Documentation AEM Tutoriels AEM Tutoriels d’AEM as a Cloud Service

[Nécessite une licence.]{class="badge positive"}

Protection des sites web AEM à l’aide des règles WAF

Last update: Tue Aug 19 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

S'applique à :
Experience Manager as a Cloud Service

Rubriques :

Créé pour :

Intermédiaire
Administration
Développeur

Découvrez comment protéger les sites web AEM contre les menaces sophistiquées, y compris les attaques DoS, DDoS et les attaques de robots à l’aide des règles de pare-feu d’application web (WAF) recommandées par Adobe dans AEM as a Cloud Service.

Les attaques sophistiquées se caractérisent par des taux de demande élevés, des schémas complexes et l’utilisation de techniques avancées pour contourner les mesures de sécurité traditionnelles.

IMPORTANT

Les règles de filtrage de trafic WAF nécessitent une licence supplémentaire de protection WAF-DDoS ou de sécurité renforcée. Les règles de filtrage de trafic standard sont disponibles par défaut pour les clientes et clients Sites et Forms.

https://video.tv.adobe.com/v/3469432/?quality=12&learn=on&captions=fre_fr

Objectifs d’apprentissage

Examinez les règles WAF recommandées par Adobe.
Définissez, déployez, testez et analysez les résultats des règles.
Découvrez quand et comment affiner les règles en fonction des résultats.
Découvrez comment utiliser le Centre d’actions AEM pour passer en revue les alertes générées par les règles.

Vue d’ensemble de l’implémentation

Les étapes de mise en œuvre sont les suivantes :

Ajout des règles WAF au fichier /config/cdn.yaml du projet WKND d’AEM.
Validation et envoi des modifications au référentiel Git de Cloud Manager.
Déploiement des modifications dans l’environnement AEM à l’aide du pipeline de configuration de Cloud Manager.
Test des règles en simulant une attaque DDoS à l’aide de Nikto.
Analyse des résultats à l’aide des journaux du réseau CDN AEMCS et de l’outil de tableau de bord ELK.

Prérequis

Avant de poursuivre, assurez-vous d’avoir terminé la configuration requise, comme décrit dans le tutoriel Configuration du filtre de trafic et des règles WAF. En outre, vous avez cloné et déployé le projet WKND d’AEM Sites dans votre environnement AEM.

Vérifier et définir les règles

Les règles de pare-feu d’application web (WAF) recommandées par Adobe sont essentielles pour protéger les sites web d’AEM contre les menaces sophistiquées, notamment les attaques par DoS, DDoS et les abus de robots. Les attaques sophistiquées se caractérisent souvent par des taux de requête élevés, des schémas complexes et l’utilisation de techniques avancées (attaques basées sur des protocoles ou sur des payloads) pour contourner les mesures de sécurité traditionnelles.

Examinons trois règles WAF recommandées qui doivent être ajoutées au fichier cdn.yaml dans le projet WKND d’AEM :

1. Bloquer les attaques provenant d’adresses IP malveillantes connues

Cette règle bloque les requêtes qui ont l’air suspectes et proviennent d’adresses IP signalées comme malveillantes. Ces deux critères étant remplis, nous pouvons être sûrs que le risque de faux positifs (blocage du trafic légitime) est très faible. Les adresses IP malveillantes connues sont identifiées en fonction des flux de renseignements sur les menaces et d’autres sources.

L’indicateur WAF ATTACK-FROM-BAD-IP est utilisé pour identifier ces requêtes. Il agrège plusieurs indicateurs WAF répertoriés ici.

kind: "CDN"
version: "1"
metadata:
  envTypes: ["dev", "stage", "prod"]
data:
  trafficFilters:
    rules:
    - name: attacks-from-bad-ips-globally
      when:
        reqProperty: tier
        in: ["author", "publish"]
      action:
        type: block
        wafFlags:
          - ATTACK-FROM-BAD-IP

2. Consigner (et bloquer ultérieurement) les attaques provenant de n’importe quelle adresse IP dans le monde

Cette règle consigne les requêtes identifiées comme des attaques potentielles, même si les adresses IP ne figurent pas dans les flux de renseignements sur les menaces.

L’indicateur WAF ATTACK est utilisé pour identifier ces requêtes. Tout comme ATTACK-FROM-BAD-IP, il agrège plusieurs indicateurs WAF.

Ces requêtes sont probablement malveillantes, mais comme les adresses IP ne sont pas identifiées dans les flux de renseignements sur les menaces, il peut être prudent de démarrer en mode log plutôt qu’en mode bloc. Analysez les journaux à la recherche de faux positifs. Une fois la validation effectuée, assurez-vous de passer la règle en mode block.

...
    - name: attacks-from-any-ips-globally
      when:
        reqProperty: tier
        in: ["author", "publish"]
      action:
        type: log
        alert: true
        wafFlags:
          - ATTACK

Vous pouvez également choisir d’utiliser le mode block immédiatement, si les besoins de votre entreprise sont tels que vous ne souhaitez pas prendre le moindre risque d’autoriser un trafic malveillant.

Ces règles WAF recommandées fournissent une couche de sécurité supplémentaire contre les menaces connues et émergentes.

Règles WAF de WKND

Migration vers les règles WAF recommandées par Adobe les plus récentes

Avant l’introduction des indicateurs WAF ATTACK-FROM-BAD-IP et ATTACK (en juillet 2025), les règles WAF recommandées étaient les suivantes. Elles contenaient une liste d’indicateurs WAF spécifiques pour bloquer les requêtes correspondant à certains critères, tels que SANS, TORNODE, NOUA, etc.

...
data:
  trafficFilters:
    rules:
    ...
    # Enable WAF protections (only works if WAF is enabled for your environment)
      - name: block-waf-flags
        when:
          reqProperty: tier
          matches: "author|publish"
        action:
          type: block
          wafFlags:
            - SANS
            - TORNODE
            - NOUA
            - SCANNER
            - USERAGENT
            - PRIVATEFILE
            - ABNORMALPATH
            - TRAVERSAL
            - NULLBYTE
            - BACKDOOR
            - LOG4J-JNDI
            - SQLI
            - XSS
            - CODEINJECTION
            - CMDEXE
            - NO-CONTENT-TYPE
            - UTF8
...

La règle ci-dessus est toujours valide, mais il est recommandé de migrer vers les nouvelles règles qui utilisent les indicateurs WAF ATTACK-FROM-BAD-IP et ATTACK à condition que vous n’ayez pas déjà personnalisé les wafFlags en fonction des besoins de votre entreprise.

Vous pouvez migrer vers les nouvelles règles conserver la cohérence avec les bonnes pratiques en procédant comme suit :

Examinez les règles WAF existantes dans votre fichier cdn.yaml, lesquelles peuvent ressembler à l’exemple ci-dessus. Vérifiez qu’il n’existe aucune personnalisation des wafFlags spécifique aux besoins de votre entreprise.
Remplacez vos règles WAF existantes par les nouvelles règles WAF recommandées par Adobe qui utilisent les indicateurs ATTACK-FROM-BAD-IP et ATTACK. Assurez-vous que toutes les règles sont en mode bloc.

Si vous avez déjà personnalisé les wafFlags, vous pouvez toujours migrer vers ces nouvelles règles, mais procédez avec précaution, en veillant à ce que toutes les personnalisations soient intégrées aux règles révisées.

La migration doit vous aider à simplifier vos règles WAF, tout en offrant une protection robuste contre les menaces sophistiquées. Les nouvelles règles sont conçues pour être plus efficaces et plus faciles à gérer.

Déployer les règles

Pour déployer les règles ci-dessus, procédez comme suit :

Validez et envoyez les modifications au référentiel Git de Cloud Manager.
Déployez les modifications dans l’environnement AEM à l’aide du pipeline de configuration Cloud Manager créé précédemment.

Tester les règles

Pour vérifier l’efficacité des règles WAF, simulez une attaque à l’aide de Nikto, un analyseur de serveur web qui détecte les vulnérabilités et les configurations incorrectes. La commande suivante déclenche des attaques par injection SQL contre le site web WKND d’AEM, qui est protégé par les règles WAF.

$./nikto.pl -useragent "AttackSimulationAgent (Demo/1.0)" -D V -Tuning 9 -ssl -h https://publish-pXXXX-eYYYY.adobeaemcloud.com/us/en.html

Simulation d’une attaque Nikto.

Pour en savoir plus sur la simulation des attaques, consultez la documentation Nikto - Scan Tuning, qui vous indique comment spécifier le type d’attaques de test à inclure ou à exclure.

Vérifier les alertes

Des alertes sont générées lorsque les règles de filtrage du trafic sont déclenchées. Vous pouvez consulter ces alertes dans le Centre d’actions AEM.

Centre d’actions WKND AEM

Analyser les résultats

Pour analyser les résultats des règles de filtrage du trafic, vous pouvez utiliser les journaux du réseau CDN AEMCS et l’outil de tableau de bord ELK. Suivez les instructions de la section de configuration de l’ingestion des journaux CDN pour ingérer les journaux CDN dans la pile ELK.

Dans la capture d’écran suivante, vous pouvez voir les journaux CDN de l’environnement de développement AEM ingérés dans la pile ELK.

Journaux CDN WKND ELK

Dans l’application ELK, le tableau de bord WAF doit afficher les
requêtes signalées et leurs valeurs correspondantes dans les colonnes suivantes : adresse IP du client (cli_ip), hôte, URL, action (waf_action) et nom de la règle (waf_match).

Tableau de bord WKND WAF ELK

De plus, les panneaux Distribution des indicateurs WAF et Principales attaques fourmillent de détails supplémentaires.

Tableau de bord WKND WAF ELK

Intégration Splunk

Les clientes et clients qui ont activé le transfert de journal Splunk peuvent créer un tableau de bord pour analyser les modèles de trafic.

Pour créer des tableaux de bord dans Splunk, suivez les étapes Tableau de bord Splunk pour l’analyse de journaux de réseau CDN AEMCS.

Quand et comment affiner les règles

Votre objectif est d’éviter de bloquer le trafic légitime tout en protégeant vos sites web AEM contre les menaces sophistiquées. Les règles WAF recommandées sont conçues pour servir de point de départ à votre stratégie de sécurité.

Pour affiner les règles, prenez en compte les étapes suivantes :

Surveiller les modèles de trafic : utilisez les journaux du réseau CDN et le tableau de bord ELK pour surveiller les modèles de trafic et identifier les anomalies ou les pics de trafic. Consultez les panneaux Distribution des indicateurs WAF et Principales attaques du tableau de bord ELK pour comprendre les types d’attaques détectés.
Ajuster les indicateurs WAF : si des indicateurs ATTACK sont déclenchés trop fréquemment ou
si vous devez affiner le vecteur d’attaque, vous pouvez créer des règles personnalisées avec des indicateurs WAF spécifiques. Consultez la liste complète des indicateurs WAF dans la documentation. Envisagez d’abord de tester de nouvelles règles personnalisées en mode log.
Passer aux règles de blocage: lorsque vous avez validé les modèles de trafic et ajusté les indicateurs WAF, vous pouvez envisager de passer aux règles de blocage.

Résumé

Dans ce tutoriel, vous avez appris à protéger les sites web d’AEM contre les menaces sophistiquées, y compris les attaques Dos, DDoS et les abus de robots à l’aide des règles de pare-feu d’application web (WAF) recommandées par Adobe.

Cas d’utilisation : au-delà des règles standard

Pour des scénarios plus avancés, vous pouvez explorer les cas d’utilisation suivants, qui montrent comment implémenter des règles de filtrage de trafic personnalisées en fonction d’exigences commerciales spécifiques :