Show Menu
화제×

Dispatcher 보안 검사 목록

Adobe은 프로덕션을 시작하기 전에 다음 체크리스트를 완료하는 것이 좋습니다.
라이브하려면 AEM 버전의 보안 체크리스트를 완료해야 합니다. 해당 Adobe Experience Manager 설명서를 참조하십시오 .

최신 버전의 Dispatcher 사용

사용 가능한 최신 버전을 플랫폼에 설치해야 합니다. 제품 및 보안 개선 사항을 활용하려면 최신 버전을 사용하려면 Dispatcher 인스턴스를 업그레이드해야 합니다. 디스패처 설치를 참조하십시오 .
디스패처 로그 파일을 보고 현재 버전의 디스패처 설치를 확인할 수 있습니다.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
로그 파일을 찾으려면 사용자 내에서 발송자 구성을 검사하십시오 httpd.conf .

캐시를 플러시할 수 있는 클라이언트 제한

Adobe에서는 캐시를 플러시할 수 있는 클라이언트를 제한하는 것이 좋습니다.

전송 레이어 보안을 위해 HTTPS 사용

작성자 및 게시 인스턴스 모두에서 HTTPS 전송 레이어를 활성화하는 것이 좋습니다.

액세스 제한

Dispatcher를 구성할 때는 외부 액세스를 가능한 한 제한해야 합니다. Dispatcher 설명서의 /filter 섹션 예를 참조하십시오.

관리 URL에 대한 액세스가 거부되었는지 확인하십시오.

필터를 사용하여 웹 콘솔과 같은 모든 관리 URL에 대한 외부 액세스를 차단해야 합니다.
차단해야 하는 URL 목록은 Dispatcher 보안 테스트를 참조하십시오.

차단 목록 대신 허용 목록 사용

허용 목록은 기본적으로 액세스 제어를 제공하는 더 나은 방법이므로, 모든 액세스 요청은 명시적으로에 속하지 않는 한 거부되어야 한다고 허용 목록에 추가하다 가정합니다. 이 모델은 특정 구성 단계 동안 아직 검토되지 않았거나 고려되지 않았을 수 있는 새 요청에 대해 보다 제한적인 제어를 제공합니다.

전용 시스템 사용자로 Dispatcher 실행

Dispatcher를 구성할 때는 웹 서버가 최소한의 권한을 가진 전용 사용자에 의해 실행되어야 합니다. 디스패처 캐시 폴더에만 쓰기 액세스 권한을 부여하는 것이 좋습니다.
또한 IIS 사용자는 다음과 같이 웹 사이트를 구성해야 합니다.
  1. 웹 사이트의 실제 경로 설정에서 Connect를 특정 사용자로 선택합니다 .
  2. 사용자를 설정합니다.

서비스 거부(DoS) 공격 방지

서비스 거부(DoS) 공격은 의도한 사용자가 컴퓨터 리소스를 사용할 수 없도록 하려고 한 것입니다.
발송자 수준에서는 DoS 공격을 방지하기 위해 구성하는 두 가지 방법이 있습니다. filter
  • mod_rewrite 모듈(예: Apache 2.4 )을 사용하여 URL 유효성 검사를 수행합니다(URL 패턴 규칙이 너무 복잡하지 않은 경우).
  • 디스패처가 필터를 사용하여 잘못된 확장 기능으로 URL을 캐싱하지 않도록 합니다 . 예를 들어 캐싱 규칙을 변경하여 다음 같은 필요한 MIME 유형으로 캐시를 제한합니다.
    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt
    외부 액세스를 제한하는 데 사용할 수 있는 구성 파일의 예를 볼 수 있으며 여기에는 MIME 유형에 대한 제한이 포함됩니다.
게시 인스턴스에서 전체 기능을 안전하게 활성화하려면 다음 노드에 액세스할 수 없도록 필터를 구성합니다.
  • /etc/
  • /libs/
그런 다음 필터를 구성하여 다음 노드 경로에 액세스할 수 있습니다.
  • /etc/designs/*
  • /etc/clientlibs/*
  • /etc/segmentation.segment.js
  • /libs/cq/personalization/components/clickstreamcloud/content/config.json
  • /libs/wcm/stats/tracker.js
  • /libs/cq/personalization/* (JS, CSS 및 JSON)
  • /libs/cq/security/userinfo.json (CQ 사용자 정보)
  • /libs/granite/security/currentuser.json ( 데이터는 캐시되지 않아야 ​함)
  • /libs/cq/i18n/* (국제화)

Configure Dispatcher to prevent CSRF Attacks

AEM은 교차 사이트 요청 위조 공격을 방지하기 위한 프레임워크를 제공합니다. 이 프레임워크를 제대로 사용하려면 디스패처에서 CSRF 토큰 지원을허용 목록에 추가하다해야 합니다. 다음을 통해 이 작업을 수행할 수 있습니다.
  1. 경로를 허용하는 필터 /libs/granite/csrf/token.json 만들기;
  2. Dispatcher 구성 CSRF-Token 섹션에 clientheaders 헤더를 추가합니다.

클릭재킹 방지

클릭재킹을 방지하려면 웹 서버를 구성하여 X-FRAME-OPTIONS HTTP 헤더 세트를 제공하는 것이 좋습니다 SAMEORIGIN .
클릭재킹에 대한 자세한 내용은 OWASP 사이트를 참조하십시오 .

침투 테스트 수행

Adobe은 프로덕션을 시작하기 전에 AEM 인프라의 보급률 테스트를 수행하는 것이 좋습니다.