[Requiere una licencia]{class="badge positive"}
Protección de sitios web de AEM mediante reglas WAF
Aprenda a proteger los sitios web de AEM frente a amenazas sofisticadas como DoS, DDoS y abusos de bots, mediante las reglas WAF (Web Application Firewall) recomendadas por Adobe en AEM as a Cloud Service.
Los sofisticados ataques se caracterizan por altas tasas de solicitud, patrones complejos y el uso de técnicas avanzadas para eludir las medidas de seguridad tradicionales.
Objetivos de aprendizaje
- Revise las reglas WAF recomendadas por Adobe.
- Defina, implemente, pruebe y analice los resultados de las reglas.
- Conozca cuándo y cómo perfeccionar las reglas en función de los resultados.
- Aprenda a utilizar el centro de acciones de AEM para revisar las alertas generadas por las reglas.
Información general sobre la implementación
Los pasos de implementación incluyen los siguientes:
- Añadir las reglas WAF al archivo
/config/cdn.yaml
del proyecto WKND de AEM. - Confirmar e insertar los cambios en el repositorio de Git de Cloud Manager.
- Implementar los cambios en el entorno de AEM mediante la canalización de configuración de Cloud Manager.
- Probar las reglas simulando un ataque DDoS con Nikto.
- Analizar los resultados mediante los registros de CDN de AEMCS y la herramienta del panel de control ELK.
Requisitos previos
Antes de continuar, asegúrese de completar la configuración necesaria tal como se describe en el tutorial Cómo configurar el filtro de tráfico y las reglas WAF. Además, ha clonado e implementado el proyecto WKND Sites de AEM en su entorno de AEM.
Revisión y definición de reglas
Las reglas WAF (Web Application Firewall) recomendadas por Adobe son esenciales para proteger los sitios web de AEM ante amenazas sofisticadas como DoS, DDoS y el abuso de bots. Los sofisticados ataques se caracterizan por altas tasas de solicitud, patrones complejos y el uso de técnicas avanzadas /(basadas en protocolos o en cargas útiles) para eludir las medidas de seguridad tradicionales.
Revisemos tres reglas WAF recomendadas que deben añadirse al archivo cdn.yaml
en el proyecto WKND de AEM:
1. Bloquear los ataques de direcciones IP malintencionadas conocidas
Esta regla bloquea solicitudes que parecen sospechosas y se originan en direcciones IP que están marcadas como malintencionadas. Debido a que se cumplen ambos criterios, podemos estar seguros de que el riesgo de falsos positivos (bloqueo del tráfico legítimo) es muy bajo. Las direcciones IP incorrectas conocidas se identifican en función de las fuentes de inteligencia de amenazas y otras fuentes.
El indicador de WAF ATTACK-FROM-BAD-IP
se usa para identificar estas solicitudes. Añade varios de los indicadores de WAF enumerados aquí.
kind: "CDN"
version: "1"
metadata:
envTypes: ["dev", "stage", "prod"]
data:
trafficFilters:
rules:
- name: attacks-from-bad-ips-globally
when:
reqProperty: tier
in: ["author", "publish"]
action:
type: block
wafFlags:
- ATTACK-FROM-BAD-IP
2. Registrar (y posteriormente bloquear) ataques desde cualquier IP de forma global
Esta regla registra las solicitudes identificadas como ataques potenciales, incluso si las direcciones IP no se encuentran en fuentes de inteligencia de amenazas.
El indicador de WAF ATTACK
se usa para identificar estas solicitudes. Es similar a ATTACK-FROM-BAD-IP
; añade varios indicadores WAF.
Es probable que estas solicitudes sean malintencionadas, pero dado que las direcciones IP no se identifican en las fuentes de inteligencia de amenazas, puede ser prudente iniciar en el modo log
en lugar del modo de bloqueo. Analice los registros en busca de falsos positivos y, una vez validados, asegúrese de cambiar la regla al modo block
.
...
- name: attacks-from-any-ips-globally
when:
reqProperty: tier
in: ["author", "publish"]
action:
type: log
alert: true
wafFlags:
- ATTACK
Como alternativa, puede optar por utilizar el modo block
inmediatamente, si los requisitos de su empresa no le permiten correr ningún riesgo de permitir tráfico malintencionado.
Estas reglas WAF recomendadas proporcionan un nivel adicional de seguridad frente a amenazas conocidas y emergentes.
Migración a las reglas WAF más recientes recomendadas por Adobe
Antes de que se introdujeran los indicadores de WAF ATTACK-FROM-BAD-IP
y ATTACK
(en julio de 2025), las reglas WAF recomendadas eran las siguientes. Contenían una lista de indicadores WAF específicos para bloquear solicitudes que cumplían determinados criterios, como SANS
, TORNODE
, NOUA
, etc.
...
data:
trafficFilters:
rules:
...
# Enable WAF protections (only works if WAF is enabled for your environment)
- name: block-waf-flags
when:
reqProperty: tier
matches: "author|publish"
action:
type: block
wafFlags:
- SANS
- TORNODE
- NOUA
- SCANNER
- USERAGENT
- PRIVATEFILE
- ABNORMALPATH
- TRAVERSAL
- NULLBYTE
- BACKDOOR
- LOG4J-JNDI
- SQLI
- XSS
- CODEINJECTION
- CMDEXE
- NO-CONTENT-TYPE
- UTF8
...
La regla anterior sigue siendo válida, pero se recomienda migrar a las nuevas reglas que usan los indicadores de WAF ATTACK-FROM-BAD-IP
y ATTACK
siempre que aún no haya personalizado los wafFlags
para adaptarlos a las necesidades de su empresa.
Puede migrar a las nuevas reglas para que sean coherentes con las prácticas recomendadas siguiendo estos pasos:
-
Revise las reglas WAF existentes en su archivo
cdn.yaml
, que pueden ser similares a las del ejemplo anterior. Confirme que no hay personalización dewafFlags
que sea específica para los requisitos de su empresa. -
Reemplace las reglas WAF existentes por las nuevas reglas WAF recomendadas por Adobe que usan los indicadores
ATTACK-FROM-BAD-IP
yATTACK
. Asegúrese de que todas las reglas estén en modo de bloqueo.
Si ya había personalizado wafFlags
, aún puede migrar a estas nuevas reglas, pero hágalo con cuidado, asegurándose de que todas las personalizaciones se transfieran a las reglas revisadas.
La migración debería ayudarle a simplificar las reglas WAF y, al mismo tiempo, ofrecerle una sólida protección frente a amenazas sofisticadas. Las nuevas reglas están diseñadas para ser más efectivas y fáciles de administrar.
Implementación de reglas
Para implementar las reglas, siga estos pasos:
-
Confirme e inserte los cambios en el repositorio de Git de Cloud Manager.
-
Implemente los cambios en el entorno de AEM mediante la canalización de configuración de Cloud Manager creada anteriormente.
Comprobación de las reglas
Para comprobar la efectividad de las reglas WAF, simule un ataque con Nikto, un analizador de servidores web que detecta vulnerabilidades y configuraciones erróneas. El siguiente comando activa los ataques de inyección de SQL contra el sitio web WKND de AEM, que está protegido por las reglas WAF.
$./nikto.pl -useragent "AttackSimulationAgent (Demo/1.0)" -D V -Tuning 9 -ssl -h https://publish-pXXXX-eYYYY.adobeaemcloud.com/us/en.html
Para obtener más información acerca de la simulación de ataques, revise la documentación de Nikto - Scan Tuning, que indica cómo especificar el tipo de ataques de prueba que se deben incluir o excluir.
Revisión de las alertas
Las alertas se generan cuando se activan las reglas del filtro de tráfico. Puede revisar estas alertas en el Centro de acciones de AEM.
Análisis de resultados
Para analizar los resultados de las reglas del filtro de tráfico, puede utilizar los registros de CDN de AEMCS y la herramienta del panel de control ELK. Siga las instrucciones de la sección de configuración Ingesta de registros de CDN para ingerir los registros de CDN en la pila ELK.
En la siguiente captura de pantalla, puede ver los registros de CDN del entorno de desarrollo de AEM introducidos en la pila ELK.
Dentro de la aplicación ELK, el panel de control de WAF debería mostrar las
solicitudes indicadas y los valores correspondientes en las columnas IP del cliente (cli_ip), host, URL, acción (waf_action) y nombre de regla (waf_match).
Además, los paneles Distribución de indicadores de WAF y Mejores ataques muestran detalles adicionales.
Integración de Splunk
Los clientes que tienen habilitado el reenvío de registros de Splunk pueden crear nuevos paneles de control para analizar los patrones de tráfico.
Para crear paneles de control en Splunk, siga los pasos de Paneles de control de Splunk para el análisis de registros CDN de AEMCS.
Cuándo y cómo perfeccionar las reglas
Su objetivo es evitar el bloqueo del tráfico legítimo mientras sigue protegiendo su sitio AEM ante posibles amenazas. Las reglas WAF recomendadas están diseñadas para ser un punto de partida para su estrategia de seguridad.
Para perfeccionar las reglas, siga estos pasos:
- Monitorizar patrones de tráfico: utilice los registros de CDN y el panel de control ELK para monitorizar los patrones de tráfico e identificar cualquier anomalía o pico en el tráfico. Preste atención a los paneles de distribución de indicadores WAF yde ataques principales en el panel de control ELK para conocer los tipos de ataques que se están detectando.
- Ajustar wafFlags: si los indicadores
ATTACK
se activan con demasiada frecuencia o
si necesita ajustar el vector de ataque, puede crear reglas personalizadas con indicadores de WAF específicos. Consulte la lista completa de indicadores de WAF en la documentación. Considere probar primero las nuevas reglas personalizadas en el modolog
. - Pasar a reglas de bloqueo: una vez validados los patrones de tráfico y ajustados los indicadores de WAF, puede considerar pasar a las reglas de bloqueo.
Resumen
En este tutorial, ha aprendido a proteger los sitios web de AEM frente a amenazas sofisticadas, incluidos DoS, DDoS y el abuso de bots mediante las reglas WAF (Web Application Firewall) recomendadas por Adobe.
Casos de uso: más allá de las reglas estándar
En el caso de los escenarios más avanzados, puede explorar los siguientes casos de uso que muestran cómo implementar reglas de filtro de tráfico personalizadas en función de requisitos comerciales específicos:
Monitorización de solicitudes confidenciales
Obtenga información sobre cómo monitorizar las solicitudes confidenciales registrándolas mediante reglas de filtro de tráfico en AEM as a Cloud Service.
Obtenga información sobre cómo restringir el acceso bloqueando solicitudes específicas mediante reglas de filtro de tráfico en AEM as a Cloud Service.
Obtenga información sobre cómo normalizar solicitudes transformándolas mediante reglas de filtro de tráfico en AEM as a Cloud Service.