DocumentationAEMGuide de Dispatcher

Liste de contrôle de sécurité de Dispatcher the-dispatcher-security-checklist

Last update: Fri Mar 08 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Créé pour :

  • Admin

Adobe recommande vivement de suivre la liste de contrôle suivante avant de passer en production.

CAUTION
Vous devez également suivre la liste de contrôle de sécurité de votre version d’AEM avant de passer en production. Voir la documentation d’Adobe Experience Manager correspondante.

Utiliser la version la plus récente de Dispatcher use-the-latest-version-of-dispatcher

Vous devez installer la version la plus récente pour votre plateforme. Vous devez mettre à niveau votre instance de Dispatcher afin d’utiliser la dernière version en date et ainsi tirer parti des améliorations apportées au produit et à la sécurité. Voir Installer Dispatcher.

NOTE
Vous pouvez déterminer quelle est la version actuelle de votre installation de Dispatcher en consultant le fichier journal du logiciel.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Pour trouver le fichier journal, consultez la configuration de Dispatcher de httpd.conf.

Restreindre le nombre de clients qui peuvent vider le cache restrict-clients-that-can-flush-your-cache

Adobe recommande de limiter les clients qui peuvent vider la mémoire cache.

Activer le protocole HTTPS pour la sécurité des couches de transfert enable-https-for-transport-layer-security

Adobe conseille d’activer la couche de transfert HTTPS sur les instances de création et de publication.

Restreindre l’accès restrict-access

Lors de la configuration de Dispatcher, vous devez restreindre autant que possible l’accès externe. Voir Exemple de section /filter dans la documentation de Dispatcher.

S’assurer que l’accès aux URL d’administration est refusé make-sure-access-to-administrative-urls-is-denied

Assurez-vous d’utiliser des filtres pour bloquer l’accès externe aux URL d’administration, par exemple la console web.

Voir Test de la sécurité de Dispatcher pour obtenir une liste des URL qui doivent être bloquées.

Utiliser les listes autorisées plutôt que les listes bloquées use-allowlists-instead-of-blocklists

Les listes autorisées sont le meilleur moyen d’assurer un contrôle d’accès puisque, de fait, toutes les requêtes d’accès doivent être refusées, à moins qu’elles ne figurent explicitement sur ces listes. Ce modèle fournit un contrôle plus restrictif des nouvelles requêtes qui peuvent ne pas avoir encore été testées ou prises en compte lors d’une étape spécifique de la configuration.

Exécuter Dispatcher avec une personne dédiée utilisant le système run-dispatcher-with-a-dedicated-system-user

Lors de la configuration de Dispatcher, assurez-vous que le serveur web est exécuté par une personne dédiée, dotée de privilèges limités. Il est conseillé d’octroyer l’accès en écriture uniquement au dossier du cache de Dispatcher.

En outre, les utilisateurs et utilisatrices d’IIS doivent configurer leur site web comme suit :

  1. Dans le paramètre de chemin physique de votre site web, sélectionnez Se connecter en tant qu’utilisateur ou utilisatrice spécifique.
  2. Définissez l’utilisateur ou l’utilisatrice.

Prévention des attaques par déni de service (DoS) prevent-denial-of-service-dos-attacks

Une attaque par déni de service (DoS) est une tentative de rendre une ressource informatique indisponible à ses utilisateurs et utilisatrices ciblés.

Au niveau de Dispatcher, il existe deux méthodes de configuration permettant d’empêcher les attaques DoS :

  • Utilisez le module mod_rewrite (par exemple, Apache 2.4) pour effectuer des validations d’URL (si les règles de modèle d’URL ne sont pas trop complexes).

  • Empêchez Dispatcher de mettre en cache les URL dotées d’extensions parasites à l’aide de filtres.
    Par exemple, modifiez les règles de mise en cache afin de limiter la mise en cache des types MIME prévus, par exemple :

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    Un exemple de fichier de configuration peut être consulté pour limiter l’accès externe. Il comprend les limitations pour les types MIME.

Pour activer la fonctionnalité complète sur les instances de publication en toute sécurité, configurez les filtres pour empêcher l’accès aux nœuds suivants :

  • /etc/
  • /libs/

Ensuite, configurez les filtres pour accorder l’accès aux chemins d’accès des nœuds suivants :

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS et JSON)

  • /libs/cq/security/userinfo.json (Informations sur les utilisateurs CQ)

  • /libs/granite/security/currentuser.json (les données ne doivent pas être mises en cache)

  • /libs/cq/i18n/* (Internalisation)

Configurer Dispatcher pour empêcher les attaques CSRF configure-dispatcher-to-prevent-csrf-attacks

AEM fournit un framework visant à empêcher les attaques CSRF. Pour utiliser correctement ce framework, vous devez placer dans la liste autorisée la prise en charge du jeton CSRF dans Dispatcher. Vous pouvez le faire en procédant comme suit :

  1. Créez un filtre pour autoriser le chemin d’accès /libs/granite/csrf/token.json ;
  2. Ajoutez l’en-tête CSRF-Token à la section clientheaders de la configuration Dispatcher.

Prévention du détournement de clic prevent-clickjacking

Pour empêcher le détournement de clic, il est conseillé de configurer le serveur web afin que l’en-tête HTTP X-FRAME-OPTIONS soit défini sur SAMEORIGIN.

Pour plus d’informations sur le détournement de clic, consultez le site de l’OWASP.

Test de pénétration perform-a-penetration-test

Adobe recommande vivement d’effectuer un test de pénétration de l’infrastructure AEM avant la mise en exploitation.

recommendation-more-help
ce382601-480f-4a99-8be7-73178d4b6ef5