서버 보안 설정

파일 업로드 보호

Campaign 클라이언트 콘솔 또는 웹 인터페이스를 사용하여 서버에 업로드하는 파일의 종류를 운영 사용자에게 확인합니다. 비즈니스 요구 사항은 다음과 같습니다.

  • 이미지(jpg, gif, png,…)
  • 컨텐츠(zip, html, css,…)
  • 마케팅 자산(doc, xls, pdf, psd, tiff,…)
  • 전자 메일 첨부 파일(문서, pdf,…)
  • ETL(텍스트, csv, 탭, …)
  • 등.

serverConf/shared/datastore/@uploadAllowlist(유효한 Java 정규 표현식)에 모두 추가합니다. 이 페이지에서 자세히 알아보십시오.

Adobe Campaign은 파일 크기를 제한하지 않습니다. 그러나 IIS/Apache를 구성하여 수행할 수 있습니다. 추가 정보 이 섹션.

릴레이

자세한 내용은 이 페이지 추가 정보.

기본적으로 모든 동적 페이지는 웹 모듈이 시작되는 시스템의 로컬 Tomcat 서버로 자동으로 전달됩니다. 일부는 중계하지 않도록 선택할 수 있습니다. 일부 Adobe Campaign 모듈(예: 웹 앱, 상호 작용, 일부 jsp)을 사용하지 않는 경우 릴레이 규칙에서 제거할 수 있습니다.

기본적으로 http(httpAllowed="true")를 사용하여 최종 사용자 리소스를 표시하는 기능을 강제로 수행했습니다. 이러한 페이지에는 일부 PII(예: 이메일 콘텐츠, 주소), 쿠폰 사용, 오퍼가 표시될 수 있으므로 이러한 경로에 대해 HTTPS를 다시 강제 적용해야 합니다.

다른 호스트 이름(public과 operator에 대해 하나씩)을 사용하는 경우 공개 DNS 이름으로 연산자가 필요로 하는 일부 리소스가 리디렉션되지 않도록 할 수도 있습니다.

발신 연결 보호

Campaign Classic 인스턴스에서 워크플로우 등의 JavaScript 코드를 통해 호출할 수 있는 URL의 기본 목록은 는 제한됩니다. 새 URL을 허용하려면 관리자가 serverConf.xml 파일.

다음 세 가지 연결 보호 모드가 있습니다.

  • 차단 : 에 속하지 않는 허용 목록에 추가하다 모든 URL이 차단되며 오류 메시지가 표시됩니다. 업그레이드 후 기본 모드입니다.
  • 허용 : 에 속하지 않는 모든 URL이 허용 목록에 추가하다 허용됩니다.
  • 경고 : 에 있는 모든 URL이 허용되지 허용 목록에 추가하다 않지만 JS 인터프리터가 경고를 표시하여 관리자가 수집할 수 있도록 합니다. 이 모드에서는 JST-310027 경고 메시지가 추가됩니다.
<urlPermission action="warn" debugTrace="true">
  <url dnsSuffix="abc.company1.com" urlRegEx=".*" />
  <url dnsSuffix="def.partnerA_company1.com" urlRegEx=".*" />
  <url dnsSuffix="xyz.partnerB_company1.com" urlRegEx=".*" />
</urlPermission>

새 클라이언트는 차단 모드를 사용합니다. 새 URL을 허용하려면 관리자에게 문의하여 URL을 페이지에 추가해야 허용 목록에 추가하다 합니다.

마이그레이션에서 오는 기존 고객은 당분간 경고 모드를 사용할 수 있습니다. 한편 URL을 인증하기 전에 아웃바운드 트래픽을 분석해야 합니다.

명령 제한(서버측)

여러 명령이 블랙리스트에 추가되어 execCommand 함수를 사용하여 실행할 수 없습니다. 외부 명령을 실행하기 위해 전용 Unix 사용자가 추가 보안을 제공합니다. 호스팅된 설치의 경우 이 제한이 자동으로 적용됩니다. 온-프레미스 설치의 경우 다음 지침에 따라 이 제한을 수동으로 설정할 수 있습니다. 이 페이지. 게다가, ScriptExternal task 워크플로우 활동을 사용할 수 없습니다(새로 설치된 인스턴스).

기타 구성

모든 페이지에 대해 추가 HTTP 헤더를 추가할 수 있습니다(자세한 내용은 이 페이지):

  • HSTS, X-FRAME-OPTIONS, CSP 등의 일부 추가 헤더를 추가할 수 있습니다.

  • 프로덕션 환경에 적용하기 전에 테스트 환경에서 테스트해야 합니다.

    중요

    Adobe Campaign은 특정 헤더를 추가하여 분리할 수 있습니다.

Adobe Campaign에서는 <dbcnx .../> 요소를 생성하지 않습니다. 이 기능은 사용하지 마십시오.

기본적으로 Adobe Campaign은 특정 IP에 세션을 고정하지 않지만, 세션을 활성화하여 세션이 도난되지 않도록 합니다. 이렇게 하려면 serverConf.xml 파일를 설정하고 checkIPConsistent 속성을 로 설정합니다. true 에서 <authentication> 노드 아래에 있어야 합니다.

기본적으로 Adobe Campaign의 MTA는 보안 연결을 사용하여 SMTP 서버로 컨텐츠를 전송하지 않습니다. 이 기능을 활성화해야 합니다(배달 속도를 줄일 수 있음). 이렇게 하려면 을(를) 설정합니다. enableTLS to true 에서 <smtp ...> 노드 아래에 있어야 합니다.

인증 노드(sessionTimeOutSec 특성)에서 세션 수명을 줄일 수 있습니다.

이 페이지에서는