DocumentaciónAEM 6.5Guía del usuario

Lista de comprobación de seguridad security-checklist

Last update: Mon Jul 15 2024 00:00:00 GMT+0000 (Coordinated Universal Time)
  • Temas:

Creado para:

  • Administrador
  • Desarrollador

AEM En esta sección se explican varios pasos que debe seguir para asegurarse de que la instalación de la sea segura cuando se implemente. La lista de comprobación debe aplicarse de arriba a abajo.

NOTE
También hay disponible más información sobre las amenazas de seguridad más peligrosas publicadas por Open Web Application Security Project (OWASP).
NOTE
Hay algunas consideraciones de seguridad adicionales aplicables en la fase de desarrollo.

Principales medidas de seguridad main-security-measures

AEM Ejecutar en modo listo para la producción run-aem-in-production-ready-mode

AEM Para obtener más información, vea Ejecutar el modo de ejecución preparado para la producción.

Habilite HTTPS para la seguridad de la capa de transporte enable-https-for-transport-layer-security

Habilitar la capa de transporte HTTPS en las instancias de autor y publicación es obligatorio para tener una instancia segura.

NOTE
Consulte la sección Habilitación de HTTP sobre SSL para obtener más información.

Instalar revisiones de seguridad install-security-hotfixes

Asegúrese de instalar las revisiones de seguridad más recientes proporcionadas por el Adobe.

AEM Cambiar contraseñas predeterminadas para las cuentas de administrador de la consola OSGi y de la change-default-passwords-for-the-aem-and-osgi-console-admin-accounts

Adobe AEM recomienda después de la instalación cambiar la contraseña de las cuentas con privilegios admin (en todas las instancias).

Estas cuentas incluyen:

  • AEM La cuenta de admin de la

    AEM Una vez que haya cambiado la contraseña de la cuenta de administrador de, utilice la nueva contraseña al acceder a CRX.

  • Contraseña admin para la consola web OSGi

    Este cambio también se aplica a la cuenta de administrador utilizada para acceder a la consola web, por lo que debe utilizar la misma contraseña al acceder a ella.

Estas dos cuentas utilizan credenciales independientes y tener una contraseña segura y distinta para cada una es vital para una implementación segura.

AEM Cambio de la contraseña de administrador de la changing-the-aem-admin-password

AEM La contraseña de la cuenta de administrador de la se puede cambiar a través de la consola Operaciones de Granite - Usuarios.

Aquí puede editar la cuenta de admin y cambiar la contraseña.

NOTE
Al cambiar la cuenta de administrador también se cambia la cuenta de la consola web de OSGi. Después de cambiar la cuenta de administrador, debe cambiar la cuenta OSGi a algo diferente.

Importancia de cambiar la contraseña de la consola web de OSGi importance-of-changing-the-osgi-web-console-password

AEM Además de la cuenta de admin de la, si no se cambia la contraseña predeterminada de la contraseña de la consola web de OSGi, es posible que:

  • Exposición del servidor con una contraseña predeterminada durante el inicio y el apagado (que puede tardar minutos en servidores grandes);
  • Exposición del servidor cuando el repositorio está inactivo/reiniciando el paquete: y OSGI se está ejecutando.

Para obtener más información sobre cómo cambiar la contraseña de la consola web, consulte Cambiar la contraseña de administrador de la consola web de OSGi a continuación.

Cambiar la contraseña de administrador de la consola web OSGi changing-the-osgi-web-console-admin-password

Cambie la contraseña utilizada para acceder a la consola web. Use una configuración de OSGI para actualizar las siguientes propiedades de la consola de administración de Apache Felix OSGi:

  • Nombre de usuario y Contraseña, las credenciales para acceder a la propia consola de administración web de Apache Felix.
    La contraseña debe cambiarse después de la instalación inicial para garantizar la seguridad de su instancia.
NOTE
Consulte Configuración de OSGI para obtener información detallada sobre cómo configurar OSGi.

Para cambiar la contraseña de administrador de la consola web de OSGi:

  1. Con el menú Herramientas, Operaciones, abra la consola web y vaya a la sección Configuración.
    Por ejemplo, en <server>:<port>/system/console/configMgr.

  2. Vaya a y abra la entrada de Apache Felix OSGi Management Console.

  3. Cambie nombre de usuario y contraseña.

    chlimage_1-3

  4. Seleccione Guardar.

Implementar controlador de error personalizado implement-custom-error-handler

El Adobe recomienda definir páginas de controladores de error personalizados, especialmente para los códigos de respuesta HTTP 404 y 500 para evitar la divulgación de información.

NOTE
Consulte Cómo puedo crear scripts personalizados o controladores de error para obtener más información.

Completar lista de comprobación de seguridad de Dispatcher complete-dispatcher-security-checklist

AEM Dispatcher es una parte esencial de su infraestructura. El Adobe recomienda completar la lista de comprobación de seguridad de Dispatcher.

CAUTION
Con Dispatcher, debe deshabilitar el selector ".form".

Pasos de verificación verification-steps

Configuración de la replicación y los usuarios de transporte configure-replication-and-transport-users

AEM Una instalación estándar de la cuenta de usuario especifica a admin como usuario para credenciales de transporte dentro de los agentes de replicación predeterminados. Además, el usuario administrador se utiliza para originar la replicación en el sistema de creación.

Por motivos de seguridad, ambos deben cambiarse para reflejar el caso de uso en cuestión, teniendo en cuenta los dos aspectos siguientes:

  • El usuario de transporte no debe ser el usuario administrador. En su lugar, configure un usuario en el sistema de publicación que solo tenga derechos de acceso a las partes relevantes del sistema de publicación y utilice las credenciales de ese usuario para el transporte.

    Puede comenzar desde el usuario receptor de replicación agrupado y configurar los derechos de acceso de este usuario para que coincidan con su situación

  • El usuario de replicación o Id. de usuario del agente tampoco debe ser el usuario administrador, sino un usuario que solo pueda ver el contenido replicado. El usuario de replicación se utiliza para recopilar el contenido que se va a replicar en el sistema de creación antes de enviarlo al editor.

Comprobar las comprobaciones de estado de seguridad del tablero de operaciones check-the-operations-dashboard-security-health-checks

AEM presenta el nuevo tablero de operaciones, destinado a ayudar a los operadores del sistema a solucionar problemas y a monitorizar el estado de una instancia.

El tablero también incluye una colección de comprobaciones de estado de seguridad. Se recomienda comprobar el estado de todas las comprobaciones de estado de seguridad antes de activar la instancia de producción. Para obtener más información, consulte la documentación del tablero de operaciones.

Comprobar si el contenido del ejemplo está presente check-if-example-content-is-present

Todo el contenido y los usuarios de ejemplo (por ejemplo, el proyecto de Geometrixx y sus componentes) deben desinstalarse y eliminarse por completo en un sistema productivo antes de hacerlo accesible públicamente.

NOTE
Las aplicaciones de muestra We.Retail se quitan si esta instancia se está ejecutando en Modo listo para la producción. Si no es así, puede desinstalar el contenido de ejemplo en el Administrador de paquetes, buscando y desinstalando todos los We.Retail paquetes.

Consulte Trabajar Con Paquetes.

Compruebe si los paquetes de desarrollo de CRX están presentes check-if-the-crx-development-bundles-are-present

Estos paquetes OSGi de desarrollo deben desinstalarse tanto en los sistemas productivos de creación como de publicación antes de hacerlos accesibles.

  • Compatibilidad con CRXDE de Adobe (com.adobe.granite.crxde-support)
  • Adobe Granite CRX Explorer (com.adobe.granite.crx-explorer)
  • Adobe CRXDE Lite de Granite (com.adobe.granite.crxde-lite)

Compruebe si el paquete de desarrollo de Sling está presente check-if-the-sling-development-bundle-is-present

AEM Las Herramientas para desarrolladores de implementan la instalación de compatibilidad con herramientas de Apache Sling (org.apache.sling.tooling.support.install).

Este paquete OSGi debe desinstalarse tanto en los sistemas productivos de creación como de publicación antes de hacerlos accesibles.

Protect contra la falsificación de solicitudes entre sitios protect-against-cross-site-request-forgery

El marco de protección CSRF the-csrf-protection-framework

AEM.1 incluye un mecanismo que ayuda a protegerse contra los ataques de falsificación de solicitud en sitios múltiples, denominado Marco de protección CSRF. Para obtener más información sobre cómo usarlo, consulte la documentación.

El filtro de referente de Sling the-sling-referrer-filter

Para solucionar problemas de seguridad conocidos con la falsificación de solicitudes entre sitios (CSRF) en CRX WebDAV y Apache Sling, agregue configuraciones para que el filtro Referente lo utilice.

El servicio de filtro de referente es un servicio OSGi que le permite configurar lo siguiente:

  • qué métodos http se deben filtrar

  • si se permite un encabezado de referente vacío

  • y una lista de servidores que se permitirán además del host de servidor.

    De forma predeterminada, todas las variaciones de localhost y los nombres de host actuales a los que está enlazado el servidor están en la lista.

Para configurar el servicio del filtro de referente:

  1. Abra la consola Apache Felix (Configuraciones) en:

    https://<server>:<port_number>/system/console/configMgr

  2. Inicie sesión como admin.

  3. En el menú Configuraciones, seleccione:

    Apache Sling Referrer Filter

  4. En el campo Allow Hosts, introduzca todos los hosts que pueden utilizarse como referente. Cada entrada debe tener el formato

    <protocol>://<server>:<port>

    Por ejemplo:

    • https://allowed.server:80 permite todas las solicitudes de este servidor con el puerto dado.
    • Si también desea permitir solicitudes https, debe introducir una segunda línea.
    • Si permite todos los puertos de ese servidor, puede usar 0 como número de puerto.

  5. Marque el campo Allow Empty si desea permitir encabezados de referente vacíos o que falten.

    note caution
    CAUTION
    El Adobe recomienda que proporcione un referente mientras utiliza herramientas de línea de comandos como cURL en lugar de permitir un valor vacío, ya que podría exponer el sistema a ataques de CSRF.

  6. Edite los métodos que utiliza este filtro para las comprobaciones con el campo Filter Methods.

  7. Haga clic en Guardar para guardar los cambios.

Configuración de OSGI osgi-settings

Algunos ajustes de OSGI están configurados de forma predeterminada para facilitar la depuración de la aplicación. Cambie esta configuración en las instancias productivas de publicación y autor para evitar que la información interna se filtre al público.

NOTE
Todas las configuraciones a continuación, excepto El filtro de depuración de CQ WCM diario, se cubren automáticamente en el Modo listo para la producción. Por lo tanto, Adobe recomienda revisar toda la configuración antes de implementar la instancia en un entorno productivo.

Se debe cambiar la configuración especificada para cada uno de los servicios siguientes:

Consulte Configuración de OSGi.

AEM Al trabajar con los servicios, existen varios métodos para administrar las opciones de configuración de dichos servicios; consulte Configuración de OSGi para obtener más información y las prácticas recomendadas.

Lecturas adicionales further-readings

Mitigar ataques de denegación de servicio (DoS) mitigate-denial-of-service-dos-attacks

Un ataque de denegación de servicio (DoS) es un intento de hacer que un recurso de equipo no esté disponible para los usuarios a los que va destinado. Este ataque se suele realizar sobrecargando el recurso; por ejemplo:

  • Una avalancha de solicitudes desde una fuente externa.

  • Una solicitud de más información de la que el sistema puede entregar correctamente.

    Por ejemplo, una representación JSON de todo el repositorio.

  • Al solicitar una página de contenido con un número ilimitado de URL, la URL puede incluir un identificador, algunos selectores, una extensión y un sufijo, cualquiera de los cuales se puede modificar.

    Por ejemplo, .../en.html también se puede solicitar como:

    • .../en.ExtensionDosAttack
    • .../en.SelectorDosAttack.html
    • .../en.html/SuffixDosAttack

    Dispatcher almacena en caché todas las variaciones válidas (por ejemplo, devuelve una respuesta 200 y están configuradas para almacenarse en caché), lo que finalmente genera un sistema de archivos completo y ningún servicio para solicitudes adicionales.

AEM Hay muchos puntos de configuración para prevenir tales ataques, pero solo se discuten aquellos puntos que se relacionan con los ataques de tipo de ataque de tipo de ataque de tipo de tipo de ataque de tipo de tipo de ataque de tipo de tipo de ataque de tipo de tipo de ataque de tipo de tipo de ataque de tipo de tipo de ataque de tipo de ataque.

Configurar Sling para evitar denegaciones de servicio

Sling está centrado en contenido. El procesamiento se centra en el contenido, ya que cada solicitud (HTTP) se asigna al contenido en forma de recurso JCR (un nodo de repositorio):

  • El primer destino es el recurso (nodo JCR) que contiene el contenido.
  • En segundo lugar, el procesador o script se encuentra en las propiedades del recurso con determinadas partes de la solicitud (por ejemplo, los selectores o la extensión).

Consulte Procesamiento de solicitudes Sling para obtener más información.

Este enfoque hace que Sling sea potente y flexible, pero como siempre, es la flexibilidad la que debe administrarse cuidadosamente.

Para ayudar a evitar el uso indebido de DoS, puede hacer lo siguiente:

  1. Incorporar controles en el nivel de aplicación. Debido al número de variaciones posibles, no es posible una configuración predeterminada.

    En la aplicación debe:

    • Controle los selectores de su aplicación, de modo que solo proporcione los selectores explícitos necesarios y devuelva 404 para todos los demás.
    • Impida la salida de un número ilimitado de nodos de contenido.

  2. Compruebe la configuración de los procesadores predeterminados, que pueden ser un área problemática.

    • En particular, el procesador JSON atraviesa la estructura de árbol en varios niveles.

      Por ejemplo, la solicitud:

      http://localhost:4502/.json

      podría volcar todo el repositorio en una representación JSON, lo que puede causar problemas significativos en el servidor. Por este motivo, Sling establece un límite en el número máximo de resultados. Para limitar la profundidad del procesamiento de JSON, establezca el valor para lo siguiente:

      Resultados máximos de JSON (json.maximumresults)

      GET en la configuración del Servlet Apache Sling. Cuando se supera este límite, la renderización se contrae. AEM El valor predeterminado de Sling en el espacio de trabajo es 1000.

    • Como medida preventiva, debe desactivar los demás procesadores predeterminados (HTML, texto sin formato, XML). De nuevo, configurando Apache Sling GET Servlet.

    note caution
    CAUTION
    AEM No deshabilite el procesador JSON porque es necesario para el funcionamiento normal de la interfaz de usuario de.

  3. Utilice un cortafuegos para filtrar el acceso a su instancia.

    • El uso de un cortafuegos a nivel de sistema operativo es necesario para filtrar el acceso a puntos de su instancia que puedan provocar ataques de denegación de servicio si se dejan sin protección.

Mitigar tareas de servicio causadas por el uso de selectores de formularios

NOTE
AEM Esta mitigación solo debe realizarse en entornos de que no utilicen Forms.

AEM déclencheur AEM Debido a que no proporciona índices predeterminados para el FormChooserServlet, el uso de selectores de formulario en las consultas puede provocar un costoso recorrido del repositorio, lo que generalmente interrumpe la instancia de. Los selectores de formularios se pueden detectar mediante la presencia de *.form.* cadena en consultas.

Para mitigar este problema, puede realizar los siguientes pasos:

  1. Vaya a la consola web y señale el explorador a https://<serveraddress>:<serverport>/system/console/configMgr

  2. Busque servlet de selector de formularios CQ WCM de día

  3. Después de hacer clic en la entrada, deshabilite Búsqueda avanzada requerida en la siguiente ventana.

  4. Haga clic en Guardar.

Mitigar denegaciones de servicio causadas por el servlet de descarga de recursos

El servlet de descarga de recursos predeterminado permite a los usuarios autenticados emitir solicitudes de descarga simultáneas, arbitrariamente grandes para crear archivos ZIP de recursos. La creación de archivos ZIP de gran tamaño puede sobrecargar el servidor y la red. Para mitigar un posible riesgo de denegación de servicio (DoS) causado por este comportamiento, el componente OSGi AssetDownloadServlet está deshabilitado de forma predeterminada en la instancia de publicación Experience Manager. Está habilitado en la instancia de autor Experience Manager de manera predeterminada.

Si no necesita la capacidad de descarga, deshabilite el servlet en las implementaciones de creación y publicación. Si su configuración requiere que la capacidad de descarga de recursos esté habilitada, consulte este artículo para obtener más información. Además, puede definir un límite máximo de descargas que sea compatible con la implementación.

Deshabilitar WebDAV disable-webdav

Deshabilite WebDAV en los entornos de creación y publicación deteniendo los paquetes OSGi adecuados.

  1. Conéctese a la Consola de administración Felix que se ejecuta en:

    https://<*host*>:<*port*>/system/console

    Por ejemplo, http://localhost:4503/system/console/bundles.

  2. En la lista de paquetes, busque el paquete denominado:

    Apache Sling Simple WebDAV Access to repositories (org.apache.sling.jcr.webdav)

  3. Para detener este paquete, en la columna Actions, haga clic en el botón stop.

  4. De nuevo, en la lista de paquetes, busque el paquete llamado:

    Apache Sling DavEx Access to repositories (org.apache.sling.jcr.davex)

  5. Para detener este paquete, haga clic en el botón Detener.

    note note
    NOTE
    AEM No es necesario reiniciar la.

Compruebe que no está revelando información de identificación personal en la ruta de inicio de los usuarios verify-that-you-are-not-disclosing-personally-identifiable-information-in-the-users-home-path

Es importante proteger a los usuarios asegurándose de que no expone ninguna información personal identificable en la ruta de inicio de los usuarios del repositorio.

AEM Desde la versión 6.1, la forma en que se almacenan los nombres de nodo de ID de usuario (también conocidos como autorizados) ha cambiado con una nueva implementación de la interfaz AuthorizableNodeName. La nueva interfaz ya no expone el ID de usuario en el nombre del nodo, sino que genera un nombre aleatorio.

AEM No se debe realizar ninguna configuración para habilitarla, ya que ahora es la forma predeterminada de generar ID autorizados en los informes de.

Aunque no se recomienda, puede deshabilitarla en caso de que necesite la implementación antigua para mantener la compatibilidad con las aplicaciones existentes. Para ello, debe hacer lo siguiente:

  1. Vaya a la consola web y elimine la entrada org​ .apache.jackrabbit.oak.security.user.RandomAuthorizableNodeName de la propiedad requiredServicePids en Apache Jackrabbit Oak SecurityProvider.

    También puede encontrar el proveedor de seguridad de Oak buscando el PID org.apache.jackrabbit.oak.security.internal.SecurityProviderRegistration en las configuraciones de OSGi.

  2. Elimine la configuración de Apache Jackrabbit Oak Random Authorizable Node Name OSGi de la consola web.

    Para facilitar la búsqueda, el PID de esta configuración es org.apache.jackrabbit.oak.security.user.RandomAuthorizableNodeName.

NOTE
Para obtener más información, consulte la documentación de Oak sobre Generación de nombres de nodos con autorización.

Paquete de protección de permisos anónimo anonymous-permission-hardening-package

AEM De forma predeterminada, el repositorio almacena metadatos del sistema, como jcr:createdBy o jcr:lastModifiedBy, como propiedades de nodo, junto al contenido normal. Según la configuración y la configuración de control de acceso, en algunos casos esto podría dar lugar a la exposición de información de identificación personal (PII), por ejemplo, cuando estos nodos se representan como JSON o XML sin procesar.

Al igual que todos los datos del repositorio, estas propiedades están mediados por la pila de autorización de Oak. El acceso a ellos debe restringirse de conformidad con el principio del menor privilegio.

Para admitir esto, Adobe proporciona un paquete de endurecimiento de permisos como base para que los clientes se basen en él. Funciona instalando una entrada de control de acceso "denegar" en la raíz del repositorio, restringiendo el acceso anónimo a las propiedades del sistema más utilizadas. AEM El paquete está disponible para su descarga aquí y se puede instalar en todas las versiones compatibles de la aplicación de forma rápida y sencilla.

Para ilustrar los cambios, podemos comparar las propiedades del nodo que se pueden ver de forma anónima antes de instalar el paquete:

Antes de instalar el paquete

con los que se pueden ver después de instalar el paquete, donde jcr:createdBy y jcr:lastModifiedBy no son visibles:

Después de instalar el paquete

Para obtener más información, consulte las notas de la versión del paquete.

Impedir el clickjacking prevent-clickjacking

Para evitar los ataques de clickjacking, Adobe recomienda que configure su servidor web para que proporcione el encabezado X-FRAME-OPTIONSHTTP establecido en SAMEORIGIN.

Para obtener más información sobre los ataques de clickjacking, consulte el sitio de OWASP.

Asegúrese De Replicar Correctamente Las Claves De Cifrado Cuando Sea Necesario make-sure-you-properly-replicate-encryption-keys-when-needed

AEM AEM Ciertas características y esquemas de autenticación requieren que se dupliquen las claves de cifrado en todas las instancias de la.

Antes de hacerlo, la replicación de claves se realiza de forma diferente entre versiones, ya que la forma en que se almacenan las claves es diferente entre 6.3 y versiones anteriores.

Consulte a continuación para obtener más información.

AEM Duplicación de claves para 6.3 replicating-keys-for-aem

AEM Mientras que en las versiones anteriores las claves de replicación se almacenaban en el repositorio, a partir de la versión 6.3 se almacenan en el sistema de archivos de.

Por lo tanto, para replicar las claves entre instancias, cópielas desde la instancia de origen a la ubicación de las instancias de destino en el sistema de archivos.

Más específicamente, debe hacer lo siguiente:

  1. AEM Acceda a la instancia de la (normalmente una instancia de autor) que contiene el material clave que se va a copiar.

  2. Busque el paquete com.adobe.granite.crypto.file en el sistema de archivos local. Por ejemplo, en esta ruta:

    • <author-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21

    El archivo bundle.info dentro de cada carpeta identifica el nombre del paquete.

  3. Vaya a la carpeta de datos. Por ejemplo:

    • <author-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21/data

  4. Copie los archivos HMAC y maestro.

  5. A continuación, vaya a la instancia de destino a la que desee duplicar la clave HMAC y vaya a la carpeta de datos. Por ejemplo:

    • <publish-aem-install-dir>/crx-quickstart/launchpad/felix/bundle21/data

  6. Pegue los dos archivos que ha copiado anteriormente.

  7. Actualice el paquete de cifrado si la instancia de destino ya se está ejecutando.

  8. Repita los pasos anteriores para todas las instancias en las que desee replicar la clave.

AEM Duplicación de claves para versiones anteriores y de la versión 6.2 de replicating-keys-for-aem-and-older-versions

AEM En la versión 6.2 y versiones anteriores, las claves se almacenan en el repositorio bajo el nodo /etc/key.

La manera recomendada de replicar de forma segura las claves en las instancias es replicar solo este nodo. Puede replicar nodos selectivamente mediante el CRXDE Lite:

  1. Abra el CRXDE Lite yendo a https://&lt;serveraddress&gt;:4502/crx/de/index.jsp
  2. Seleccione el nodo /etc/key.
  3. Vaya a la ficha Replicación.
  4. Presione el botón Replicación.

Realizar una prueba de penetración perform-a-penetration-test

Adobe AEM recomienda realizar una prueba de penetración de la infraestructura de su infraestructura de antes de continuar con la producción.

Prácticas recomendadas de desarrollo development-best-practices

AEM Es fundamental que los nuevos desarrolladores sigan las Prácticas recomendadas de seguridad para garantizar que su entorno permanezca seguro.

recommendation-more-help
19ffd973-7af2-44d0-84b5-d547b0dffee2