Restricción del acceso
Obtenga información sobre cómo restringir el acceso bloqueando solicitudes específicas mediante reglas de filtro de tráfico en AEM as a Cloud Service.
Este tutorial muestra cómo bloquear solicitudes a rutas internas desde IP públicas en el servicio de AEM Publish.
Por qué y cuándo bloquear solicitudes
El bloqueo del tráfico ayuda a aplicar políticas de seguridad de la organización al impedir el acceso a recursos o direcciones URL confidenciales en determinadas condiciones. En comparación con el registro, el bloqueo es una acción más estricta y debe utilizarse cuando esté seguro de que el tráfico procedente de fuentes específicas no está autorizado o no es deseado.
Los escenarios comunes en los que el bloqueo es apropiado incluyen:
- Restringir el acceso a páginas
internal
oconfidential
solo a intervalos de IP internos (por ejemplo, detrás de una VPN corporativa). - Bloquear el tráfico de bots, los analizadores automatizados o los actores de amenazas identificados por IP o la geolocalización.
- Impedir el acceso a puntos finales obsoletos o no seguros durante las migraciones por fases.
- Limitar el acceso a las herramientas de creación o a las rutas de administración en los niveles de publicación.
Requisitos previos
Antes de continuar, asegúrese de completar la configuración necesaria tal como se describe en el tutorial Cómo configurar el filtro de tráfico y las reglas WAF. Además, ha clonado e implementado el proyecto de AEM WKND Sites en su entorno de AEM.
Ejemplo: bloquear rutas internas de direcciones IP públicas
En este ejemplo, se configura una regla para bloquear el acceso externo a una página WKND interna, como https://publish-pXXXX-eYYYY.adobeaemcloud.com/content/wknd/internal/demo-page.html
, desde direcciones IP públicas. Solo los usuarios dentro de un rango de IP de confianza (como una VPN corporativa) pueden acceder a esta página.
Puede crear su propia página interna (por ejemplo, demo-page.html
) o usar el paquete adjunto.
- Añada la siguiente regla al archivo
/config/cdn.yaml
del proyecto WKND.
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev", "stage", "prod"]
data:
trafficFilters:
rules:
# Block requests to (demo) internal only page/s from public IP address but allow from internal IP address.
# Make sure to replace the IP address with your own IP address.
- name: block-internal-paths
when:
allOf:
- reqProperty: path
matches: /content/wknd/internal
- reqProperty: clientIp
notIn: [192.150.10.0/24]
action: block
-
Confirme e inserte los cambios en el repositorio de Git de Cloud Manager.
-
Implemente los cambios en el entorno de AEM mediante la canalización de configuración de Cloud Manager creada anteriormente.
-
Pruebe la regla accediendo a la página interna del sitio WKND, por ejemplo
https://publish-pXXXX-eYYYY.adobeaemcloud.com/content/wknd/internal/demo-page.html
o utilizando el siguiente comando CURL:code language-bash $ curl -I https://publish-pXXXX-eYYYY.adobeaemcloud.com/content/wknd/internal/demo-page.html
-
Repita el paso anterior desde la dirección IP que utilizó en la regla y luego desde una dirección IP diferente (por ejemplo, usando su teléfono móvil).
Análisis
Para analizar los resultados de la regla block-internal-paths
, siga los mismos pasos que se describen en el ejemplo anterior.
Debería ver las solicitudes bloqueadas y los valores correspondientes en las columnas IP del cliente (cli_ip), host, URL, acción (waf_action) y nombre de regla (waf_match).