Dispatcher Security Checklist the-dispatcher-security-checklist

Adobe rekommenderar att du slutför följande checklista innan du börjar producera.

CAUTION
Slutför checklistan för din version av AEM innan du publicerar. Se motsvarande Adobe Experience Manager-dokumentation.

Använd den senaste versionen av Dispatcher use-the-latest-version-of-dispatcher

Installera den senaste tillgängliga versionen som är tillgänglig för din plattform. Uppgradera din Dispatcher-instans och använd den senaste versionen för att dra nytta av produkt- och säkerhetsförbättringarna. Se Installera Dispatcher.

NOTE
Du kan kontrollera den aktuella versionen av din Dispatcher-installation genom att titta i Dispatcher loggfil.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Om du vill hitta loggfilen kontrollerar du Dispatcher-konfigurationen i httpd.conf.

Begränsa klienter som kan tömma cachen restrict-clients-that-can-flush-your-cache

Adobe rekommenderar att du begränsar antalet klienter som kan tömma cachen.

Aktivera HTTPS för transportlagrets säkerhet enable-https-for-transport-layer-security

Adobe rekommenderar att du aktiverar HTTPS-transportlagret på både författare- och publiceringsinstanser.

Begränsa åtkomst restrict-access

Begränsa den externa åtkomsten så mycket som möjligt när du konfigurerar Dispatcher. Se Exempel/filteravsnitt i Dispatcher-dokumentationen.

Kontrollera att åtkomst till administrativa URL:er nekas make-sure-access-to-administrative-urls-is-denied

Se till att du använder filter för att blockera extern åtkomst till administrativa URL:er, t.ex. webbkonsolen.

En lista med URL:er som måste blockeras finns i Testar Dispatcher Security.

Använd Tillåtelselista i stället för Blockeringslista use-allowlists-instead-of-blocklists

Tillåtelselista är ett bättre sätt att tillhandahålla åtkomstkontroll eftersom de till sin natur antar att alla åtkomstbegäranden ska nekas såvida de inte uttryckligen ingår i tillåtelselista. Den här modellen ger mer restriktiv kontroll över nya begäranden som kanske inte har granskats än eller övervägts under en viss konfigurationsfas.

Kör Dispatcher med en dedikerad systemanvändare run-dispatcher-with-a-dedicated-system-user

När du konfigurerar Dispatcher måste du se till att webbservern körs av en dedikerad användare med minst behörighet. Vi rekommenderar att du bara ger skrivåtkomst till cachemappen för Dispatcher.

IIS-användare måste dessutom konfigurera sin webbplats på följande sätt:

  1. Välj Anslut som en specifik användare i inställningen för fysisk sökväg för din webbplats.
  2. Ange användaren.

Förhindra DoS-attacker prevent-denial-of-service-dos-attacks

En denial of service-attack (DoS) är ett försök att göra en datorresurs otillgänglig för de avsedda användarna.

På Dispatcher-nivå finns det två metoder för att konfigurera för att förhindra DoS-attacker: Filter

  • Använd modulen mod_rewrite (till exempel Apache 2.4) för att utföra URL-valideringar (om URL-mönsterreglerna inte är för komplexa).

  • Hindra Dispatcher från att cachelagra URL:er med falska tillägg genom att använda filters.
    Ändra till exempel cachningsreglerna för att begränsa cachning till de förväntade MIME-typerna, som:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    En exempelkonfigurationsfil kan visas för att begränsa extern åtkomst. Den innehåller begränsningar för MIME-typer.

Om du vill aktivera alla funktioner för publiceringsinstanserna konfigurerar du filter så att de inte får åtkomst till följande noder:

  • /etc/
  • /libs/

Konfigurera sedan filter för att ge åtkomst till följande nodsökvägar:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS och JSON)

  • /libs/cq/security/userinfo.json (CQ-användarinformation)

  • /libs/granite/security/currentuser.json (data får inte cachelagras)

  • /libs/cq/i18n/* (Internalisering)

Konfigurera Dispatcher för att förhindra CSRF-attacker configure-dispatcher-to-prevent-csrf-attacks

AEM tillhandahåller ett Framework som syftar till att förhindra attacker av typen Cross-Site Request. Om du vill använda ramverket på rätt sätt tillåtslista du stödet för CSRF-token i Dispatcher genom att göra följande:

  1. Skapa ett filter som tillåter sökvägen /libs/granite/csrf/token.json;
  2. Lägg till rubriken CSRF-Token i avsnittet clientheaders i Dispatcher-konfigurationen.

Förhindra clickjacking prevent-clickjacking

För att förhindra clickjacking rekommenderar Adobe att du konfigurerar webbservern så att HTTP-huvudet X-FRAME-OPTIONS anges till SAMEORIGIN.

Mer information om clickjacking finns på OWASP-webbplatsen.

Utför ett penetrationstest perform-a-penetration-test

Adobe rekommenderar starkt att du utför ett penetrationstest av din AEM infrastruktur innan du börjar producera.

recommendation-more-help
ce382601-480f-4a99-8be7-73178d4b6ef5