-
Lars FischerProfessional Services, Magnolia
Bewährte Magnolia-Sicherheitspraktiken
Magnolia-Benutzer fragen uns häufig nach unseren bewährten Sicherheitspraktiken. Obwohl die meisten Informationen in unserer Dokumentation zu finden sind, möchte ich eine Zusammenfassung der wichtigsten Dinge, die Sie wissen müssen, und der wichtigsten Ressourcen, die Sie konsultieren können, bereitstellen.
Zugangssicherheit
Erstellen Sie automatisierte Aufgaben in Ihrem Magnolia-Projekt
- um sicherzustellen
- dass grundlegende Sicherheitskonfigurationen angewendet werden.
Deaktivieren Sie das Superuser-Konto und ändern Sie das Standardpasswort. Erstellen Sie ein neues Konto mit der Superuser-Rolle. Verwenden Sie einen Namen
- der nicht leicht zu erraten ist.
Der OS-Benutzer
- der den Webserver (Tomcat) ausführt
- sollte nur Lesezugriff haben und keine Befehle/Skripte auf der OS-Ebene ausführen
- um die Einschleusung von Java-Code zur Ausführung von Befehlen auf der OS-Ebene zu verhindern.
Blockieren Sie auf Produktionsinstanzen den Zugriff auf Magnolia AdminCentral von außerhalb Ihres Firmennetzwerks. Verwenden Sie ein VPN
- um aus der Ferne sicher auf AdminCentral zuzugreifen.
Nicht-öffentliche Instanzen
- wie die Magnolia-Autoreninstanz
- und Nicht-Produktionsinstanzen sollten ebenfalls nicht über das öffentliche Internet zugänglich sein.
Vergewissern Sie sich
- dass der anonymen Rolle der Zugriff auf Magnolia AdminCentral verweigert wird
- obwohl dies die Standardeinstellung ist.
Wenn Sie Schnittstellen wie REST-Endpunkte für Ihr Projekt erstellen
- sollten Sie die Zugriffsrechte entsprechend festlegen.
Wenn Sie benutzerdefinierte APIs verwenden
- geben Sie keine Benutzer/Passwort-Kombinationen weiter. Verwenden Sie stattdessen Token
- die von einem Identitätsanbieter (IDP) wie Azure
- Keycloak oder Okta bereitgestellt werden.
Erzwingen Sie sichere Passwörter. Der Artikel "The Usability of Passwords" von Thomas Baeddal befasst sich eingehend mit diesem Thema.
Wenn Sie lokale Benutzerkonten in Magnolia verwenden
- können Sie einen benutzerdefinierten Feldvalidator bereitstellen
- um Passwortregeln durchzusetzen.
Erwägen Sie die Implementierung von SSO für nicht-triviale Infrastrukturen
- um Benutzer zentral zu verwalten.
Wenn Sie SSO verwenden und Ihre IDP dies unterstützt
- implementieren Sie eine Passwort-Blacklist.
Seien Sie vorsichtig bei der Erstellung von benutzerdefinierten Weiterleitungen und Umleitungen zu anderen Websites.
Sicherheit der Daten
Implementieren Sie ein Sicherungskonzept und testen Sie es regelmäßig.
Halten Sie Ihre Magnolia-Instanzen auf dem neuesten Stand.
Wenn es Ihr Projekt erlaubt
- verwenden Sie getrennte Datenbanken für Autoren- und öffentliche Instanzen.
Das Repository und alle Dateien
- auf die in den Magnolia-Eigenschaften verwiesen wird
- müssen außerhalb der Webanwendung liegen. Sie sollten in der Lage sein
- das Magnolia-Web-Artefakt zu löschen
- ohne dass Daten oder Schlüssel verloren gehen.
External User Management and SSO with Magnolia
Single Sign-On (SSO) allows users to log in to applications using the same credentials for multiple applications, making it easier to manage user accounts across your IT landscape.
Sicherheitspolitik
Lesen Sie die Sicherheitsrichtlinien von Magnolia
- um zu erfahren
- wie wir sicherstellen
- dass Magnolia eine sichere Plattform für Ihr Projekt ist.
Lesen Sie die OWASP Top 10 Web Application Security Risks.
Sicherheitskorrekturen
Lesen Sie die Magnolia-Versionshinweise.
Verfolgen Sie die Magnolia-Ankündigungen.
Halten Sie Ihre Magnolia-Instanzen auf dem neuesten Stand.
Zusammenfassung und Ressourcen
Wir empfehlen Ihnen, diese bewährten Verfahren anzuwenden, bevor Sie Ihr Projekt in Betrieb nehmen. Weitere Einzelheiten finden Sie in der nachstehenden Dokumentation:
