Lista de verificação de segurança do Dispatcher

A Adobe recomenda que você preencha a seguinte lista de verificação antes de continuar a produção.

CUIDADO

Você também deve preencher a Lista de verificação de segurança da sua versão do AEM antes de entrar em funcionamento. Consulte a documentação correspondente Adobe Experience Manager.

Usar a versão mais recente do Dispatcher

Instale a versão mais recente disponível para a sua plataforma. Você deve atualizar sua instância do Dispatcher para usar a versão mais recente para aproveitar as vantagens dos aprimoramentos de produtos e de segurança. Consulte Instalando o Dispatcher.

OBSERVAÇÃO

Você pode verificar a versão atual da instalação do dispatcher observando o arquivo de log do dispatcher.

[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)

Para localizar o arquivo de log, inspecione a configuração do dispatcher em seu httpd.conf.

Restringir clientes que podem liberar seu cache

O Adobe recomenda que você limite os clientes que podem liberar seu cache.

Habilitar HTTPS para segurança de camada de transporte

O Adobe recomenda ativar a camada de transporte HTTPS nas instâncias de autor e publicação.

Restringir acesso

Ao configurar o Dispatcher, você deve restringir o acesso externo o máximo possível. Consulte Exemplo /filter Section na documentação do Dispatcher.

Verifique se o acesso aos URLs administrativos foi negado

Certifique-se de usar filtros para bloquear o acesso externo a quaisquer URLs administrativos, como o Console da Web.

Consulte Testando o Dispatcher Security para obter uma lista de URLs que precisam ser bloqueados.

Usar Lista de permissões em vez de Listas de bloqueios

As Lista de permissões são uma maneira melhor de fornecer controle de acesso, pois, por natureza, assumem que todas as solicitações de acesso devem ser negadas, a menos que sejam explicitamente parte da lista de permissões. Este modelo proporciona um controle mais restritivo sobre novas solicitações que podem não ter sido ainda revisadas ou consideradas durante uma determinada fase de configuração.

Execute o Dispatcher com um Usuário Dedicado do Sistema

Ao configurar o Dispatcher, você deve garantir que o servidor da Web seja executado por um usuário dedicado com menos privilégios. É recomendável conceder acesso de gravação somente à pasta de cache do dispatcher.

Além disso, os usuários do IIS precisam configurar seu site da seguinte maneira:

  1. Na configuração do caminho físico do site, selecione Conectar como usuário específico.
  2. Defina o usuário.

Impedir ataques de negação de serviço (DoS)

Um ataque de negação de serviço (DoS) é uma tentativa de tornar um recurso de computador indisponível para os usuários pretendidos.

No nível do dispatcher, há dois métodos de configuração para evitar ataques de DoS:

  • Use o módulo mod_rewrite (por exemplo, Apache 2.4) para executar validações de URL (se as regras de padrão de URL não forem muito complexas).

  • Evite que o dispatcher armazene URLs em cache com extensões espúrias usando filtros.
    Por exemplo, altere as regras de cache para limitar o armazenamento em cache aos tipos MIME esperados, como:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    Um arquivo de configuração de exemplo pode ser visto para restringir o acesso externo, isso inclui restrições para tipos MIME.

Para habilitar com segurança a funcionalidade completa nas instâncias de publicação, configure os filtros para impedir o acesso aos seguintes nós:

  • /etc/
  • /libs/

Em seguida, configure os filtros para permitir o acesso aos seguintes caminhos de nó:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS e JSON)

  • /libs/cq/security/userinfo.json (Informações do usuário do CQ)

  • /libs/granite/security/currentuser.json (os dados não devem ser armazenados em cache)

  • /libs/cq/i18n/* (Internalização)

Configure o Dispatcher para impedir ataques CSRF

AEM fornece uma estrutura destinada a impedir ataques de Permissão de Solicitação entre Sites. Para utilizar adequadamente essa estrutura, é necessário lista de permissões o suporte a token CSRF no dispatcher. Você pode fazer isso:

  1. Criando um filtro para permitir o caminho /libs/granite/csrf/token.json;
  2. Adicione o cabeçalho CSRF-Token à seção clientheaders da configuração do Dispatcher.

Impedir que os cliques sejam ativados

Para evitar o clickjacking, recomendamos que você configure seu servidor Web para fornecer o cabeçalho HTTP X-FRAME-OPTIONS definido como SAMEORIGIN.

Para obter mais informações sobre clickjacking, consulte o site da OWASP.

Execute um teste de penetração

A Adobe recomenda que você realize um teste de penetração de sua infraestrutura AEM antes de entrar na produção.

Nesta página

Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now