De Dispatcher-beveiligingscontrolelijst the-dispatcher-security-checklist

Adobe raadt u aan de volgende checklist in te vullen voordat u verdergaat met de productie.

CAUTION
Vul de lijst Beveiligingscontrole van uw versie van AEM in voordat u live gaat. Zie de overeenkomstige documentatie van Adobe Experience Manager.

De nieuwste versie van Dispatcher gebruiken use-the-latest-version-of-dispatcher

Installeer de nieuwste beschikbare versie die beschikbaar is voor uw platform. Voer een upgrade uit op uw Dispatcher-exemplaar om de nieuwste versie te gebruiken en zo te profiteren van product- en beveiligingsverbeteringen. Zie Installerend Dispatcher.

NOTE
U kunt de huidige versie van uw Dispatcher-installatie controleren door het Dispatcher-logbestand te bekijken.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Als u het logbestand wilt zoeken, controleert u de Dispatcher-configuratie in uw httpd.conf .

Clients beperken die uw cache kunnen leegmaken restrict-clients-that-can-flush-your-cache

Adobe adviseert dat u de cliƫnten beperkt die uw geheime voorgeheugen kunnen leegmaken.

HTTPS inschakelen voor beveiliging van transportlagen enable-https-for-transport-layer-security

Adobe raadt aan de HTTPS-transportlaag in te schakelen voor zowel auteur- als publicatieinstanties.

Toegang beperken restrict-access

Wanneer het vormen van de Dispatcher, beperking externe toegang zoveel mogelijk. Zie Sectie van het Voorbeeld /filterin de documentatie van Dispatcher.

Zorg ervoor dat toegang tot administratieve URL's wordt geweigerd make-sure-access-to-administrative-urls-is-denied

Zorg ervoor dat u filters gebruikt om externe toegang tot eventuele beheerURL's, zoals de webconsole, te blokkeren.

Zie het Testen de Veiligheid van Dispatchervoor een lijst van URLs die moet worden geblokkeerd.

Lijsten van gewenste personen gebruiken in plaats van Lijsten van gewezen personen use-allowlists-instead-of-blocklists

Lijsten van gewenste personen zijn een betere manier om toegangscontrole te verlenen aangezien zij inherent, veronderstellen zij dat alle toegangsverzoeken zouden moeten worden ontkend tenzij zij uitdrukkelijk deel van de lijst van gewenste personen uitmaken. Dit model verstrekt meer restrictieve controle over nieuwe verzoeken die nog niet zouden kunnen zijn herzien of tijdens een bepaalde configuratiestadium overwogen.

Dispatcher uitvoeren met een specifieke systeemgebruiker run-dispatcher-with-a-dedicated-system-user

Zorg er bij het configureren van de Dispatcher voor dat de webserver wordt uitgevoerd door een toegewijde gebruiker met de minste toegangsrechten. U wordt aangeraden alleen schrijftoegang te verlenen tot de Dispatcher-cachemap.

IIS-gebruikers moeten hun website ook als volgt configureren:

  1. In het fysieke weg plaatsen voor uw website, uitgezochte verbind als specifieke gebruiker.
  2. Stel de gebruiker in.

Ontkenning van service-aanvallen (DoS) voorkomen prevent-denial-of-service-dos-attacks

Een ontkenning van de dienst (Dos) aanval is een poging om een computermiddel niet beschikbaar te maken aan zijn voorgenomen gebruikers.

Op het niveau van Dispatcher, zijn er twee methodes om aanvallen van Dos te verhinderen: Filters

  • Gebruik mod_rewrite module (bijvoorbeeld, Apache 2.4) om URL validaties uit te voeren (als de URL patroonregels niet te complex zijn).

  • Verhinder Dispatcher URLs met valse uitbreidingen in het voorgeheugen onderbrengen door filterste gebruiken.
    Wijzig bijvoorbeeld de caching-regels om caching te beperken tot de verwachte mime-typen, zoals:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    Een dossier van de voorbeeldconfiguratie kan voor worden gezien die externe toegangbeperken. Het bevat beperkingen voor mime-typen.

Als u volledige functionaliteit wilt inschakelen voor de publicatie-instanties, configureert u filters om toegang tot de volgende knooppunten te voorkomen:

  • /etc/
  • /libs/

Configureer vervolgens filters om toegang tot de volgende knooppuntpaden toe te staan:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS en JSON)

  • /libs/cq/security/userinfo.json (CQ-gebruikersgegevens)

  • /libs/granite/security/currentuser.json (gegevens moeten niet in het voorgeheugen ondergebracht worden)

  • /libs/cq/i18n/* (Internationalisatie)

Dispatcher configureren om CSRF-aanvallen te voorkomen configure-dispatcher-to-prevent-csrf-attacks

AEM verstrekt a kadergericht op het verhinderen van de aanvallen van de Versmeding van het Verzoek van de Depositovergangen van de Depositovergangen. Om dit kader goed te gebruiken, lijst van gewenste personen symbolische steun CSRF in Dispatcher door het volgende te doen:

  1. Een filter maken om het /libs/granite/csrf/token.json -pad toe te staan;
  2. Voeg de header CSRF-Token toe aan de sectie clientheaders van de Dispatcher-configuratie.

Klikaanvallen voorkomen prevent-clickjacking

Om klikaanvallen te voorkomen, adviseert de Adobe dat u uw webserver vormt om X-FRAME-OPTIONS kopbal te verstrekken die aan SAMEORIGIN wordt geplaatst.

Voor meer informatie bij klikjacking, zie de plaats van OWASP.

Een beveiligingstest uitvoeren perform-a-penetration-test

Adobe beveelt ten zeerste aan om een penetratietest van uw AEM-infrastructuur uit te voeren voordat u verdergaat met de productie.

recommendation-more-help
ce382601-480f-4a99-8be7-73178d4b6ef5