大规模的数据泄露和关键的安全漏洞使公司比以往任何时候都更加关注安全问题。许多开发人员都熟悉OWASP前10名(https://owasp.org/www-project-top-ten/)。已经有许多关于这些漏洞的通用缓解的资源。因此,在本系列中,我将讨论特定于AEM的安全问题和缓解措施。在这里,我将介绍AEM的两个漏洞缓解工具,CryptoSupport和Service Users。
以前的系列文章:
AEM缓解工具
加密证书
建议在JCR中对所有密码、安全令牌和其他服务凭证进行加密。这样,即使攻击者获得了读取存储凭据的节点的访问权限,如果没有解密密钥,凭据也是无用的。如果通过OSGI属性存储这些凭证,则可以使用AEM的Crypto Support页面基于系统主密钥手动加密任何属性。加密后,用加密后的值更新/apps中匹配的运行模式OSGI配置。
在你的QA环境中执行是这样的:
- 配置所有QA发布者共享相同的系统主密钥。我建议每个环境类型(Dev、QA、Prod)使用不同的系统主密钥。
- 导航到QA发行商OSGI控制台,Config Mgr, Main选项卡和Crypto Support链接。通过纯文本字段生成加密属性(password/secret)。
-
- 如果您没有访问OSGI控制台(AMS)的权限,则需要使用Adobe创建支持票据,以便访问Prod中的OSGI控制台。
- 如果不可能,您可以让Adobe CSE为您生成加密属性,或者请他们帮助将CryptoKey复制到较低的环境中。
- 然而,这两种方法都有一些缺陷。让代表生成加密的属性可能是一个安全问题,客户端不允许这样做,因为实现团队在公司拥有的通信之外发送凭据。复制CryptoKey也是一个问题,因为在本地/开发环境和prod之间共享密钥会带来风险,因为这些环境通常总体上不太安全。
- 在作为云服务的AEM上,您可以利用云管理器秘密变量代替。
3.用加密的值更新代码库中适当的QA运行模式OSGI配置。
一旦这个过程完成,AEM的OSGI配置插件将自动解密OSGI服务中使用的任何加密的OSGI属性。您不应该在服务中使用任何手动解密库调用。有关这方面的更多详细信息,请参阅下面的Adobe文档。
业务用户权限
在旧的AEM版本中,开发人员通常使用管理会话来访问JCR中的数据。如今,大多数AEM开发人员已经更新了这些会话以利用服务用户,但并不是所有开发人员都围绕服务用户的权限实现了最佳实践。许多服务用户被分配了过于宽泛的权限,而不是特定的路径。例如,该平台不会阻止您实现具有与管理员相同权限的服务用户。如果是这种情况,一个不安全的端点可能导致服务器端XSS、拒绝服务攻击或通过JCR写入的数据泄露,我在之前的帖子中讨论过。
所以在限制权限时一定要考虑周全。一些关键的考虑因素是:
- 限制节点的类型以及服务用户写入的属性。
- 如果可能的话,将以编程方式读取和写入的内容合并到一组路径中。允许服务用户只读取这些路径,而不是所有的/app或/content。
- 在多租户架构中,利用多个服务用户来限制攻击面向量。
- 如果特定的经过身份验证的用户可以访问内容,则更倾向于使用其请求的资源解析器和acl,而不是使用服务用户。
为什么减少?
理想的服务、访问和存储设计包含许多考虑因素,涉众可能会怀疑这样做是否值得。毕竟,如果每个服务都设计得很好,没有漏洞,为什么要花时间加固系统的其他部分呢?我发现用家庭安全的类比来解释它很有用。大多数人并不仅仅依靠上锁的门来保护他们的房子免遭盗窃。有些人利用门栓、运动灯、邻里监视、保险箱和外部场所(银行)来保护他们的贵重物品。为什么?攻击变得更加复杂或改变方法。一旦攻击者突破了第一层防御,你就需要更多的防御来对付他们。
下周,我将介绍内容配置过滤器,以及特定于AEM作为云服务的缓解工具。
有关如何帮助您实现AEM安全目标和实现梦想的数字体验的更多信息,我们很乐意听取您的意见。
接触Perficient开始你的旅程.
