Adobe consiglia vivamente di completare il seguente elenco di controllo prima di procedere alla produzione.
Devi anche completare l’elenco di controllo della sicurezza della tua versione di AEM prima di andare “live”. Fare riferimento alla corrispondente documentazione di Adobe Experience Manager.
Installa la versione più recente disponibile per la piattaforma. Aggiorna l’istanza di Dispatcher per utilizzare la versione più recente e usufruire dei miglioramenti apportati al prodotto e alla sicurezza. Vedi Installazione di Dispatcher.
Nel file di registro di Dispatcher, puoi verificare l’attuale versione di Dispatcher installata.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Per trovare il file di registro, controlla la configurazione di Dispatcher in httpd.conf
.
Adobe consiglia di limitare il numero dei client che possono eseguire il flushing della cache.
Adobe consiglia di abilitare il livello di trasporto HTTPS sia sulle istanze Autore che Publish.
Quando configuri Dispatcher, devi limitare il più possibile l’accesso esterno. Vedi Esempio di sezione /filter nella documentazione di Dispatcher.
Utilizza i filtri per bloccare l’accesso esterno a qualsiasi URL amministrativo, ad esempio alla console Web.
Per un elenco degli URL da bloccare, vedi Verifica della sicurezza di Dispatcher.
Gli elenchi Consentiti permettono un migliore controllo degli accessi, in quanto presuppongono che tutte le richieste di accesso debbano essere negate, a meno che non facciano parte esplicitamente dell’elenco Consentiti. Questo modello offre un controllo più restrittivo sulle nuove richieste che potrebbero non essere state ancora esaminate o prese in considerazione durante una determinata fase della configurazione.
Quando configuri il Dispatcher, accertati che il server web sia eseguito da un utente dedicato con privilegi minimi. Si consiglia di concedere l’accesso in scrittura solo alla cartella della cache di Dispatcher.
Inoltre, gli utenti IIS devono configurare il proprio sito web come segue:
Un attacco Denial of Service (DoS) è un tentativo di rendere la risorsa di un computer indisponibile per gli utenti a cui è destinata.
A livello di Dispatcher, esistono due metodi di configurazione per evitare gli attacchi DoS:
Utilizza il modulo mod_rewrite (ad esempio, Apache 2.4) per eseguire le convalide degli URL (se le regole del modello URL non sono troppo complesse).
Impedisci a Dispatcher di memorizzare in cache gli URL con estensioni fittizie utilizzando dei filtri.
Ad esempio, modifica le regole di caching per limitare il caching ai tipi mime previsti, ad esempio:
.html
.jpg
.gif
.swf
.js
.doc
.pdf
.ppt
È possibile visualizzare un esempio di file di configurazione per limitare l’accesso esterno, che include limitazioni per i tipi mime.
Per abilitare in modo sicuro la funzionalità completa sulle istanze Publish, configura i filtri per impedire l’accesso ai seguenti nodi:
/etc/
/libs/
Quindi, configura i filtri per consentire l’accesso ai seguenti percorsi dei nodi:
/etc/designs/*
/etc/clientlibs/*
/etc/segmentation.segment.js
/libs/cq/personalization/components/clickstreamcloud/content/config.json
/libs/wcm/stats/tracker.js
/libs/cq/personalization/*
(JS, CSS e JSON)
/libs/cq/security/userinfo.json
(Informazioni utente CQ)
/libs/granite/security/currentuser.json
(i dati non devono essere memorizzati in cache)
/libs/cq/i18n/*
(Internalizzazione)
AEM fornisce un framework per prevenire gli attacchi di tipo Cross-Site Request Forgery. Per utilizzare correttamente questo framework, devi inserire nell’elenco Consentiti il supporto per i token CSRF in Dispatcher. Per farlo, segui questi passaggi:
/libs/granite/csrf/token.json
;CSRF-Token
alla sezione clientheaders
della configurazione di Dispatcher.Per prevenire il clickjacking, ti consigliamo di configurare il server web per fornire l’intestazione HTTP X-FRAME-OPTIONS
impostata su SAMEORIGIN
.
Per ulteriori informazioni sul clickjacking, vedi il sito OWASP.
Adobe consiglia vivamente di eseguire un test di penetrazione dell’infrastruttura AEM prima di procedere alla produzione.