SAP Commerce Cloud 的 Security 策略概述

通过将防火墙规则和 SSL 证书应用到端点(API endpoint)并通过配置其他参数，来优化 SAP Commerce Cloud 的安全操作和管理其​​安全性​​。

IP Filter Sets

IP 过滤器集由可分配给一个或多个端点的 IP 地址列表组成。 使用 IP 过滤器集来限制特定 IP 集对端点的 Web 访问。 一个典型的用例是只允许从 ​​office VPN​​ 访问特定端点（如 Backoffice），作为额外的保护层。

SSL Certificates

使用安全 HTTPS 时需要 SSL 证书。 SSL 证书可加密通过 Internet 发送的敏感信息，确保只有预期的收件人可以访问它，而没有人可以拦截它。 当信息从计算机传递到远端计算机，并试图到达目标服务器时，这种安全性至关重要。 因此，如果未使用 SSL 证书加密，所有中间系统都有可能访问传输链路的敏感信息。 SSL 证书可保护购物会话免受网络犯罪分子的侵害。

Commerce Cloud 为开箱即用的标准端点提供 Let's Encrypt 证书。 这些证书每三个月自动更新一次，通常是在到期前 10 天触发更新操作。 系统不会自动更新任何客户创建的 SSL 证书，即使它们也是 Let's Encrypt 证书。

Trusted Certificates

默认情况下，受信任的证书安装在所有默认端点 URL 上。 它们用于在启动访问网站所需的安全连接之前对设备进行身份验证。 由于证书文件需要存在于设备上，它为更常见的用户名/密码身份验证提供了额外的安全层。 证书由认可的证书颁发机构 (CA) 颁发，有效期仅为 90 天。 Commerce Cloud 会在到期前 10 天自动将其替换为新证书。

Host Alias Sets

HTTPS 客户端验证远程服务器的主机名是否与该服务器提供的证书中的主机名匹配，如果两者不匹配则阻止连接。 如果远程系统的主机名无法通过已部署应用程序可用的任何 DNS 服务器解析，则无法建立连接 - 这是访问内部系统的常见情况。 使用主机别名集，管理员可以将任何主机名与特定 IP 相关联，从而允许应用程序解析不在任何可用 DNS 中的主机名。