Dispatcher 安全核对清单 the-dispatcher-security-checklist

Adobe 建议您在开始生产前完成以下核对清单。

CAUTION
在上线之前完成 AEM 版本的安全核对清单。请参阅相应的 Adobe Experience Manager 文档

使用最新版本的 Dispatcher use-the-latest-version-of-dispatcher

安装适用于您平台的最新可用版本。升级您的 Dispatcher 实例以使用最新版本以利用产品和安全增强功能。 请参阅安装 Dispatcher

NOTE
您可以通过查看 Dispatcher 日志文件来查看 Dispatcher 安装的当前版本。
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
要查找日志文件,请检查 httpd.conf 中的 Dispatcher 配置。

限制可以刷新缓存的客户端 restrict-clients-that-can-flush-your-cache

Adobe 建议您限制可以刷新缓存的客户端。

为传输层安全性启用 HTTPS enable-https-for-transport-layer-security

Adobe 建议在创作实例和发布实例上启用 HTTPS 传输层。

限制访问 restrict-access

在配置 Dispatcher 时应尽可能多地限制外部访问。请参阅 Dispatcher 文档中的示例 /filter 部分

确保对管理 URL 的访问被拒绝 make-sure-access-to-administrative-urls-is-denied

请务必使用过滤器阻止对任何管理 URL 的外部访问,例如 Web 控制台。

有关必须阻止的 URL 的列表,请参阅测试 Dispatcher 安全性

使用允许列表而非阻止列表 use-allowlists-instead-of-blocklists

允许列表是提供访问控制的更好方式,因为它们本身会假定所有访问请求都应被拒绝(明确属于允许列表的访问请求除外)。此模型可以对在特定配置阶段可能尚未审查或考虑的新请求进行更严格的控制。

以专用系统用户身份运行 Dispatcher run-dispatcher-with-a-dedicated-system-user

在配置 Dispatcher 时,确保 Web 服务器由具有最低权限的专用用户运行。建议您只授予对 Dispatcher 缓存文件夹的写访问权限。

此外,IIS 用户必须按如下方式配置其网站:

  1. 在网站的物理路径设置中,选择​ 以特定用户身份连接
  2. 设置用户。

防御拒绝服务 (DoS) 攻击 prevent-denial-of-service-dos-attacks

拒绝服务 (DoS) 攻击是一种试图让计算机资源对其目标用户不可用的攻击。

在 Dispatcher 级别,可通过两种配置方法来防御 DoS 攻击:过滤器

  • 使用 mod_rewrite 模块(例如 Apache 2.4)执行 URL 验证(如果 URL 模式规则不是太复杂)。

  • 通过使用过滤器防止 Dispatcher 缓存带假扩展的 URL。
    例如,更改缓存规则以仅允许缓存预期的 MIME 类型,例如:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    限制外部访问的配置文件示例。它包括对 MIME 类型的限制。

要在发布实例上启用全部功能,请配置过滤器以阻止对以下节点的访问:

  • /etc/
  • /libs/

然后,配置过滤器以允许对以下节点路径的访问:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/*(JS、CSS 和 JSON)

  • /libs/cq/security/userinfo.json(CQ 用户信息)

  • /libs/granite/security/currentuser.json不得缓存数据

  • /libs/cq/i18n/*(国际化)

配置 Dispatcher 以防御 CSRF 攻击 configure-dispatcher-to-prevent-csrf-attacks

AEM 提供了一个用于防御跨站点请求伪造攻击的框架。要正确使用该框架,请执行以下操作,在 Dispatcher 中允许支持 CSRF 令牌:

  1. 创建过滤器以允许 /libs/granite/csrf/token.json 路径;
  2. CSRF-Token 标头添加到 Dispatcher 配置的 clientheaders 部分。

防御点击劫持攻击 prevent-clickjacking

若要防御点击劫持攻击,Adobe 建议您将 Web 服务器配置为将 X-FRAME-OPTIONS HTTP 标头集提供给 SAMEORIGIN

有关点击劫持攻击的更多信息,请参阅 OWASP 网站

执行渗透测试 perform-a-penetration-test

Adobe 强烈建议在开始生产之前对 AEM 基础架构执行渗透测试。

recommendation-more-help
ce382601-480f-4a99-8be7-73178d4b6ef5