Show Menu
화제×

Dispatcher 보안 검사 목록

프런트 엔드 시스템으로서의 디스패처는 Adobe Experience Manager 인프라에 추가 보안 계층을 제공합니다. 프로덕션 전 다음 체크리스트를 완료하는 것이 좋습니다.
또한 라이브하기 전에 AEM 버전의 보안 체크리스트를 완료해야 합니다. 해당 Adobe Experience Manager 설명서를 참조하십시오.

최신 버전의 Dispatcher 사용

사용 가능한 최신 버전을 플랫폼에 설치해야 합니다. Dispatcher 인스턴스를 업그레이드하여 최신 버전을 사용하여 제품 및 보안 개선 사항을 활용해야 합니다. 디스패처 설치를 참조하십시오 .
디스패처 로그 파일을 확인하여 현재 버전의 디스패처 설치를 확인할 수 있습니다.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
로그 파일을 찾으려면 에서 발송자 구성을 검사하십시오 httpd.conf .

캐시를 플러시할 수 있는 클라이언트 제한

캐시를 플러시할 수 있는 클라이언트를 제한하는 것이 좋습니다.

전송 레이어 보안을 위해 HTTPS 사용

작성자 및 게시 인스턴스 모두에서 HTTPS 전송 레이어를 활성화하는 것이 좋습니다.

액세스 제한

Dispatcher를 구성할 때는 외부 액세스를 최대한 제한해야 합니다. Dispatcher 설명서의 /filter 섹션 예를 참조하십시오.

관리 URL에 대한 액세스가 거부되었는지 확인

필터를 사용하여 웹 콘솔과 같은 모든 관리 URL에 대한 외부 액세스를 차단해야 합니다.
차단해야 하는 URL 목록은 Dispatcher 보안 테스트를 참조하십시오.

블랙리스트 대신 화이트리스트 사용

화이트 리스트는 기본적으로 모든 액세스 요청은 허용 목록에 명시적으로 포함되지 않는 한 거부되어야 한다고 가정하므로 액세스 제어를 제공하는 더 나은 방법입니다. 이 모델은 특정 구성 단계 동안 아직 검토되지 않았거나 고려되지 않았을 수 있는 새 요청에 대해 보다 제한적인 제어를 제공합니다.

전용 시스템 사용자와 Dispatcher 실행

Dispatcher를 구성할 때 권한이 가장 적은 전용 사용자가 웹 서버를 실행했는지 확인해야 합니다. 디스패처 캐시 폴더에만 쓰기 액세스 권한을 부여하는 것이 좋습니다.
또한 IIS 사용자는 다음과 같이 웹 사이트를 구성해야 합니다.
  1. 웹 사이트의 실제 경로 설정에서 특정 사용자로 Connect를 ​선택합니다.
  2. 사용자를 설정합니다.

서비스 거부(DoS) 공격 방지

서비스 거부(DoS) 공격은 의도한 사용자가 컴퓨터 리소스를 사용할 수 없도록 하려는 시도입니다.
디스패처 수준에는 DoS 공격을 방지하기 위해 구성하는 두 가지 방법이 있습니다.필터 filter
게시 인스턴스에서 전체 기능을 안전하게 사용하려면 필터를 구성하여 다음 노드에 대한 액세스를 방지합니다.
  • /etc/
  • /libs/
그런 다음 필터를 구성하여 다음 노드 경로에 대한 액세스를 허용합니다.
  • /etc/designs/*
  • /etc/clientlibs/*
  • /etc/segmentation.segment.js
  • /libs/cq/personalization/components/clickstreamcloud/content/config.json
  • /libs/wcm/stats/tracker.js
  • /libs/cq/personalization/* (JS, CSS 및 JSON)
  • /libs/cq/security/userinfo.json (CQ 사용자 정보)
  • /libs/granite/security/currentuser.json ( 데이터는 캐시되지 ​않음)
  • /libs/cq/i18n/* (국제화)

Configure Dispatcher to prevent CSRF Attacks

AEM은 교차 사이트 요청 위조 공격을 방지하기 위한 프레임워크를 제공합니다. 이 프레임워크를 제대로 사용하려면 디스패처에서 CSRF 토큰 지원을 화이트리스트해야 합니다. 다음을 통해 이 작업을 수행할 수 있습니다.
  1. 경로를 허용하는 필터 만들기; /libs/granite/csrf/token.json
  2. Dispatcher CSRF-Token 구성의 clientheaders 섹션에 헤더를 추가합니다.

클릭재킹 방지

클릭재킹을 방지하기 위해 HTTP 헤더를 X-FRAME-OPTIONS 로 설정하도록 웹 서버를 구성하는 것이 SAMEORIGIN 좋습니다.
클릭재킹에 대한 자세한 내용은 OWASP 사이트를 참조하십시오.

통과 테스트 수행

Adobe는 프로덕션 전 AEM 인프라에 대한 보급률 테스트를 수행하는 것이 좋습니다.