Lista de verificação de segurança do Dispatcher the-dispatcher-security-checklist
A Adobe recomenda conferir a seguinte lista de verificação antes de prosseguir para a produção.
Usar a versão mais recente do Dispatcher use-the-latest-version-of-dispatcher
Instale a versão mais recente disponível para a sua plataforma. Atualize a instância do Dispatcher para usar a versão mais recente e assim aproveitar os aprimoramentos de produto e segurança. Consulte Instalação do Dispatcher.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
httpd.conf
.Restringir clientes que podem liberar seu cache restrict-clients-that-can-flush-your-cache
A Adobe recomenda que você limite os clientes que possam liberar seu cache.
Habilitar HTTPS para segurança da camada de transporte enable-https-for-transport-layer-security
A Adobe recomenda habilitar a camada de transporte HTTPS nas instâncias de criação e publicação.
Restringir acesso restrict-access
Ao configurar o Dispatcher, restrinja o acesso externo o máximo possível. Consulte Seção de Exemplo /filtro na documentação do Dispatcher.
Verificar se o acesso a URLs administrativos é negado make-sure-access-to-administrative-urls-is-denied
Use filtros para bloquear o acesso externo a URLs administrativos, como o Console da Web.
Consulte Teste de segurança do Dispatcher para obter uma lista de URLs que devem ser bloqueados.
Uso de listas de permissões em vez de lista de bloqueios use-allowlists-instead-of-blocklists
Listas de permissões são uma maneira melhor de fornecer controle de acesso, pois, por natureza, elas pressupõem que todas as solicitações de acesso devem ser negadas, a menos que façam parte explicitamente da lista de permissões. Esse modelo oferece um controle mais restritivo de novas solicitações que podem ainda não ter sido revisadas ou consideradas durante um determinado estágio de configuração.
Execução do Dispatcher com um usuário de sistema dedicado run-dispatcher-with-a-dedicated-system-user
Ao configurar o Dispatcher, verifique se o servidor Web é executado por um usuário dedicado com menos privilégios. É recomendado conceder acesso de gravação somente à pasta de cache do Dispatcher.
Além disso, os usuários de IIS devem configurar o site da seguinte maneira:
- Na configuração do caminho físico do seu site, selecione Conectar como um usuário específico.
- Defina o usuário.
Evitar ataques de negação de serviço (DoS) prevent-denial-of-service-dos-attacks
Um ataque de negação de serviço (DoS) é uma tentativa de tornar um recurso de computador indisponível para os usuários desejados.
No nível do Dispatcher, existem dois métodos de configuração para evitar ataques DoS: Filtros
-
Use o módulo mod_rewrite (por exemplo, Apache 2.4) para executar validações de URL (se as regras do padrão de URL não forem muito complexas).
-
Evite que o Dispatcher armazene URLs em cache com extensões falsas por meio de filtros.
Por exemplo, altere as regras de armazenamento em cache para limitá-lo aos tipos mime esperados, como:.html
.jpg
.gif
.swf
.js
.doc
.pdf
.ppt
Um exemplo de arquivo de configuração pode ser visto para restrição de acesso externo. Inclui restrições para tipos de mime.
Para habilitar a funcionalidade completa nas instâncias de publicação, configure filtros para impedir o acesso aos seguintes nós:
/etc/
/libs/
Em seguida, configure os filtros para permitir o acesso aos seguintes caminhos de nó:
-
/etc/designs/*
-
/etc/clientlibs/*
-
/etc/segmentation.segment.js
-
/libs/cq/personalization/components/clickstreamcloud/content/config.json
-
/libs/wcm/stats/tracker.js
-
/libs/cq/personalization/*
(JS, CSS e JSON) -
/libs/cq/security/userinfo.json
(Informações ao usuário do CQ) -
/libs/granite/security/currentuser.json
(os dados não devem ser armazenados em cache) -
/libs/cq/i18n/*
(Internalização)
Configuração do Dispatcher para evitar ataques CSRF configure-dispatcher-to-prevent-csrf-attacks
O AEM fornece uma estrutura destinada a impedir ataques de falsificação de solicitação entre sites. Para fazer o uso correto dessa estrutura, inclua na lista de permissões o suporte ao token CSRF no Dispatcher fazendo o seguinte:
- criar um filtro para permitir o caminho
/libs/granite/csrf/token.json
; - adicionar o cabeçalho
CSRF-Token
à seçãoclientheaders
da configuração do Dispatcher.
Prevenção contra clickjacking prevent-clickjacking
Para evitar o clickjacking, a Adobe recomenda configurar o servidor web para fornecer o cabeçalho HTTP X-FRAME-OPTIONS
definido como SAMEORIGIN
.
Para mais informações sobre clickjacking, consulte o site OWASP.
Realizar um teste de penetração perform-a-penetration-test
A Adobe recomenda realizar um teste de penetração na infraestrutura do AEM antes de prosseguir para a produção.