Elenco di controllo della sicurezza di Dispatcher the-dispatcher-security-checklist
Adobe consiglia vivamente di completare il seguente elenco di controllo prima di procedere alla produzione.
Utilizza la versione più recente di Dispatcher use-the-latest-version-of-dispatcher
Installa la versione più recente disponibile per la piattaforma. Aggiorna l’istanza di Dispatcher per utilizzare la versione più recente e usufruire dei miglioramenti apportati al prodotto e alla sicurezza. Vedi Installazione di Dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
httpd.conf
.Limita il numero dei client che possono eseguire il flushing della cache restrict-clients-that-can-flush-your-cache
Adobe consiglia di limitare il numero dei client che possono eseguire il flushing della cache.
Abilita HTTPS per la sicurezza del livello di trasporto enable-https-for-transport-layer-security
Adobe consiglia di abilitare il livello di trasporto HTTPS sia sulle istanze Autore che Publish.
Limita l’accesso restrict-access
Quando configuri Dispatcher, devi limitare il più possibile l’accesso esterno. Vedi Esempio di sezione /filter nella documentazione di Dispatcher.
Accertati che l’accesso agli URL amministrativi sia interdetto make-sure-access-to-administrative-urls-is-denied
Utilizza i filtri per bloccare l’accesso esterno a qualsiasi URL amministrativo, ad esempio alla console Web.
Per un elenco degli URL da bloccare, vedi Verifica della sicurezza di Dispatcher.
Utilizza gli elenchi Consentiti invece degli elenchi Bloccati use-allowlists-instead-of-blocklists
Gli elenchi Consentiti permettono un migliore controllo degli accessi, in quanto presuppongono che tutte le richieste di accesso debbano essere negate, a meno che non facciano parte esplicitamente dell’elenco Consentiti. Questo modello offre un controllo più restrittivo sulle nuove richieste che potrebbero non essere state ancora esaminate o prese in considerazione durante una determinata fase della configurazione.
Esegui Dispatcher con un utente di sistema dedicato run-dispatcher-with-a-dedicated-system-user
Quando configuri il Dispatcher, accertati che il server web sia eseguito da un utente dedicato con privilegi minimi. Si consiglia di concedere l’accesso in scrittura solo alla cartella della cache di Dispatcher.
Inoltre, gli utenti IIS devono configurare il proprio sito web come segue:
- Nell’impostazione del percorso fisico per il sito web, seleziona Connetti come utente specifico.
- Imposta l’utente.
Previeni gli attacchi Denial of Service (DoS) prevent-denial-of-service-dos-attacks
Un attacco Denial of Service (DoS) è un tentativo di rendere la risorsa di un computer indisponibile per gli utenti a cui è destinata.
A livello di Dispatcher, esistono due metodi di configurazione per evitare gli attacchi DoS:
-
Utilizza il modulo mod_rewrite (ad esempio, Apache 2.4) per eseguire le convalide degli URL (se le regole del modello URL non sono troppo complesse).
-
Impedisci a Dispatcher di memorizzare in cache gli URL con estensioni fittizie utilizzando dei filtri.
Ad esempio, modifica le regole di caching per limitare il caching ai tipi mime previsti, ad esempio:.html
.jpg
.gif
.swf
.js
.doc
.pdf
.ppt
È possibile visualizzare un esempio di file di configurazione per limitare l’accesso esterno, che include limitazioni per i tipi mime.
Per abilitare in modo sicuro la funzionalità completa sulle istanze Publish, configura i filtri per impedire l’accesso ai seguenti nodi:
/etc/
/libs/
Quindi, configura i filtri per consentire l’accesso ai seguenti percorsi dei nodi:
-
/etc/designs/*
-
/etc/clientlibs/*
-
/etc/segmentation.segment.js
-
/libs/cq/personalization/components/clickstreamcloud/content/config.json
-
/libs/wcm/stats/tracker.js
-
/libs/cq/personalization/*
(JS, CSS e JSON) -
/libs/cq/security/userinfo.json
(Informazioni utente CQ) -
/libs/granite/security/currentuser.json
(i dati non devono essere memorizzati in cache) -
/libs/cq/i18n/*
(Internalizzazione)
Configura Dispatcher per impedire gli attacchi CSRF configure-dispatcher-to-prevent-csrf-attacks
AEM fornisce un framework per prevenire gli attacchi di tipo Cross-Site Request Forgery. Per utilizzare correttamente questo framework, devi inserire nell’elenco Consentiti il supporto per i token CSRF in Dispatcher. Per farlo, segui questi passaggi:
- Crea un filtro per consentire il percorso
/libs/granite/csrf/token.json
; - Aggiungi l’intestazione
CSRF-Token
alla sezioneclientheaders
della configurazione di Dispatcher.
Previeni il clickjacking prevent-clickjacking
Per prevenire il clickjacking, ti consigliamo di configurare il server web per fornire l’intestazione HTTP X-FRAME-OPTIONS
impostata su SAMEORIGIN
.
Per ulteriori informazioni sul clickjacking, vedi il sito OWASP.
Esegui un test di penetrazione perform-a-penetration-test
Adobe consiglia vivamente di eseguire un test di penetrazione dell’infrastruttura AEM prima di procedere alla produzione.