Dispatcher 安全性檢查清單 the-dispatcher-security-checklist

Adobe 極力建議您在進入生產階段前完成以下檢查清單。

CAUTION
您也必須在上線之前完成您的 AEM 版本的安全性檢查清單。請參閱相應的 Adobe Experience Manager 文件

使用最新版的 Dispatcher use-the-latest-version-of-dispatcher

您應該安裝您的平台適用的最新可用版本。 您應該升級 Dispatcher 執行個體來使用最新版,以充分利用產品和安全性增強功能。 請參閱安裝 Dispatcher

NOTE
您可以查看 Dispatcher 記錄檔來檢查 Dispatcher 安裝的最新版本。
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
若要尋找記錄檔,請在 httpd.conf 中檢查 Dispatcher 設定。

限制可以清除您的快取的用戶端 restrict-clients-that-can-flush-your-cache

Adobe 建議您最好限制可以清除您的快取的用戶端。

啟用 HTTPS 以提供傳輸層安全性 enable-https-for-transport-layer-security

Adobe 建議您在編寫和發佈執行個體上啟用 HTTPS 傳輸層安全性。

限制存取 restrict-access

當您設定 Dispatcher 時,應該盡可能限制外部存取。 請參閱 Dispatcher 文件中的範例 /filter 區段

確保對管理 URL 的存取權已被拒絕 make-sure-access-to-administrative-urls-is-denied

務必使用篩選條件來封鎖對任何管理 URL (例如網頁主控台) 的外部存取。

如需需要封鎖的 URL 清單,請參閱測試 Dispatcher 安全性

使用允許清單而非封鎖清單 use-allowlists-instead-of-blocklists

允許清單是提供存取控制的較佳方式,因為其原本就會假定所有存取請求都應該被拒絕,除非這些請求被明確列為允許清單的一部分。 此模型對可能尚未審查或在特定設定階段被列入考量的新請求提供較嚴格的控管。

透過專用系統使用者執行 Dispatcher run-dispatcher-with-a-dedicated-system-user

在設定 Dispatcher 時,您應該確保網頁伺服器是由具備最低權限的專用使用者所執行。 建議您最好只授與對 Dispatcher 快取資料夾的寫入權限。

另外,IIS 使用者需要依照如下的方式設定其網站:

  1. 在您網站的實體路徑設定中,請選取​ 以特定使用者身分連線
  2. 設定使用者。

避免阻斷服務 (DoS) 攻擊 prevent-denial-of-service-dos-attacks

阻斷服務 (DoS) 攻擊指的是嘗試讓電腦資源無法提供給其目標使用者使用。

在 Dispatcher 層級,有兩個設定方法可避免 DoS 攻擊:

  • 使用 mod_rewrite 模組 (例如 Apache 2.4) 執行 URL 驗證 (如果 URL 模式規則不是太複雜)。

  • 使用篩選條件避免 Dispatcher 快取帶有虛假副檔名的 URL。
    例如,變更快取規則,將快取限制為預期的 mime 類型,例如:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    可以看到用來限制外部存取的設定檔範例,這包括 mime 類型的限制。

若要安全地在發佈執行個體上啟用完整功能,請設定篩選條件來避免存取以下節點:

  • /etc/
  • /libs/

然後設定篩選條件來允許存取以下節點路徑:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS、CSS 和 JSON)

  • /libs/cq/security/userinfo.json (CQ 使用者資訊)

  • /libs/granite/security/currentuser.json (資料不得快取)

  • /libs/cq/i18n/* (內部化)

設定 Dispatcher 以避免 CSRF 攻擊 configure-dispatcher-to-prevent-csrf-attacks

AEM 提供了旨在避免跨網站請求偽造攻擊的架構。 為了適當地利用此架構,您在 Dispatcher 中需要允許清單 CSRF 權杖支援。 您可以透過以下方式達成此目的:

  1. 建立篩選條件以允許 /libs/granite/csrf/token.json 路徑;
  2. CSRF-Token 標頭新增到 Dispatcher 設定的 clientheaders 區段。

避免點擊劫持 prevent-clickjacking

若要避免點擊劫持,建議您設定網頁伺服器,以提供設為 SAMEORIGINX-FRAME-OPTIONS HTTP 標頭。

如需點擊劫持的詳細資訊,請查看 OWASP 網站

執行滲透測試 perform-a-penetration-test

Adobe 極力建議您在進入生產階段前執行 AEM 基礎結構的滲透測試。

recommendation-more-help
ce382601-480f-4a99-8be7-73178d4b6ef5