Lista di controllo per sicurezza e privacy get-started-security-privacy
Questa sezione ti presenterà gli elementi chiave da verificare in materia di sicurezza e privacy. Alcune configurazioni possono essere eseguite solo da clienti on-premise.
Privacy
La configurazione e l’irrigidimento della privacy sono un elemento chiave dell’ottimizzazione della sicurezza. Di seguito sono riportate alcune best practice da seguire relative alla privacy:
- Protect le informazioni personali dei clienti utilizzando HTTPS anziché HTTP
- Utilizza la restrizione della visualizzazione PII per proteggere la privacy e impedire l’utilizzo improprio dei dati.
- Verificare che le password crittografate siano soggette a restrizioni.
- Protect le pagine che potrebbero contenere informazioni personali come pagine mirror, applicazioni web, ecc.
Gestione degli accessi
La gestione degli accessi è una parte importante della protezione avanzata. Di seguito sono riportate alcune delle best practice principali:
- Creare un numero sufficiente di gruppi di sicurezza
- Verifica che ogni operatore disponga dei diritti di accesso appropriati
- Evita di utilizzare l’operatore admin ed evita di avere troppi operatori nel gruppo admin
Linee guida per scripting e codifica
Durante lo sviluppo in Adobe Campaign (flussi di lavoro, JavaScript, JSSP, ecc.), segui sempre le seguenti linee guida:
-
Scripting: prova ad evitare le istruzioni SQL, utilizza funzioni con parametri invece della concatenazione di stringhe, evita SQL injection aggiungendo le funzioni SQL da utilizzare al inserisco nell'elenco Consentiti di.
-
Proteggere il modello dati: utilizzare diritti denominati per limitare le azioni dell’operatore, aggiungere filtri di sistema (sysFilter)
-
Aggiungere captchas nelle applicazioni web: scopri come aggiungere i captcha nelle pagine di destinazione e nelle pagine di abbonamento pubbliche.
Rete, database e SSL/TLS
Una cosa molto importante da controllare quando si distribuisce un tipo di architettura on-premise è la configurazione di rete.
È inoltre fondamentale seguire la protezione del motore di database.
Configurazione del server
La configurazione deve essere eseguita su tutti i server. I file di configurazione sono di tipo serverConf.xml e config-<instance>.xml
. Di seguito sono riportati gli elementi chiave da verificare:
-
Aree di protezione: configura le aree di sicurezza in modo che tengano direttamente conto degli indirizzi IP dei client di un proxy.
-
Protezione caricamento file: limita i tipi di file che possono essere caricati sul server Adobe Campaign utilizzando un nuovo attributo uploadAllowList. Può essere utilizzato nel file di configurazione del server.
-
Inoltro: regola accuratamente la configurazione dell’inoltro disattivando le regole di inoltro per moduli/applicazioni non utilizzati.
-
Protezione delle connessioni in uscita e Restrizione comando (lato server)
-
Puoi anche aggiungere altre intestazioni HTTP, attivare checkIPConsistent, enableTLS, sessionTimeOutSec, ecc. Consulta la sezione Documentazione sulla configurazione del server Campaign e Descrizione del file di configurazione del server per ulteriori informazioni.
Configurazione server web
Durante la configurazione del server web (Apache/IIS) è necessario seguire diverse best practice:
- Disattiva la versione SSL e le crittografie precedenti
- Rimuovere il metodo TRACE
- Rimuovi il banner
- Limita le dimensioni delle query per impedire il caricamento di file importanti