Problemas de segurança e desempenho de script do AEM RUM com o WAF e o CDN

O Adobe Experience Manager (AEM) injeta o script de Monitoramento de usuário real (RUM) nas páginas de publicação, o que aciona problemas de segurança e desempenho, como blocos do WAF, solicitações excessivas de telemetria e restrições de proxy. Esses problemas ocorrem devido ao alto volume de solicitações, caminhos de script relativos ou configurações de segurança rígidas. Para resolver o problema, permita endpoints, ajuste regras de proxy e valide descobertas.

Descrição description

Ambiente

Adobe Experience Manager as a Cloud Service (AEMaaCS)

Problema/Sintoma

  • O WAF ou CDN bloqueia solicitações POST repetidas para /.rum/100 e mostra erros como 403 Acesso Negado.
  • O ambiente mostra solicitações de POST repetidas para /.rum/100, o que causa atividade excessiva na rede ou bloqueios de limite de taxa.
  • As verificações de segurança sinalizam caminhos de script não familiares, como /.rum/@adobe/helix-rum-js@2/dist/rum-standalone.js.
  • O proxy reverso bloqueia caminhos RUM relativos, como /.rum/..., o que impede que o script RUM seja carregado.
  • A CDN adiciona cadeias de caracteres de consulta inesperadas, que acionam repetidas tentativas de RUM e blocos de WAF.

Causa raiz

O problema ocorre quando o script AEM RUM, que o AEM as a Cloud Service injeta por padrão para telemetria operacional, envia solicitações frequentes para pontos de extremidade relativos, como /.rum/100. Configurações rígidas de CDN, WAF ou proxy tratam o padrão da solicitação, o caminho relativo ou as solicitações modificadas como uma atividade suspeita, o que resulta em tráfego bloqueado, tentativas repetidas ou descobertas de segurança.

Resolução resolution

Siga estas etapas para identificar o tipo de problema de RUM e aplicar a correção apropriada:

  1. Identifique o tipo de problema comparando o comportamento observado com cenários como bloqueio de proxy reverso, solicitações excessivas de telemetria, descobertas do verificador de segurança ou solicitações para desativar o RUM.
  2. Resolva o bloqueio de proxy reverso permitindo rum.hlx.page na configuração de CDN, WAF ou proxy e na CSP para que o script seja carregado de um domínio totalmente qualificado em vez de um caminho relativo.
  3. Resolva o bloqueio do WAF permitindo o ponto de extremidade de telemetria /.rum/100 e confirmando que o tráfego de telemetria legítimo não está mais bloqueado.
  4. Aborde as descobertas da verificação de segurança revisando os caminhos RUM sinalizados e confirmando que o Adobe injeta o script e que o caminho é seguro.
  5. Desative ou restrinja o RUM abrindo uma solicitação de suporte se precisar que o script RUM seja desativado, pois não poderá desativá-lo por meio do código.
  6. Limpe o cache CDN após qualquer alteração de configuração de RUM para remover scripts de RUM obsoletos e aplicar o comportamento atualizado.
  7. Valide o relatório de RUM confirmando se as páginas são carregadas corretamente, se o script usa o domínio desejado ou se permanece desativado e se os erros não aparecem mais nos logs do WAF ou do CDN.

Quando escalonar:

  • O problema continua após permitir os endpoints e atualizar a configuração do proxy, CDN ou WAF.
  • As solicitações de telemetria ainda acionam blocos repetidos ou picos de solicitações altas.
  • O script RUM continua a carregar ou se comportar incorretamente após a alteração de configuração.
  • A desativação do script RUM requer a intervenção do Suporte da Adobe.

Leitura relacionada

recommendation-more-help
experience-cloud-kcs-help-kbarticles