DocumentationAEMGuide de Dispatcher

Liste de contrôle de sécurité de Dispatcher the-dispatcher-security-checklist

Last update: Tue May 28 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Créé pour :

  • Admin

Adobe vous recommande de suivre la liste de contrôle suivante avant de passer en production.

CAUTION
Suivez la liste de contrôle de sécurité de votre version d’AEM avant de passer en production. Voir la documentation d’Adobe Experience Manager correspondante.

Utiliser la version la plus récente de Dispatcher use-the-latest-version-of-dispatcher

Installez la dernière version disponible pour votre plateforme. Mettez à niveau votre instance de Dispatcher pour utiliser la dernière version afin de tirer parti des améliorations apportées au produit et à la sécurité. Voir Installer Dispatcher.

NOTE
Vous pouvez vérifier la version actuelle de votre installation de Dispatcher en consultant le fichier journal de Dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Pour trouver le fichier journal, consultez la configuration de Dispatcher de votre httpd.conf.

Restreindre le nombre de clients qui peuvent vider le cache restrict-clients-that-can-flush-your-cache

Adobe recommande de limiter les clients qui peuvent vider la mémoire cache.

Activation du protocole HTTPS pour la sécurité des couches de transport enable-https-for-transport-layer-security

Adobe recommande d’activer la couche de transfert HTTPS sur les instances d’auteur et de publication.

Restreindre l’accès restrict-access

Lors de la configuration de Dispatcher, restreignez autant que possible l’accès externe. Voir Exemple de section /filter dans la documentation de Dispatcher.

S’assurer que l’accès aux URL d’administration est refusé make-sure-access-to-administrative-urls-is-denied

Assurez-vous d’utiliser des filtres pour bloquer l’accès externe aux URL d’administration, par exemple la console web.

Voir Test de la sécurité de Dispatcher pour obtenir une liste des URL qui doivent être bloquées.

Utiliser les listes autorisées plutôt que les listes bloquées use-allowlists-instead-of-blocklists

Les listes autorisées sont le meilleur moyen d’assurer un contrôle d’accès puisque, de fait, toutes les requêtes d’accès doivent être refusées, à moins qu’elles ne figurent explicitement sur ces listes. Ce modèle fournit un contrôle plus restrictif des nouvelles requêtes qui peuvent ne pas avoir encore été testées ou prises en compte lors d’une étape spécifique de la configuration.

Exécuter Dispatcher avec une personne dédiée utilisant le système run-dispatcher-with-a-dedicated-system-user

Lors de la configuration de Dispatcher, assurez-vous que le serveur web est exécuté par un utilisateur dédié disposant de privilèges limités. Il est recommandé d’accorder uniquement l’accès en écriture au dossier du cache de Dispatcher.

Les utilisateurs et utilisatrices d’IIS doivent également configurer leur site web comme suit :

  1. Dans le paramètre de chemin physique de votre site web, sélectionnez Connexion en tant qu’utilisateur spécifique.
  2. Définissez l’utilisateur ou l’utilisatrice.

Prévention des attaques par déni de service (DoS) prevent-denial-of-service-dos-attacks

Une attaque par déni de service (DoS) est une tentative de rendre une ressource informatique indisponible à ses utilisateurs et utilisatrices ciblés.

Au niveau de Dispatcher, il existe deux méthodes de configuration pour empêcher les attaques DoS : Filtres

  • Utilisez le module mod_rewrite (par exemple, Apache 2.4) pour effectuer des validations d’URL (si les règles de modèle d’URL ne sont pas trop complexes).

  • Empêchez Dispatcher de mettre en cache les URL dotées d’extensions frauduleuses à l’aide de filtres.
    Par exemple, modifiez les règles de mise en cache afin de limiter la mise en cache des types MIME prévus, par exemple :

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    Un exemple de fichier de configuration peut être consulté pour limitation de l'accès externe. Elle comprend des restrictions pour les types MIME.

Pour activer la fonctionnalité complète sur les instances de publication, configurez les filtres afin d’empêcher l’accès aux noeuds suivants :

  • /etc/
  • /libs/

Ensuite, configurez les filtres pour accorder l’accès aux chemins d’accès des nœuds suivants :

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS et JSON)

  • /libs/cq/security/userinfo.json (Informations sur les utilisateurs CQ)

  • /libs/granite/security/currentuser.json (les données ne doivent pas être mises en cache)

  • /libs/cq/i18n/* (Internalisation)

Configurer Dispatcher pour empêcher les attaques CSRF configure-dispatcher-to-prevent-csrf-attacks

AEM fournit un framework visant à empêcher les attaques CSRF. Pour utiliser correctement cette structure, placez sur la liste autorisée la prise en charge du jeton CSRF dans Dispatcher en procédant comme suit :

  1. Créez un filtre pour autoriser le chemin d’accès /libs/granite/csrf/token.json ;
  2. Ajoutez l’en-tête CSRF-Token à la section clientheaders de la configuration Dispatcher.

Prévention du détournement de clic prevent-clickjacking

Pour empêcher le détournement de clic, Adobe recommande de configurer votre serveur web afin que l’en-tête HTTP X-FRAME-OPTIONS soit défini sur SAMEORIGIN.

Pour plus d’informations sur le détournement de clic, consultez le site de l’OWASP.

Effectuer un test de pénétration perform-a-penetration-test

Adobe recommande vivement d’effectuer un test de pénétration de votre infrastructure AEM avant de passer en production.

recommendation-more-help
ce382601-480f-4a99-8be7-73178d4b6ef5