- Panoramica
- Guida introduttiva
- Configurazione
- Configurazione di Dispatcher
- Annullamento della validità delle pagine in cache da AEM
- Ottimizzazione delle prestazioni della cache di un sito web
- Caching di contenuto protetto
- Utilizzo di Dispatcher con più domini
- Utilizzo di SSL con Dispatcher
- Configurazione di Dispatcher per impedire attacchi CSRF
- Risoluzione dei problemi
Elenco di controllo della sicurezza di Dispatcher
Adobe consiglia vivamente di completare la seguente lista di controllo prima di iniziare la produzione.
È inoltre necessario completare l'elenco di controllo di sicurezza della versione di AEM prima di iniziare a vivere. Fare riferimento alla documentazione Adobe Experience Manager corrispondente.
Usa la versione più recente del dispatcher
Installate la versione più recente disponibile disponibile per la piattaforma in uso. Devi aggiornare l'istanza del dispatcher per utilizzare la versione più recente per sfruttare i miglioramenti apportati a livello di prodotti e sicurezza. Vedere Installazione del dispatcher.
È possibile controllare la versione corrente dell'installazione del dispatcher esaminando il file di registro del dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Per trovare il file di registro, ispezionare la configurazione del dispatcher nella cartella httpd.conf.
Limita client in grado di cancellare la cache
Adobe consiglia di limitare i client che possono cancellare la cache.
Abilita HTTPS per la sicurezza del livello di trasporto
Adobe consiglia di abilitare il livello di trasporto HTTPS sia per le istanze di creazione che per quelle di pubblicazione.
Limita accesso
Durante la configurazione del dispatcher è necessario limitare il più possibile l'accesso esterno. Vedere Esempio /filter Section nella documentazione del dispatcher.
Assicurarsi che l'accesso agli URL amministrativi sia negato
Accertatevi di utilizzare i filtri per bloccare l'accesso esterno a qualsiasi URL amministrativo, come la console Web.
Per un elenco degli URL da bloccare, consultate Verifica della protezione del dispatcher.
Utilizzare Inseriti nell'elenco Consentiti invece di Inseriti nell'elenco Bloccati
Inseriti nell'elenco Consentiti sono un modo migliore per fornire il controllo dell'accesso, poiché di per sé, presuppongono che tutte le richieste di accesso debbano essere negate a meno che non facciano parte esplicitamente del inserire nell'elenco Consentiti . Questo modello offre un controllo più restrittivo sulle nuove richieste che potrebbero non essere state ancora esaminate o prese in considerazione durante una determinata fase di configurazione.
Eseguire il dispatcher con un utente di sistema dedicato
Durante la configurazione del dispatcher, accertatevi che il server Web sia eseguito da un utente dedicato con meno privilegi. Si consiglia di concedere l’accesso in scrittura solo alla cartella della cache del dispatcher.
Inoltre, gli utenti IIS devono configurare il proprio sito Web come segue:
- Nell'impostazione del percorso fisico per il sito Web, selezionare Connetti come utente specifico.
- Impostate l’utente.
Impedire attacchi Denial of Service (DoS)
Un attacco Denial of Service (DoS) è un tentativo di rendere una risorsa computer non disponibile agli utenti previsti.
A livello di dispatcher, sono disponibili due metodi di configurazione per prevenire attacchi DoS:
-
Utilizzate il modulo mod_rewrite (ad esempio, Apache 2.4) per eseguire convalide URL (se le regole del pattern URL non sono troppo complesse).
-
Impedisci al dispatcher di memorizzare nella cache gli URL con estensioni spurie utilizzando filtri.
Ad esempio, modificate le regole di caching per limitare il caching ai tipi mime previsti, ad esempio:.html.jpg.gif.swf.js.doc.pdf.ppt
Un file di configurazione di esempio può essere visualizzato per limitare l'accesso esterno, che include restrizioni per i tipi mime.
Per abilitare tutte le funzionalità nelle istanze di pubblicazione, configurate i filtri in modo da impedire l’accesso ai seguenti nodi:
/etc//libs/
Quindi configurate i filtri per consentire l'accesso ai seguenti percorsi dei nodi:
-
/etc/designs/* -
/etc/clientlibs/* -
/etc/segmentation.segment.js -
/libs/cq/personalization/components/clickstreamcloud/content/config.json -
/libs/wcm/stats/tracker.js -
/libs/cq/personalization/*(JS, CSS e JSON) -
/libs/cq/security/userinfo.json(informazioni utente CQ) -
/libs/granite/security/currentuser.json(i dati non devono essere memorizzati nella cache) -
/libs/cq/i18n/*(Internalizzazione)
Configurare il dispatcher per impedire attacchi CSRF
AEM fornisce un framework volto a prevenire attacchi di contraffazione delle richieste tra siti. Per utilizzare correttamente questo framework, è necessario inserire nell'elenco Consentiti supporto token CSRF nel dispatcher. È possibile eseguire questa operazione tramite:
- creazione di un filtro per consentire il percorso
/libs/granite/csrf/token.json; - Aggiungete l'intestazione
CSRF-Tokenalla sezioneclientheadersdella configurazione del dispatcher.
Impedisci il clickjacking
Per evitare il clickjacking, si consiglia di configurare il server Web in modo che fornisca l'intestazione HTTP X-FRAME-OPTIONS impostata su SAMEORIGIN.
Per ulteriori informazioni sul clickjacking, vedere il sito OWASP.
Eseguire un test di penetrazione
Adobe consiglia vivamente di eseguire un test di penetrazione dell'infrastruttura AEM prima di continuare la produzione.
Risorse su adobe.com
Riferimenti
Account Adobe
