutzer, die Zugriff auf eine Tabelle benötigen, auf die Tabelle zugreifen können.
    Hinweis:
    Erwägen Sie, automatisch ausgefüllte Felder schreibgeschützt zu machen. Wenn das System die Daten ausfüllt, sollte ein Benutzer nicht dazu in der Lage sein.

    Alternativ können Sie Daten auf der Now Platform mit Business Rules vom Typ „vor Abfrage“ sichern. Business Rules vom Typ „Vor Abfrage“ werden vor der Datenbankabfrage ausgeführt und sind auf die Steuerung des Lesezugriffs auf einen Datensatz beschränkt. Verwenden Sie Vorabfrage-Business Rules nur bei Bedarf. Einige Überlegungen bei der Entscheidung für die Verwendung von Zugriffssteuerungen oder Geschäftsregeln vor der Abfrage:

    • GlideRecord-Abfragen umgehen die Lesezugriffskontrollen für eine Tabelle und werden durch Geschäftsregeln vor der Abfrage für eine Tabelle eingeschränkt.
    • Wenn Zugriffskontrollen den Lesezugriff auf Datensätze in einer Liste einschränken, zeigt ServiceNow eine Meldung an, dass der Zugriff für die Datensätze eingeschränkt wurde. Bei Geschäftsregeln vom Typ „vor Abfrage“ stimmt die Anzahl der Datensätze in der Listensumme mit der Anzahl der Datensätze überein, die dem Benutzer angezeigt werden. Der Benutzer erhält keinen Hinweis darauf, dass einige Datensätze in der Liste ausgeblendet wurden.
    Überprüfen Sie die Benutzerabfrage-Business Rule in der Benutzertabelle [sys_user] als Referenz.
    Hinweis:
    Business Rules vom Typ „Vor Abfrage“ ersetzen ACLs nicht. Wenn Benutzern der Zugriff auf eine Tabelle über die Business Rule „vor Abfrage“ verweigert wird, wird die Tabelle weiterhin auf das Abonnementmodell angerechnet. Verwenden Sie Zugriffssteuerungen, um zu verhindern, dass die Tabelle für die Benutzer im Plattformabonnementmodell gezählt wird.

    Verschlüsselung

    Die Now Platform bietet auch verschiedene Verschlüsselungslösungen auf Anwendungsebene, Datenbankebene und Hardwareebene. Weitere Informationen finden Sie im Whitepaper zur Datenverschlüsselung.
    Hinweis:
    Richten Sie die Sicherheit ein, bevor Sie Schnittstellen oder Geschäftslogik konfigurieren. Da sich die Sicherheit auf die Daten auswirkt, die für Schnittstellen und Geschäftslogik verfügbar sind, kann das Warten bis zum Ende des Anwendungserstellungsprozesses zu Nacharbeiten und Problemen führen.