JEE 上の AEM Forms のセキュリティに関する一般的な考慮事項 general-security-considerations-for-aem-forms-on-jee
JEE 上の AEM Forms 環境を強化するための準備について説明します。
この記事では、AEM Forms環境を強化するための準備に役立つ入門情報を提供します。 これには、JEE 上の AEM Forms、オペレーティングシステム、アプリケーションサーバー、データベースセキュリティに関する前提条件の情報も含まれます。環境のロックダウンを継続する前に、この情報を確認してください。
ベンダー固有のセキュリティ情報 vendor-specific-security-information
この節では、JEE 上のAEM Formsソリューションに組み込まれるオペレーティングシステム、アプリケーションサーバー、データベースに関するセキュリティ関連の情報について説明します。
このセクションのリンクを使用して、オペレーティングシステム、データベース、およびアプリケーションサーバーのベンダー固有のセキュリティ情報を検索します。
オペレーティングシステムのセキュリティ情報 operating-system-security-information
オペレーティングシステムを保護する際には、次のようなオペレーティングシステムのベンダーが挙げている対策を実装することを慎重に検討してください。
- ユーザー、役割および権限の定義と制御
- ログと監査証跡の監視
- 不要なサービスやアプリケーションの削除
- ファイルのバックアップ
JEE 上の AEM Forms がサポートするオペレーティングシステムのセキュリティ情報については、次の表のリソースを参照してください。
アプリケーションサーバーのセキュリティ情報 application-server-security-information
アプリケーションサーバーを保護する際には、次のようなサーバーのベンダーが挙げている対策を実装することを慎重に検討してください。
- 不明な管理者ユーザー名の使用
- 不要なサービスの無効化
- コンソールマネージャの保護
- セキュリティで保護された cookie の有効化
- 不要なポートを閉じる
- IP アドレスまたはドメインでクライアントを制限する
- Java™ Security Manager を使用したプログラムによる特権の制限
JEE 上のAEM Formsがサポートするアプリケーションサーバーのセキュリティ情報については、次の表のリソースを参照してください。
データベースのセキュリティ情報 database-security-information
データベースを保護する際には、次のようなデータベースのベンダーが挙げている対策を実装することを検討してください。
- アクセス制御リスト (ACL) を使用して操作を制限する
- 非標準ポートの使用
- ファイアウォールの背後にデータベースを隠す
- 機密データをデータベースに書き込む前に暗号化する(データベースの製造元のドキュメントを参照)
JEE 上のAEM Formsがサポートするデータベースのセキュリティ情報については、次の表の資料を参照してください。
次の表に、JEE 上のAEM Forms設定プロセスで開く必要があるデフォルトポートを示します。 https 経由で接続している場合は、ポート情報と IP アドレスを適宜調整してください。 ポートの構成の詳細については、 JEE 上のAEM Formsのインストールとデプロイ ドキュメントを作成します。
9060。Global Security が有効な場合、デフォルトの SSL ポート値は 9043 です。
9080
デフォルト以外の HTTP ポートを使用するように JBoss を設定する configuring-jboss-to-use-a-non-default-http-port
JBoss Application Server は、8080 をデフォルトの HTTP ポートとして使用します。 また、JBoss には事前設定済みのポート 8180、8280、8380 があり、これらは jboss-service.xml ファイルでコメントアウトされています。 このポートを既に使用しているアプリケーションがコンピューター上にある場合は、次の手順に従って、JEE 上のAEM Formsが使用するポートを変更します。
-
次のファイルを編集用として開きます。
シングルサーバーのインストール: [JBoss ルート]/standalone/configuration/standalone.xml
クラスターのインストール: [JBoss ルート]/domain/configuration/domain.xml
-
<socket-binding> タグの port 属性の値をカスタムポート番号に変更します。例えば、次の例では、ポート 8090 を使用します。
<socket-binding name="http" port="8090"/>
-
ファイルを保存して閉じます。
-
JBoss アプリケーションサーバーを再起動します。
JEE 上のAEM Formsのセキュリティに関する考慮事項 aem-forms-on-jee-security-considerations
ここでは、知っておくべき JEE 上のAEM Forms固有のセキュリティ上の問題について説明します。
データベースで暗号化されていない電子メール資格情報 email-credentials-not-encrypted-in-database
アプリケーションに保存される電子メール資格情報は、JEE 上のAEM Formsデータベースに保存される前に暗号化されません。 電子メールを使用するようにサービスエンドポイントを設定する場合、そのエンドポイント設定の一部として使用されるパスワード情報は、データベースに保存される際に暗号化されません。
データベース内のRights Managementに関する機密コンテンツ sensitive-content-for-rights-management-in-the-database
JEE 上の AEM Forms は、JEE 上の AEM Forms データベースに、ポリシードキュメントで使用した機密ドキュメントキー情報と暗号化マテリアルを格納します。データベースへの侵入を防御することで、このような機密性の高い情報を保護することができます。
クリアテキストフォームのパスワード password-in-clear-text-format-in-adobe-ds-xml
JEE 上の AEM Forms を実行するアプリケーションサーバーでは、そのサーバー上に設定されたデータソースを介してデータベースにアクセスするように設定する必要があります。アプリケーションサーバーがデータソース構成ファイルでデータベースパスワードをクリアテキストで公開しないようにしてください。
lc_[database].xml ファイルには、クリアテキスト形式のパスワードを含めないでください。アプリケーションサーバーのパスワードを暗号化する方法については、アプリケーションサーバーのベンダーにお問い合わせください。
IBM WebSphere Application Server およびOracleWebLogic Server は、デフォルトでデータソースのパスワードを暗号化する場合があります。 ただし、これが行われていることをアプリケーションサーバーのドキュメントで確認してください。
Trust Store に保存された秘密鍵の保護 protecting-the-private-key-stored-in-trust-store
Trust Store に読み込まれた秘密鍵または資格情報は、JEE 上のAEM Formsデータベースに保存されます。 適切な予防策を講じて、データベースを保護し、指名された管理者のみにアクセスを制限します。