Elenco di controllo della sicurezza di Dispatcher

Adobe consiglia vivamente di completare il seguente elenco di controllo prima di procedere alla produzione.

ATTENZIONE

Devi anche completare l’elenco di controllo della sicurezza della tua versione di AEM prima di andare “live”. Fare riferimento alla corrispondente documentazione di Adobe Experience Manager.

Utilizza la versione più recente di Dispatcher

Installa la versione più recente disponibile per la piattaforma. Aggiorna l’istanza di Dispatcher per utilizzare la versione più recente e usufruire dei miglioramenti apportati al prodotto e alla sicurezza. Vedi Installazione di Dispatcher.

NOTA

Nel file di registro di Dispatcher, puoi verificare l’attuale versione di Dispatcher installata.

[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)

Per trovare il file di registro, controlla la configurazione di Dispatcher in httpd.conf.

Limita il numero dei client che possono eseguire il flushing della cache

Adobe consiglia di limitare il numero dei client che possono eseguire il flushing della cache.

Abilita HTTPS per la sicurezza del livello di trasporto

Adobe consiglia di abilitare il livello di trasporto HTTPS sia sulle istanze Autore che Publish.

Limita l’accesso

Quando configuri Dispatcher, devi limitare il più possibile l’accesso esterno. Vedi Esempio di sezione /filter nella documentazione di Dispatcher.

Accertati che l’accesso agli URL amministrativi sia interdetto

Utilizza i filtri per bloccare l’accesso esterno a qualsiasi URL amministrativo, ad esempio alla console Web.

Per un elenco degli URL da bloccare, vedi Verifica della sicurezza di Dispatcher.

Utilizza gli elenchi Consentiti invece degli elenchi Bloccati

Gli elenchi Consentiti permettono un migliore controllo degli accessi, in quanto presuppongono che tutte le richieste di accesso debbano essere negate, a meno che non facciano parte esplicitamente dell’elenco Consentiti. Questo modello offre un controllo più restrittivo sulle nuove richieste che potrebbero non essere state ancora esaminate o prese in considerazione durante una determinata fase della configurazione.

Esegui Dispatcher con un utente di sistema dedicato

Quando configuri il Dispatcher, accertati che il server web sia eseguito da un utente dedicato con privilegi minimi. Si consiglia di concedere l’accesso in scrittura solo alla cartella della cache di Dispatcher.

Inoltre, gli utenti IIS devono configurare il proprio sito web come segue:

  1. Nell’impostazione del percorso fisico per il sito web, seleziona Connetti come utente specifico.
  2. Imposta l’utente.

Previeni gli attacchi Denial of Service (DoS)

Un attacco Denial of Service (DoS) è un tentativo di rendere la risorsa di un computer indisponibile per gli utenti a cui è destinata.

A livello di Dispatcher, esistono due metodi di configurazione per evitare gli attacchi DoS:

  • Utilizza il modulo mod_rewrite (ad esempio, Apache 2.4) per eseguire le convalide degli URL (se le regole del modello URL non sono troppo complesse).

  • Impedisci a Dispatcher di memorizzare in cache gli URL con estensioni fittizie utilizzando dei filtri.
    Ad esempio, modifica le regole di caching per limitare il caching ai tipi mime previsti, ad esempio:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    È possibile visualizzare un esempio di file di configurazione per limitare l’accesso esterno, che include limitazioni per i tipi mime.

Per abilitare in modo sicuro la funzionalità completa sulle istanze Publish, configura i filtri per impedire l’accesso ai seguenti nodi:

  • /etc/
  • /libs/

Quindi, configura i filtri per consentire l’accesso ai seguenti percorsi dei nodi:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS e JSON)

  • /libs/cq/security/userinfo.json (Informazioni utente CQ)

  • /libs/granite/security/currentuser.json (i dati non devono essere memorizzati in cache)

  • /libs/cq/i18n/* (Internalizzazione)

Configura Dispatcher per impedire gli attacchi CSRF

AEM fornisce un framework per prevenire gli attacchi di tipo Cross-Site Request Forgery. Per utilizzare correttamente questo framework, devi inserire nell’elenco Consentiti il supporto per i token CSRF in Dispatcher. Per farlo, segui questi passaggi:

  1. Crea un filtro per consentire il percorso /libs/granite/csrf/token.json;
  2. Aggiungi l’intestazione CSRF-Token alla sezione clientheaders della configurazione di Dispatcher.

Previeni il clickjacking

Per prevenire il clickjacking, ti consigliamo di configurare il server web per fornire l’intestazione HTTP X-FRAME-OPTIONS impostata su SAMEORIGIN.

Per ulteriori informazioni sul clickjacking, vedi il sito OWASP.

Esegui un test di penetrazione

Adobe consiglia vivamente di eseguire un test di penetrazione dell’infrastruttura AEM prima di procedere alla produzione.

In questa pagina