Dispatcher 보안 검사 목록

Adobe은 프로덕션 시작 전에 다음 체크리스트를 완료하는 것이 좋습니다.

주의

라이브하려면 AEM 버전의 보안 체크리스트를 완료해야 합니다. 해당 Adobe Experience Manager 설명서를 참조하십시오.

최신 버전의 Dispatcher사용

사용 가능한 최신 버전을 플랫폼에 설치해야 합니다. 제품 및 보안 향상 기능을 이용하려면 Dispatcher 인스턴스를 업그레이드하여 최신 버전을 사용해야 합니다. Dispatcher 설치를 참조하십시오.

노트

디스패처 로그 파일을 보고 현재 버전의 디스패처 설치를 확인할 수 있습니다.

[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)

로그 파일을 찾으려면 httpd.conf에서 디스패처 구성을 검사합니다.

캐시를 플러시할 수 있는 클라이언트 제한

Adobe에서는 캐시를 플러시할 수 있는 클라이언트를 제한할 것을 권장합니다.

전송 레이어 보안에 대한 HTTPS 사용

작성자 및 게시 인스턴스 모두에서 HTTPS 전송 레이어를 활성화하는 것이 좋습니다.

액세스 제한

Dispatcher를 구성할 때는 외부 액세스를 가능한 한 많이 제한해야 합니다. Dispatcher 문서에서 Example /filter Section을 참조하십시오.

관리 URL에 대한 액세스가거부되었는지 확인합니다.

필터를 사용하여 웹 콘솔과 같은 모든 관리 URL에 대한 외부 액세스를 차단해야 합니다.

차단해야 하는 URL 목록은 Dispatcher Security 테스트를 참조하십시오.

차단 목록 대신 허용 목록 사용

허용 목록은 기본적으로 액세스 제어를 제공하는 더 나은 방법이므로, 모든 액세스 요청은 명시적으로에 속하지 않는 한 거부되어야 한다고 가정합니다허용 목록에 추가하다. 이 모델은 특정 구성 단계 동안 아직 검토되지 않았거나 고려하지 않았을 수 있는 새 요청에 대해 보다 제한적인 제어를 제공합니다.

전용 시스템 사용자로 Dispatcher 실행

Dispatcher를 구성할 때 권한이 거의 없는 전용 사용자가 웹 서버를 실행했는지 확인해야 합니다. 디스패처 캐시 폴더에 대한 쓰기 액세스 권한만 부여하는 것이 좋습니다.

또한 IIS 사용자는 다음과 같이 웹 사이트를 구성해야 합니다.

  1. 웹 사이트의 실제 경로 설정에서 특정 사용자로 연결​을 선택합니다.
  2. 사용자를 설정합니다.

서비스 거부(DoS) 공격 방지

서비스 거부(DoS) 공격은 컴퓨터 리소스를 의도한 사용자가 사용할 수 없도록 하려는 시도입니다.

발송자 수준에는 DoS 공격을 방지하기 위해 구성하는 두 가지 방법이 있습니다.

  • mod_rewrite 모듈(예: Apache 2.4)을 사용하여 URL 유효성 검사를 수행합니다(URL 패턴 규칙이 너무 복잡하지 않은 경우).

  • 디스패처가 filters를 사용하여 잘못된 확장명으로 URL을 캐싱하지 못하도록 합니다.
    예를 들어 캐시 규칙을 변경하여 다음 같은 예상 MIME 유형으로 캐시를 제한합니다.

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    외부 액세스를 제한하는 데 구성 파일의 예를 볼 수 있으며, 여기에는 MIME 유형에 대한 제한이 포함됩니다.

게시 인스턴스에서 전체 기능을 안전하게 활성화하려면 필터를 구성하여 다음 노드에 대한 액세스를 방지합니다.

  • /etc/
  • /libs/

그런 다음 필터를 구성하여 다음 노드 경로에 대한 액세스를 허용합니다.

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS 및 JSON)

  • /libs/cq/security/userinfo.json (CQ 사용자 정보)

  • /libs/granite/security/currentuser.json (데이터는 캐시될 수 없습니다)

  • /libs/cq/i18n/* (내부화)

CSRF 공격이되지 않도록 디스패처를 구성합니다.

AEM은 크로스 사이트 요청 위조 공격을 방지하기 위한 framework를 제공합니다. 이 프레임워크를 제대로 사용하려면 디스패처에서 허용 목록에 추가하다 CSRF 토큰 지원을 확인해야 합니다. 다음을 통해 이 작업을 수행할 수 있습니다.

  1. /libs/granite/csrf/token.json 경로를 허용하는 필터 만들기;
  2. CSRF-Token 헤더를 Dispatcher 구성의 clientheaders 섹션에 추가합니다.

클릭재킹 방지

클릭재킹을 방지하려면 X-FRAME-OPTIONS HTTP 헤더를 SAMEORIGIN로 설정하도록 웹 서버를 구성하는 것이 좋습니다.

클릭재킹에 대한 자세한 내용은 OWASP 사이트를 참조하십시오.

통과 테스트 수행

Adobe은 프로덕션 전 AEM 인프라에 대한 보급률 테스트를 수행하는 것이 좋습니다.

이 페이지에서는