Liste de contrôle de sécurité de Dispatcher the-dispatcher-security-checklist

Adobe vous recommande de suivre la liste de contrôle suivante avant de passer en production.

CAUTION
Suivez la liste de contrôle de sécurité de votre version d’AEM avant de passer en production. Voir la documentation d’Adobe Experience Manager correspondante.

Utiliser la version la plus récente de Dispatcher use-the-latest-version-of-dispatcher

Installez la version la plus récente disponible pour votre plateforme. Mettez à niveau votre instance de Dispatcher afin d’utiliser la dernière version en date et ainsi tirer parti des améliorations apportées au produit et à la sécurité. Voir Installer Dispatcher.

NOTE
Vous pouvez vérifier la version actuelle de votre installation de Dispatcher en consultant le fichier journal du Dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Pour trouver le fichier journal, consultez la configuration de Dispatcher de votre httpd.conf.

Restreindre le nombre de clients qui peuvent vider le cache restrict-clients-that-can-flush-your-cache

Adobe recommande de limiter les clients qui peuvent vider la mémoire cache.

Activer le protocole HTTPS pour la sécurité de la couche de transport (TLS) enable-https-for-transport-layer-security

Adobe recommande d’activer la couche de transport (TLS) HTTPS sur les instances de création et de publication.

Restreindre l’accès restrict-access

Lors de la configuration de Dispatcher, restreignez autant que possible l’accès externe. Voir Exemple de section /filter dans la documentation de Dispatcher.

S’assurer que l’accès aux URL d’administration est refusé make-sure-access-to-administrative-urls-is-denied

Assurez-vous d’utiliser des filtres pour bloquer l’accès externe aux URL d’administration, par exemple la console web.

Voir Test de la sécurité de Dispatcher pour obtenir une liste des URL qui doivent être bloquées.

Utiliser les listes autorisées plutôt que les listes bloquées use-allowlists-instead-of-blocklists

Les listes autorisées sont le meilleur moyen d’assurer un contrôle d’accès puisque, de fait, toutes les requêtes d’accès doivent être refusées, à moins qu’elles ne figurent explicitement sur ces listes. Ce modèle fournit un contrôle plus restrictif des nouvelles requêtes qui peuvent ne pas avoir encore été testées ou prises en compte lors d’une étape spécifique de la configuration.

Exécuter Dispatcher avec une personne dédiée utilisant le système run-dispatcher-with-a-dedicated-system-user

Lors de la configuration du Dispatcher, assurez-vous que le serveur web est exécuté par une personne dédiée disposant des autorisations les plus basses. Il est recommandé d’accorder uniquement un accès en écriture au dossier de cache du Dispatcher.

Les utilisateurs et utilisatrices d’IIS doivent également configurer leur site web comme suit :

  1. Dans le paramètre de chemin physique de votre site web, sélectionnez Se connecter au nom d’une personne spécifique.
  2. Définissez l’utilisateur ou l’utilisatrice.

Prévention des attaques par déni de service (DoS) prevent-denial-of-service-dos-attacks

Une attaque par déni de service (DoS) est une tentative de rendre une ressource informatique indisponible à ses utilisateurs et utilisatrices ciblés.

Au niveau de Dispatcher, il existe deux méthodes de configuration permettant d’empêcher les attaques DoS : Filtres.

  • Utilisez le module mod_rewrite (par exemple, Apache 2.4) pour effectuer des validations d’URL (si les règles de modèle d’URL ne sont pas trop complexes).

  • Empêchez Dispatcher de mettre en cache les URL dotées d’extensions frauduleuses à l’aide de filtres.
    Par exemple, modifiez les règles de mise en cache afin de limiter la mise en cache des types MIME prévus, par exemple :

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    Un exemple de fichier de configuration peut être consulté pour la restriction de l’accès externe. Celui-ci inclut des restrictions pour les types MIME.

Pour activer l’ensemble des fonctionnalités sur les instances de publication, configurez les filtres pour empêcher l’accès aux nœuds suivants :

  • /etc/
  • /libs/

Ensuite, configurez les filtres pour accorder l’accès aux chemins d’accès des nœuds suivants :

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS et JSON)

  • /libs/cq/security/userinfo.json (Informations sur les utilisateurs CQ)

  • /libs/granite/security/currentuser.json (les données ne doivent pas être mises en cache)

  • /libs/cq/i18n/* (Internalisation)

Configurer Dispatcher pour empêcher les attaques CSRF configure-dispatcher-to-prevent-csrf-attacks

AEM fournit un framework visant à empêcher les attaques CSRF. Pour utiliser correctement ce framework, autorisez la prise en charge des jetons CSRF dans Dispatcher en procédant comme suit :

  1. Créez un filtre pour autoriser le chemin d’accès /libs/granite/csrf/token.json ;
  2. Ajoutez l’en-tête CSRF-Token à la section clientheaders de la configuration Dispatcher.

Prévention du détournement de clic prevent-clickjacking

Pour empêcher le détournement de clic, Adobe recommande de configurer votre serveur web afin que l’en-tête HTTP X-FRAME-OPTIONS soit défini sur SAMEORIGIN.

Pour plus d’informations sur le détournement de clic, consultez le site de l’OWASP.

Effectuer un test de pénétration perform-a-penetration-test

Adobe vous recommande fortement d’effectuer un test de pénétration de votre infrastructure AEM avant le passage en production.

recommendation-more-help
ce382601-480f-4a99-8be7-73178d4b6ef5