Lista de verificação de segurança do Dispatcher

A Adobe recomenda concluir a seguinte lista de verificação antes de continuar a produção.

ATENÇÃO

Você também deve concluir a Lista de verificação de segurança da sua versão do AEM antes de entrar em atividade. Consulte a documentação do Adobe Experience Manager correspondente.

Usar a versão mais recente do Dispatcher

Você deve instalar a versão mais recente disponível para a sua plataforma. Atualize a instância do Dispatcher para usar a versão mais recente e assim aproveitar os aprimoramentos de produto e segurança. Consulte Instalação do Dispatcher.

OBSERVAÇÃO

Você pode verificar a versão atual de instalação do Dispatcher observando o arquivo de log do dispatcher.

[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)

Para localizar o arquivo de log, inspecione a configuração do dispatcher no httpd.conf.

Restringir clientes que podem liberar seu cache

A Adobe recomenda que você limite os clientes que possam liberar seu cache.

Ativar HTTPS para segurança da camada de transporte

A Adobe recomenda ativar a camada de transporte HTTPS nas instâncias de autor e publicação.

Restringir acesso

Ao configurar o Dispatcher, você deve restringir o acesso externo o máximo possível. Consulte Seção de Exemplo /filtro na documentação do Dispatcher.

Verificar se o acesso a URLs administrativos é negado

Use filtros para bloquear o acesso externo a URLs administrativos, como o Console da Web.

Consulte Teste de segurança do Dispatcher para obter uma lista de URLs que precisam ser bloqueados.

Uso de listas de permissões em vez de lista de bloqueios

Listas de permissões são uma maneira melhor de fornecer controle de acesso, pois, por natureza, elas pressupõem que todas as solicitações de acesso devem ser negadas, a menos que façam parte explicitamente da lista de permissões. Esse modelo oferece controle mais restritivo sobre novas solicitações que podem ainda não ter sido revisadas ou consideradas durante uma determinada etapa de configuração.

Execução do Dispatcher com um usuário do sistema dedicado

Ao configurar o Dispatcher, você deve garantir que o servidor Web seja executado por um usuário dedicado com menos privilégios. É recomendável conceder acesso de gravação somente à pasta de cache do Dispatcher.

Além disso, os usuários do IIS precisam configurar seu site da seguinte maneira:

  1. Na configuração do caminho físico para o seu site, selecione Conectar como usuário específico.
  2. Defina o usuário.

Evitar ataques de negação de serviço (DoS)

Um ataque de negação de serviço (DoS) é uma tentativa de tornar um recurso de computador indisponível para os usuários desejados.

No nível do dispatcher, há dois métodos de configuração para evitar ataques de DoS:

  • Use o módulo mod_rewrite (por exemplo, Apache 2.4) para executar validações de URL (se as regras do padrão de URL não forem muito complexas).

  • Evite que o dispatcher armazene URLs em cache com extensões falsas usando filtros.
    Por exemplo, altere as regras de armazenamento em cache para limitá-lo aos tipos MIME esperados, como:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    Um exemplo de arquivo de configuração pode ser visto para restringir o acesso externo, isso inclui restrições para tipos MIME.

Para ativar com segurança a funcionalidade completa nas instâncias de publicação, configure filtros para impedir o acesso aos seguintes nós:

  • /etc/
  • /libs/

Em seguida, configure os filtros para permitir o acesso aos seguintes caminhos de nó:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS e JSON)

  • /libs/cq/security/userinfo.json (Informações ao usuário do CQ)

  • /libs/granite/security/currentuser.json (os dados não devem ser armazenados em cache)

  • /libs/cq/i18n/* (Internalização)

Configuração do Dispatcher para evitar ataques CSRF

O AEM fornece uma estrutura destinada a impedir ataques de falsificação de solicitação entre sites. Para fazer uso correto dessa estrutura, é necessário incluir na lista de permissões o suporte ao token CSRF no dispatcher. Você pode fazer isso ao:

  1. criar um filtro para permitir o caminho /libs/granite/csrf/token.json;
  2. adicionar o cabeçalho CSRF-Token à seção clientheaders da configuração do Dispatcher.

Prevenção contra clickjacking

Para evitar clickjacking, recomendamos que você configure seu servidor Web para fornecer o cabeçalho HTTP X-FRAME-OPTIONS definido como SAMEORIGIN.

Para obter mais informações sobre clickjacking, consulte o site OWASP.

Realização de teste de penetração

A Adobe recomenda realizar um teste de penetração na infraestrutura do seu AEM antes de continuar a produção.

Nesta página