Show Menu
ARGOMENTI×

Elenco di controllo della sicurezza di Dispatcher

Il dispatcher come sistema front-end offre un ulteriore livello di sicurezza all'infrastruttura del Adobe Experience Manager . Adobe consiglia vivamente di completare il seguente elenco di controllo prima di iniziare la produzione.
Devi anche completare l’elenco di controllo di sicurezza della tua versione di AEM prima di iniziare a lavorare. Fare riferimento alla documentazione relativa al Adobe Experience Manager .

Usa la versione più recente di Dispatcher

Installate la versione più recente disponibile disponibile per la piattaforma in uso. Devi aggiornare l'istanza di Dispatcher per utilizzare la versione più recente per sfruttare i miglioramenti apportati in termini di prodotti e sicurezza. Consultate Installazione di Dispatcher .
È possibile controllare la versione corrente dell'installazione del dispatcher esaminando il file di registro del dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Per trovare il file di registro, ispezionare la configurazione del dispatcher nella httpd.conf .

Limita client in grado di cancellare la cache

Abilita HTTPS per la sicurezza del livello di trasporto

Adobe consiglia di abilitare il livello di trasporto HTTPS sia per le istanze di creazione che per quelle di pubblicazione.

Limita accesso

Durante la configurazione dell'Dispatcher, è necessario limitare il più possibile l'accesso esterno. Consultate Esempio /filter Section nella documentazione di Dispatcher.

Assicurati che l’accesso agli URL amministrativi sia negato

Accertatevi di utilizzare i filtri per bloccare l'accesso esterno a qualsiasi URL amministrativo, come la console Web.
Consultate Verifica di Dispatcher Security per un elenco degli URL da bloccare.

Usa elenchi di autorizzazioni invece che elenchi di blocchi

Gli elenchi di autorizzazioni sono un modo migliore per fornire il controllo di accesso in quanto, di per sé, presuppongono che tutte le richieste di accesso siano negate a meno che non facciano parte esplicitamente dell'elenco di autorizzazioni. Questo modello offre un controllo più restrittivo sulle nuove richieste che potrebbero non essere state ancora esaminate o prese in considerazione durante una determinata fase di configurazione.

Eseguire Dispatcher con un utente di sistema dedicato

Durante la configurazione dell'Dispatcher, accertatevi che il server Web sia eseguito da un utente dedicato con meno privilegi. Si consiglia di concedere l’accesso in scrittura solo alla cartella della cache del dispatcher.
Inoltre, gli utenti IIS devono configurare il proprio sito Web come segue:
  1. Nell’impostazione del percorso fisico per il sito Web, selezionate Connect come utente specifico.
  2. Impostate l’utente.

Impedire attacchi Denial of Service (DoS)

Un attacco Denial of Service (DoS) è un tentativo di rendere una risorsa computer non disponibile agli utenti previsti.
A livello di dispatcher, sono disponibili due metodi di configurazione per prevenire attacchi DoS: filter
  • Utilizzate il modulo mod_rewrite (ad esempio, Apache 2.4 ) per eseguire convalide URL (se le regole del pattern URL non sono troppo complesse).
  • Impedisci al dispatcher di memorizzare nella cache gli URL con estensioni spurie utilizzando i filtri . Ad esempio, modificate le regole di caching per limitare il caching ai tipi mime previsti, ad esempio:
    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt
    Un file di configurazione di esempio può essere visualizzato per limitare l'accesso esterno, che include restrizioni per i tipi mime.
Per abilitare tutte le funzionalità nelle istanze di pubblicazione, configurate i filtri in modo da impedire l’accesso ai seguenti nodi:
  • /etc/
  • /libs/
Quindi configurate i filtri per consentire l'accesso ai seguenti percorsi dei nodi:
  • /etc/designs/*
  • /etc/clientlibs/*
  • /etc/segmentation.segment.js
  • /libs/cq/personalization/components/clickstreamcloud/content/config.json
  • /libs/wcm/stats/tracker.js
  • /libs/cq/personalization/* (JS, CSS e JSON)
  • /libs/cq/security/userinfo.json (informazioni utente CQ)
  • /libs/granite/security/currentuser.json ( i dati non devono essere memorizzati nella cache )
  • /libs/cq/i18n/* (Internalizzazione)

Configure Dispatcher to prevent CSRF Attacks

AEM fornisce un framework per prevenire attacchi di tipo "cross-site Request Forgery". Per utilizzare correttamente questo framework, è necessario consentire il supporto dei token CSRF nel dispatcher. È possibile eseguire questa operazione tramite:
  1. Creazione di un filtro per consentire il /libs/granite/csrf/token.json percorso;
  2. Aggiungete l’ CSRF-Token intestazione alla clientheaders sezione della configurazione Dispatcher.

Impedisci il clickjacking

Per evitare il clickjacking, si consiglia di configurare il server Web in modo che fornisca l’intestazione X-FRAME-OPTIONS HTTP impostata su SAMEORIGIN .

Eseguire un test di penetrazione

Adobe consiglia vivamente di eseguire un test di penetrazione dell’infrastruttura AEM prima di iniziare la produzione.