DocumentazioneAEMGuida di Dispatcher

Elenco di controllo della sicurezza di Dispatcher the-dispatcher-security-checklist

Last update: Fri Jul 12 2024 00:00:00 GMT+0000 (Coordinated Universal Time)

Creato per:

  • Amministratore

Prima di procedere con la produzione, Adobe consiglia di completare l’elenco di controllo seguente.

CAUTION
Completa l’elenco di controllo della sicurezza della tua versione di AEM prima prima della pubblicazione. Consulta la Documentazione di Adobe Experience Manager corrispondente.

Utilizzo della versione più recente di Dispatcher use-the-latest-version-of-dispatcher

Installa la versione più recente disponibile per la tua piattaforma. Aggiorna l’istanza di Dispatcher per utilizzare la versione più recente e usufruire dei miglioramenti a livello di prodotto e sicurezza. Consulta Installazione di Dispatcher.

NOTE
L’attuale versione installata di Dispatcher è riportata nel file di registro di Dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Per trovare il file di registro, controlla la configurazione di Dispatcher in httpd.conf.

Limita il numero dei client che possono eseguire il flushing della cache restrict-clients-that-can-flush-your-cache

Adobe consiglia di limitare il numero dei client che possono eseguire il flushing della cache.

Abilitare HTTPS per la sicurezza del livello di trasporto enable-https-for-transport-layer-security

Adobe consiglia di abilitare il livello di trasporto HTTPS sia sulle istanze di authoring che di pubblicazione.

Limitare l’accesso restrict-access

Durante la configurazione di Dispatcher, limita il più possibile l’accesso esterno. Vedi Esempio di sezione /filter nella documentazione di Dispatcher.

Accertati che l’accesso agli URL amministrativi sia interdetto make-sure-access-to-administrative-urls-is-denied

Utilizza i filtri per bloccare l’accesso esterno a qualsiasi URL amministrativo, ad esempio alla console Web.

Per un elenco degli URL da bloccare, consulta Test di sicurezza di Dispatcher.

Utilizza gli elenchi Consentiti invece degli elenchi Bloccati use-allowlists-instead-of-blocklists

Gli elenchi Consentiti permettono un migliore controllo degli accessi, in quanto presuppongono che tutte le richieste di accesso debbano essere negate, a meno che non facciano parte esplicitamente dell’elenco Consentiti. Questo modello offre un controllo più restrittivo sulle nuove richieste che potrebbero non essere state ancora esaminate o prese in considerazione durante una determinata fase della configurazione.

Eseguire Dispatcher con un utente di sistema dedicato run-dispatcher-with-a-dedicated-system-user

Quando configuri Dispatcher, accertati che il server web sia gestito da un utente dedicato con privilegi minimi. Si consiglia di concedere l’accesso in scrittura solo alla cartella della cache di Dispatcher.

Inoltre, gli utenti IIS devono configurare il proprio sito web nel modo seguente:

  1. Nell’impostazione del percorso fisico per il sito web, seleziona Connetti come utente specifico.
  2. Imposta l’utente.

Previeni gli attacchi Denial of Service (DoS) prevent-denial-of-service-dos-attacks

Un attacco Denial of Service (DoS) è un tentativo di rendere la risorsa di un computer indisponibile per gli utenti a cui è destinata.

A livello di Dispatcher, esistono due metodi di configurazione per evitare gli attacchi DoS: i Filtri

  • Utilizza il modulo mod_rewrite (ad esempio, Apache 2.4) per eseguire le convalide degli URL (se le regole del pattern URL non sono troppo complesse).

  • Impedisci a Dispatcher di memorizzare in cache gli URL con estensioni fittizie utilizzando dei filtri.
    Puoi modificare le regole di caching in modo da limitare il caching ai tipi mime previsti, ad esempio:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    È disponibile un esempio di file di configurazione per limitare l’accesso esterno. Include restrizioni per alcuni tipi MIME.

Per abilitare in modo sicuro la funzionalità completa sulle istanze di pubblicazione, configura i filtri per impedire l’accesso ai seguenti nodi:

  • /etc/
  • /libs/

Quindi, configura i filtri per consentire l’accesso ai seguenti percorsi di nodi:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS e JSON)

  • /libs/cq/security/userinfo.json (Informazioni utente CQ)

  • /libs/granite/security/currentuser.json (i dati non devono essere memorizzati in cache)

  • /libs/cq/i18n/* (Internalizzazione)

Configura Dispatcher per impedire gli attacchi CSRF configure-dispatcher-to-prevent-csrf-attacks

AEM fornisce un framework per prevenire gli attacchi di tipo Cross-Site Request Forgery. Per utilizzare in modo appropriato questo framework, inserisci nell’elenco Consentiti il supporto per token CSRF in Dispatcher effettuando le seguenti operazioni:

  1. Crea un filtro per consentire il percorso /libs/granite/csrf/token.json;
  2. Aggiungi l’intestazione CSRF-Token alla sezione clientheaders della configurazione di Dispatcher.

Previeni il clickjacking prevent-clickjacking

Per prevenire gli attacchi clickjacking, Adobe consiglia di configurare il server web in modo da fornire l’X-FRAME-OPTIONSintestazione HTTP impostata su SAMEORIGIN.

Per ulteriori informazioni sul clickjacking, consulta il sito OWASP.

Eseguire un test di penetrazione perform-a-penetration-test

Adobe consiglia vivamente di eseguire un test di penetrazione dell’infrastruttura AEM prima di procedere alla produzione.

recommendation-more-help
ce382601-480f-4a99-8be7-73178d4b6ef5