Lista de verificação de segurança do Dispatcher

A Adobe recomenda que você preencha a seguinte lista de verificação antes de continuar a produção.

CUIDADO

Você também deve preencher a Lista de verificação de segurança da sua versão do AEM antes de entrar em funcionamento. Consulte a documentação daAdobe Experience Manager correspondente.

Usar a versão mais recente do Dispatcher

Instale a versão mais recente disponível para a sua plataforma. Você deve atualizar sua instância do Dispatcher para usar a versão mais recente para aproveitar as vantagens dos aprimoramentos de produtos e de segurança. Consulte Instalação do Dispatcher.

Observação

Você pode verificar a versão atual da instalação do dispatcher observando o arquivo de log do dispatcher.

[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)

Para localizar o arquivo de log, inspecione a configuração do dispatcher em seu httpd.conf.

Restringir clientes que podem liberar seu cache

O Adobe recomenda que você limite os clientes que podem liberar seu cache.

Habilitar HTTPS para segurança de camada de transporte

O Adobe recomenda ativar a camada de transporte HTTPS nas instâncias de autor e publicação.

Restringir acesso

Ao configurar o Dispatcher, você deve restringir o acesso externo o máximo possível. Consulte Exemplo/seção de filtro na documentação do Dispatcher.

Verifique se o acesso aos URLs administrativos foi negado

Certifique-se de usar filtros para bloquear o acesso externo a quaisquer URLs administrativos, como o Console da Web.

Consulte Testando o Dispatcher Security para obter uma lista de URLs que precisam ser bloqueados.

Usar Lista de permissões Em Vez De Listas de bloqueios

As Lista de permissões são uma maneira melhor de fornecer controle de acesso, pois, por natureza, assumem que todas as solicitações de acesso devem ser negadas, a menos que sejam explicitamente parte da lista de permissões. Este modelo proporciona um controle mais restritivo sobre novas solicitações que podem não ter sido ainda revisadas ou consideradas durante uma determinada fase de configuração.

Execute o Dispatcher com um usuário de sistema dedicado

Ao configurar o Dispatcher, você deve garantir que o servidor da Web seja executado por um usuário dedicado com menos privilégios. É recomendável conceder acesso de gravação somente à pasta de cache do dispatcher.

Além disso, os usuários do IIS precisam configurar seu site da seguinte maneira:

  1. Na configuração de caminho físico do site, selecione Connect como usuário específico.
  2. Defina o usuário.

Impedir ataques de negação de serviço (DoS)

Um ataque de negação de serviço (DoS) é uma tentativa de tornar um recurso de computador indisponível para os usuários pretendidos.

No nível do dispatcher, há dois métodos de configuração para evitar ataques de DoS:

  • Use o módulo mod_rewrite (por exemplo, Apache 2.4) para executar validações de URL (se as regras de padrão de URL não forem muito complexas).

  • Evite que o dispatcher armazene URLs em cache com extensões espúrias usando filtros.
    Por exemplo, altere as regras de cache para limitar o armazenamento em cache aos tipos MIME esperados, como:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    Um arquivo de configuração de exemplo pode ser visto para restringir o acessoexterno, o que inclui restrições para tipos mime.

Para habilitar com segurança a funcionalidade completa nas instâncias de publicação, configure os filtros para impedir o acesso aos seguintes nós:

  • /etc/
  • /libs/

Em seguida, configure os filtros para permitir o acesso aos seguintes caminhos de nó:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS e JSON)

  • /libs/cq/security/userinfo.json (Informações do usuário do CQ)

  • /libs/granite/security/currentuser.json (os dados não devem ser armazenados em cache)

  • /libs/cq/i18n/* (Internalização)

Configure Dispatcher to prevent CSRF Attacks

AEM fornece uma estrutura destinada a prevenir ataques de falsificação de solicitações entre sites. Para utilizar adequadamente essa estrutura, é necessário lista de permissões o suporte a token CSRF no dispatcher. Você pode fazer isso:

  1. Criação de um filtro para permitir o /libs/granite/csrf/token.json caminho;
  2. Adicione o CSRF-Token cabeçalho à clientheaders seção da configuração do Dispatcher.

Impedir Clickjacking

Para evitar o clickjacking, recomendamos que você configure o servidor Web para fornecer o cabeçalho X-FRAME-OPTIONS HTTP definido como SAMEORIGIN.

Para obter mais informações sobre clickjacking, consulte o siteda OWASP.

Execute um teste de penetração

A Adobe recomenda que você realize um teste de penetração de sua infraestrutura AEM antes de entrar na produção.

Nesta página