Seguridad security

CAUTION
AEM 6.4 ha llegado al final de la compatibilidad ampliada y esta documentación ya no se actualiza. Para obtener más información, consulte nuestra períodos de asistencia técnica. Buscar las versiones compatibles here.

La seguridad de la aplicación se inicia durante la fase de desarrollo. Adobe recomienda aplicar las siguientes prácticas recomendadas de seguridad.

Usar sesión de solicitud use-request-session

Siguiendo el principio de menor privilegio, Adobe recomienda que cada acceso al repositorio se realice utilizando la sesión enlazada a la solicitud del usuario y el control de acceso adecuado.

Protect contra scripts en sitios múltiples (XSS) protect-against-cross-site-scripting-xss

La ejecución de scripts en sitios múltiples (XSS) permite a los atacantes insertar código en páginas web vistas por otros usuarios. Esta vulnerabilidad de seguridad puede ser explotada por usuarios web malintencionados para evitar los controles de acceso.

AEM aplica el principio de filtrado de todo el contenido proporcionado por el usuario en la salida. La prevención de XSS tiene la prioridad más alta durante el desarrollo y las pruebas.

El mecanismo de protección XSS proporcionado por AEM se basa en la variable Biblioteca Java AntiSamy proporcionado por OWASP (El proyecto de seguridad de la aplicación web abierta). La configuración predeterminada de AntiSamy se encuentra en

/libs/cq/xssprotection/config.xml

Es importante que adapte esta configuración a sus propias necesidades de seguridad superponiendo el archivo de configuración. El oficial Documentación AntiSamy le proporcionará toda la información que necesite para implementar sus requisitos de seguridad.

NOTE
Le recomendamos encarecidamente que siempre acceda a la API de protección XSS utilizando la variable XSSAPI proporcionado por AEM.

Además, un cortafuegos de la aplicación web, como mod_security para Apache, puede proporcionar un control central fiable sobre la seguridad del entorno de implementación y protegerse contra ataques de scripts entre sitios no detectados anteriormente.

Acceso a la información del Cloud Service access-to-cloud-service-information

NOTE
Las ACL para la información del Cloud Service, así como la configuración OSGi necesaria para proteger su instancia, están automatizadas como parte del Modo listo para la producción. Aunque esto significa que no necesita realizar los cambios de configuración manualmente, se recomienda revisarlos antes de publicarlos con la implementación.

Cuando integrar la instancia de AEM con Adobe Marketing Cloud utilice configuraciones del Cloud Service. La información sobre estas configuraciones, junto con las estadísticas recopiladas, se almacenan en el repositorio. Le recomendamos que, si utiliza esta funcionalidad, revise si la seguridad predeterminada de esta información coincide con sus necesidades.

El módulo webservicesupport escribe estadísticas e información de configuración en:

/etc/cloudservices

Con los permisos predeterminados:

  • Entorno de creación: read para contributors

  • Entorno de publicación: read para everyone

Protect contra ataques de falsificación de solicitudes entre sitios protect-against-cross-site-request-forgery-attacks

Para obtener más información sobre los mecanismos de seguridad que AEM emplea para mitigar los ataques de CSRF, consulte la Filtro de referente de Sling de la lista de comprobación de seguridad y la sección Documentación del marco de protección CSRF.

recommendation-more-help
2315f3f5-cb4a-4530-9999-30c8319c520e