Show Menu
TÓPICOS×

Lista de verificação de segurança do Dispatcher

O dispatcher como um sistema front-end oferta uma camada extra de segurança para a sua infraestrutura de Adobe Experience Manager. A Adobe recomenda que você conclua a seguinte lista de verificação antes de continuar a produção.
Você também deve concluir a Lista de verificação de segurança de sua versão do AEM antes de entrar em funcionamento. Consulte a documentação correspondente do Adobe Experience Manager.

Usar a versão mais recente do Dispatcher

Instale a versão mais recente disponível para a sua plataforma. Atualize sua instância do Dispatcher para usar a versão mais recente para aproveitar as vantagens dos aprimoramentos de produtos e segurança. Consulte Instalação do Dispatcher .
Você pode verificar a versão atual da instalação do dispatcher observando o arquivo de log do dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Para localizar o arquivo de log, inspecione a configuração do dispatcher em seu httpd.conf .

Restringir clientes que podem liberar seu cache

Habilitar HTTPS para segurança de camada de transporte

A Adobe recomenda ativar a camada de transporte HTTPS nas instâncias de autor e publicação.

Restringir acesso

Ao configurar o Dispatcher, você deve restringir o acesso externo ao máximo possível. Consulte Exemplo/seção de filtro na documentação do Dispatcher.

Verifique se o acesso aos URLs administrativos foi negado

Certifique-se de usar filtros para bloquear o acesso externo a quaisquer URLs administrativos, como o Console da Web.
Consulte Testando o Dispatcher Security para obter uma lista de URLs que precisam ser bloqueados.

Usar Listas De Permissões Em Vez De Listas De Bloqueios

As listas de permissão são uma maneira melhor de fornecer controles de acesso, pois, por natureza, elas assumem que todas as solicitações de acesso devem ser negadas, a menos que sejam explicitamente parte da lista de permissões. Este modelo proporciona um controle mais restritivo sobre novas solicitações que podem não ter sido ainda revisadas ou consideradas durante uma determinada fase de configuração.

Execute o Dispatcher com um usuário de sistema dedicado

Ao configurar o Dispatcher, você deve garantir que o servidor da Web seja executado por um usuário dedicado com menos privilégios. É recomendável conceder acesso de gravação somente à pasta de cache do dispatcher.
Além disso, os usuários do IIS precisam configurar seu site da seguinte maneira:
  1. Na configuração de caminho físico do site, selecione Connect como usuário específico.
  2. Defina o usuário.

Impedir ataques de negação de serviço (DoS)

Um ataque de negação de serviço (DoS) é uma tentativa de tornar um recurso de computador indisponível para os usuários pretendidos.
No nível do dispatcher, há dois métodos de configuração para evitar ataques de DoS: filter
  • Use o módulo mod_rewrite (por exemplo, Apache 2.4 ) para executar validações de URL (se as regras de padrão de URL não forem muito complexas).
  • Evite que o dispatcher armazene URLs em cache com extensões espúrias usando filtros . Por exemplo, altere as regras de cache para limitar o armazenamento em cache aos tipos MIME esperados, como:
    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt
    Um arquivo de configuração de exemplo pode ser visto para restringir o acesso externo, o que inclui restrições para tipos mime.
Para habilitar com segurança a funcionalidade completa nas instâncias de publicação, configure os filtros para impedir o acesso aos seguintes nós:
  • /etc/
  • /libs/
Em seguida, configure os filtros para permitir o acesso aos seguintes caminhos de nó:
  • /etc/designs/*
  • /etc/clientlibs/*
  • /etc/segmentation.segment.js
  • /libs/cq/personalization/components/clickstreamcloud/content/config.json
  • /libs/wcm/stats/tracker.js
  • /libs/cq/personalization/* (JS, CSS e JSON)
  • /libs/cq/security/userinfo.json (Informações do usuário do CQ)
  • /libs/granite/security/currentuser.json ( os dados não devem ser armazenados em cache )
  • /libs/cq/i18n/* (Internalização)

Configure Dispatcher to prevent CSRF Attacks

O AEM fornece uma estrutura destinada a impedir ataques de falsificação de solicitações entre sites. Para utilizar adequadamente essa estrutura, é necessário permitir o suporte ao token CSRF no dispatcher. Você pode fazer isso:
  1. Criação de um filtro para permitir o /libs/granite/csrf/token.json caminho;
  2. Adicione o CSRF-Token cabeçalho à clientheaders seção da configuração do Dispatcher.

Impedir Clickjacking

Para evitar o clickjacking, recomendamos que você configure o servidor Web para fornecer o cabeçalho X-FRAME-OPTIONS HTTP definido como SAMEORIGIN .

Execute um teste de penetração

A Adobe recomenda executar um teste de penetração da sua infraestrutura do AEM antes de continuar a produção.