Documentation AEM Tutoriels AEM Tutoriels sur AEM Foundation

Comprendre la prévention des attaques par déni de service (DoS)/déni de service distribué (DDoS) dans AEM

23 mars 2025

S'applique à :
Experience Manager 6.5
Experience Manager as a Cloud Service

Rubriques :

Créé pour :

Débutant
Administration
Développeur

Découvrez les options disponibles pour prévenir et atténuer les attaques DoS et DDoS sur votre environnement AEM. Avant de passer aux mécanismes de prévention, une brève vue d’ensemble de DoS et de DDoS.

Les attaques par déni de service (DoS) et par déni de service distribué (DDoS) sont deux tentatives malveillantes visant à perturber le fonctionnement normal d’un serveur, d’un service ou d’un réseau ciblé, le rendant inaccessible aux utilisateurs et utilisatrices prévus.
Les attaques DoS proviennent généralement d’une seule source, tandis que les attaques DDoS proviennent de sources multiples.
Les attaques DDoS sont souvent plus volumineuses que les attaques DoS en raison des ressources combinées de plusieurs dispositifs d’attaque.
Ces attaques sont menées en inondant la cible de trafic excessif et en exploitant les vulnérabilités des protocoles réseau.

Le tableau suivant décrit comment prévenir et atténuer les attaques DoS et DDoS :

Mécanisme de prévention

Description

AEM as a Cloud Service

AEM 6.5 (AMS)

AEM 6.5 (On-Prem)

Pare-feu d’application web (WAF)

Solution de sécurité conçue pour protéger les applications web de divers types d’attaques.

Licence de protection WAF-DDoS

AWS ou Azure WAF via le contrat AMS.

Votre WAF préféré

ModSecurity

ModSecurity (ou module Apache « mod_security ») est une solution open source sur plusieurs plateformes qui offre une protection contre un éventail d’attaques à l’encontre des applications web.
Dans AEM as a Cloud Service, cela s’applique uniquement au service de publication AEM, car il n’existe pas de serveur web Apache et de Dispatcher AEM devant le service de création.

Activer ModSecurity

Règles de filtrage du trafic

Les règles de filtrage du trafic peuvent être utilisées pour bloquer ou autoriser les requêtes au niveau de la couche du réseau CDN.

Exemple de règles de filtrage du trafic

Fonctions de limitation de règles AWS ou Azure.

Votre solution préférée

Analyse post-incident et amélioration continue

Il n’existe pas de flux standard unique pour l’identification et la prévention des attaques DoS/DDoS, et cela dépend du processus de sécurité de votre entreprise. L’analyse post-incident et l’amélioration continue constituent une étape cruciale du processus. Voici quelques bonnes pratiques à prendre en compte :

Identifiez la cause première de l’attaque DoS/DDoS en effectuant une analyse post-incident, y compris en examinant les journaux, le trafic réseau et les configurations système.
Améliorez les mécanismes de prévention à partir des résultats de l’analyse post-incident.

recommendation-more-help