Liste de contrôle de renforcement de la sécurité du site

Pour renforcer la sécurité de votre site HCL Commerce, vous pouvez activer et configurer diverses fonctions de sécurité. En outre, les personnalisations de site doivent toujours être effectuées pour se conformer aux bonnes pratiques décrites dans le présent document.

Il ne s'agit pas d'une liste exhaustive des mesures de sécurité pour votre site. Cette liste est conçue principalement pour faciliter la navigation dans la section sur la sécurité HCL Commerce de la documentation HCL Commerce, et pour mettre en évidence les considérations de sécurité pour HCL Commerce et la configuration sécurisée d'autres produits compagnons. Un renforcement supplémentaire de la sécurité peut s'avérer nécessaire pour assurer la sécurité de votre site. Pour plus d'informations sur les normes de sécurité, voir Normes de sécurité.

Développement

Cette liste est fournie à des fins de développement. Assurez-vous que les personnalisations de votre site soient conformes aux bonnes pratiques énoncées dans les rubriques suivantes :

Passez en revue les sections de sécurisation et de développement dans la documentation HCL Commerce. Assurez-vous que vous connaissez tous les dispositifs de sécurité et les bonnes pratiques de développement qui sont en place avant de développer des ajouts ou des personnalisations.
Assurez-vous que le contrôle d'accès approprié est utilisé dans toutes les personnalisations et ajouts. Voir Implémentation du contrôle d'accès. Pour des précisions sur la manière d'éviter les pièges courants du contrôle d'accès, et pour des exemples de mise en œuvre correcte, voir :
- DB2 security, Part 8: Twelve DB2 security best practices.
- Hardening Site Security – Implementing Access Control with Commands.
Réduisez les menaces d'attaques de cross-site scripting en assurant que toutes les sorties sont codées avec la balise wcf:out. Pour plus d'informations sur la balise out , voir Balise : out. Sinon, il est possible également d'utiliser la balise c:out standard.
Activez la protection contre la contrefaçon de demandes intersites pour protéger toutes les actions sensibles. Pour plus d'informations sur l'activation de la protection contre la contrefaçon de requêtes intersites, voir Activation de la protection de contrefaçon de demande intersites en code Struts, Activation de la protection de falsification de requêtes intersite dans REST et Activation de la falsification de requêtes intersite dans Spring.

Configuration

Cette liste est fournie aux fins d'administration du site. Assurez-vous que votre site est configuré pour être renforcé contre les vecteurs d'attaque courante avec les rubriques suivantes :

Protégez vos clés de commerçant et de paiement en utilisant Key Locator Framework (KLF).
Assurez-vous que les délais d'attente de connexion sont activés pour les sessions utilisateur. Pour activer le délai d'attente de session, consultez Expiration de la session. Cela est encore plus important si vous avez activé le support d'ouverture de connexion multiple.
Activez la validation des données de la liste blanche pour les URL de magasins et les appels REST pour interdire les paramètres non conformes. Pour plus d'informations sur le filtrage de liste blanche, voir Activation de la validation de données en liste blanche.
Assurez-vous que la protection cross-site scripting reste activée. Pour vérifier que cette fonction est activée, voir Activation de la protection des scripts intersite.
Mettez à niveau le chiffrement de votre base de données à une norme plus forte pour réduire le risque d'une attaque par force brute. Pour obtenir des instructions sur la mise à niveau du chiffrement de votre base de données, voir Mise à jour des données chiffrées dans la base de données à l'aide de MigrateEncyrptedInfo.
Mettez en œuvre des seuils d'objets métier pour réduire la menace d'attaques de déni de service. Pour obtenir des instructions sur la mise en œuvre des seuils d'objet métier, voir Seuils d'objet métier.
Utilisez l'utilitaire updateua pour affecter et limiter les autorisations de base de données au contrôle essentiel seulement. Pour plus d'informations sur l'utilitaire updateua, voir Mise à jour de l'utilitaire d'autorisation d'utilisateur.
Assurez-vous que les règles de complexité des mots de passe et les politiques de verrouillage de compte sont en place. Voir Définition d'une stratégie de mot de passe et Définition d'une stratégie de verrouillage de compte.
Assurez-vous que les utilisateurs privilégiés, tels que les représentants du service clientèle et les administrateurs du site, sont empêchés de se connecter à votre site à partir des réseaux externes. Pour plus d'informations sur le contrôle de l'accès des utilisateurs privilégiés, voir Empêcher les utilisateurs privilégiés de se connecter en externe.
Assurez-vous que la table STORECONF est uniquement renseignée avec des données de configuration de magasin non sensibles, dans la mesure où elle est destinée à être accessible par un code client de magasin non authentifié.

Déploiement

Cette liste est fournie à des fins de déploiement du site. Assurez-vous que votre site est configuré pour être renforcé contre les vecteurs d'attaque courante avec les rubriques suivantes :

Assurez-vous que vos environnements de production utilisent Kubernetes, à l'exception de toute autre forme d'orchestration de conteneurs Docker. Il est impératif de consacrer le temps et les efforts nécessaires à la définition de l'architecture de votre déploiement Kubernetes et de le renforcement de la sécurité, l'équilibrage de la charge, le routage d'entrée et le réglage des performances.. Pour plus d'informations, voir Déploiement de HCL Commerce version 9.1 sur Kubernetes.
Assurez-vous d'avoir spécifié vos propres clé de commerçant, clé de chiffrement de clé, clé de session et mot de passe spiuser.
Pour plus d'informations, voir :
- Données d'environnement dans Vault.
- Définition du mot de passe spiuser dans vos images Docker.
Limitez les privilèges système en exécutant votre déploiement en tant qu'utilisateur non root. Pour plus d'informations, voir HCL Commerce utilisateurs et privilèges liés aux conteneurs.
Activez vaultLoadDataWithSecret pour améliorer la sécurité de vos données Vault. Pour plus d'informations, voir Déploiement d'un Vault de développement pour HCL Commerce sur Kubernetes.

Maintenance et opérations

Cette liste est fournie aux fins de l'administration continue du site. L'examen et l'application en temps opportun des correctifs de sécurité et de maintenance garantissent que vous connaissez les problèmes de sécurité en cours, et que votre site est à jour et renforcé contre les attaques :

Abonnez-vous aux bulletins de sécurité HCL Commerce et examinez tous les bulletins de sécurité publiés. Pour plus d'informations, voir Security bulletins.
Assurez-vous de garder votre produit à jour avec les derniers packages correctifs de maintenance. Portez une attention particulière aux bulletins liés à la sécurité.
Effectuez des tests approfondis et permanents de votre site. Portez une attention particulière à toutes les personnalisations de site. Rappel : la sécurité est un processus continu, et n'est pas un produit ou une tâche terminé une fois pour toutes.
Mettez en place un calendrier de rotation de la clé de chiffrement et assurez-vous que le processus est sécurisé. Ce processus réduit le risque d'une attaque par force brute réussie, et atténue les résultats potentiels d'une clé compromise. Pour plus d'informations sur la façon de modifier votre clé de chiffrement, voir utilitaire MigrateEncryptedInfo.
Utilisez le paramètre -passwordFile pour tous les utilitaires de ligne de commande qui ont ce paramètre pour limiter l'exposition des mots de passe en texte brut.

Autres logiciels

HCL Commerce n'est qu'un élément d'un plus vaste groupe de logiciels nécessaires au fonctionnement de votre site. Assurez-vous que vous configurez et renforcez correctement tous les logiciels qui font partie de votre installation. Veillez à installer rapidement toutes les versions de maintenance et de sécurité. Toutes les personnalisations apportées à ces produits doivent également se conformer aux bonnes pratiques documentées respectives.

Recherchez les flashs, les alertes et les bulletins, et téléchargez les correctifs pour tous les produits IBM sur IBM Support Portal. Voir IBM Support Portal.
Abonnez-vous pour recevoir des mises à jour de produits importantes pour tout produit IBM par e-mail ou RSS. Voir Critical IBM software support updates.

Consultez la documentation suivante pour chaque logiciel que vous utilisez pour plus de recommandations de sécurité :

Note: Cette liste est non exhaustive et se limite à des produits IBM.

IBM Sterling Order Management
IBM HTTP Server
- Examinez et mettez en œuvre toutes les considérations de sécurité standard du serveur Web. Pour des considérations de sécurité du serveur Web, voir Considérations sur la sécurité du serveur Web.
- Réduisez la menace de clickjacking en activant l'en-tête X-Frame-Options. Pour obtenir des instructions sur l'activation de l'en-tête X-Frame-Options, voir Activation de l'en-tête X-Frame-Options.
IBM Db2 Database
- Lisez la rubrique Db2 security, Part 8: Twelve Db2 security best practices.