Bonnes pratiques relatives aux règles de filtrage du trafic, y compris les règles WAF

Découvrez les bonnes pratiques relatives aux règles de filtrage du trafic, y compris les règles WAF. Il est important de noter que les bonnes pratiques décrites dans le présent article ne sont pas exhaustives et n’ont pas pour but de se substituer à vos propres politiques et procédures de sécurité.

Bonnes pratiques générales

  • Consultez votre équipe de sécurité pour déterminer les règles appropriées à votre entreprise.
  • Testez toujours les règles dans les environnements de développement avant de les déployer dans les environnements d’évaluation et de production.
  • Lorsque vous créez et validez des règles, commencez toujours par le type action log pour vous assurer que la règle ne bloquera pas le trafic légitime.
  • Pour certaines règles, la transition de log à block doit être uniquement basée sur l’analyse d’un trafic suffisant sur le site.
  • Introduisez les règles de manière incrémentielle et pensez à impliquer vos équipes de test (contrôle qualité, performance, test de pénétration) dans le processus.
  • Analysez régulièrement l’impact des règles grâce aux Outils du tableau de bord. Selon le volume de trafic sur votre site, l’analyse sera effectuée tous les jours, toutes les semaines ou tous les mois.
  • Pour bloquer le trafic malveillant décelé après l’analyse, ajoutez des règles supplémentaires. Par exemple, les adresses IP qui ont attaqué votre site.
  • La création, le déploiement et l’analyse de règles doivent constituer un processus continu et itératif. Il ne s’agit aucunement d’une activité ponctuelle.

Bonnes pratiques relatives aux règles de filtrage du trafic

Activez les règles de filtrage du trafic ci-dessous pour votre projet AEM. Toutefois, les valeurs souhaitées pour les propriétés rateLimit et clientCountry doivent être déterminées en collaboration avec votre équipe de sécurité.

kind: CDN
version: '1'
metadata:
  envTypes:
    - dev
    - stage
    - prod
data:
  trafficFilters:
    rules:
    #  Prevent DoS attacks by blocking client for 5 minutes if they make more than 100 requests in 1 second.
      - name: prevent-dos-attacks
        when:
          reqProperty: path
          like: '*'
        rateLimit:
          limit: 100
          window: 1
          penalty: 300
          groupBy:
            - reqProperty: clientIp
        action: block
    # Block requests coming from OFAC countries
      - name: block-ofac-countries
        when:
          allOf:
              - reqProperty: tier
              - matches: publish
              - reqProperty: clientCountry
                in:
                  - SY
                  - BY
                  - MM
                  - KP
                  - IQ
                  - CD
                  - SD
                  - IR
                  - LR
                  - ZW
                  - CU
                  - CI
WARNING
Pour votre environnement de production, consultez votre équipe de sécurité web afin de déterminer les valeurs appropriées pour rateLimit.

Bonnes pratiques relatives aux règles WAF

Dès l’activation de votre licence WAF pour le programme, le trafic correspondant aux indicateurs WAF apparaît dans les graphiques et les journaux de requêtes, même si vous ne les avez pas déclarés dans une règle. Ainsi, vous êtes toujours conscient du trafic potentiellement malveillant et vous pouvez créer des règles selon vos besoins. Examinez les indicateurs WAF qui ne sont pas reflétés dans les règles déclarées et envisagez de les créer.

Tenez compte des règles WAF ci-dessous pour votre projet AEM. Toutefois, les valeurs souhaitées pour la propriété action et wafFlags doivent être déterminées en collaboration avec votre équipe de sécurité.

kind: CDN
version: '1'
metadata:
  envTypes:
    - dev
    - stage
    - prod
data:
  trafficFilters:
    rules:

    # Traffic Filter rules shown in above section
    ...

    # Enable WAF protections (only works if WAF is enabled for your environment)
      - name: block-waf-flags
        when:
          reqProperty: tier
          matches: "author|publish"
        action:
          type: block
          wafFlags:
            - SANS
            - TORNODE
            - NOUA
            - SCANNER
            - USERAGENT
            - PRIVATEFILE
            - ABNORMALPATH
            - TRAVERSAL
            - NULLBYTE
            - BACKDOOR
            - LOG4J-JNDI
            - SQLI
            - XSS
            - CODEINJECTION
            - CMDEXE
            - NO-CONTENT-TYPE
            - UTF8
    # Disable protection against CMDEXE on /bin
      - name: allow-cdmexe-on-root-bin
        when:
          allOf:
            - reqProperty: tier
              matches: "author|publish"
            - reqProperty: path
              matches: "^/bin/.*"
        action:
          type: allow
          wafFlags:
            - CMDEXE

Résumé

En conclusion, vous disposez grâce à ce tutoriel des connaissances et des outils nécessaires pour renforcer la sécurité de vos applications web dans Adobe Experience Manager as a Cloud Service (AEMCS). Grâce aux exemples de règles concrets et aux informations récoltées suite à l’analyse des résultats, vous pouvez protéger efficacement votre site web et vos applications.

recommendation-more-help
4859a77c-7971-4ac9-8f5c-4260823c6f69