ONTAP WebサービスにHSTSを使用する
変更を提案
PDF
HTTP Strict Transport Security(HSTS)は、プロトコルダウングレード攻撃やCookieハイジャックといった中間者攻撃からウェブサイトを保護するためのWebセキュリティポリシーメカニズムです。HSTSはHTTPSの使用を強制することで、ユーザーのブラウザとサーバ間のすべての通信が暗号化されることを保証します。ONTAP9.17.1以降、 ONTAPはONTAP Webサービスに対してHTTPS接続を強制できるようになりました。
|
HSTSは、 ONTAPとの最初のセキュアなHTTPS接続が確立された後にのみ、Webブラウザによって適用されます。ブラウザが最初のセキュアな接続を確立しない場合、HSTSは適用されません。HSTSの管理については、ブラウザのドキュメントを参照してください。 |
-
9.17.1以降では、新規にインストールされたONTAPクラスタではHSTSがデフォルトで有効になっています。9.17.1にアップグレードすると、HSTSはデフォルトで有効になりません。アップグレード後にHSTSを有効にする必要があります。
-
HSTSはすべてサポートされています"ONTAP Webサービス" 。
-
次のタスクには高度な権限が必要です。
HSTS構成を表示
現在の HSTS 構成を表示して、有効になっているかどうかを確認し、最大経過時間の設定を表示できます。
-
使用
system services web showHSTS 設定を含む現在の Web サービス構成を表示するコマンド:cluster-1::system services web*> show External Web Services: true HTTP Port: 80 HTTPS Port: 443 Protocol Status: online Per Address Limit: 80 Wait Queue Capacity: 192 HTTP Enabled: true CSRF Protection Enabled: true Maximum Number of Concurrent CSRF Tokens: 500 CSRF Token Idle Timeout (Seconds): 900 CSRF Token Absolute Timeout (Seconds): 0 Allow Web Management via Cloud: true Enforce Network Interface Service-Policy: - HSTS Enabled: true HSTS max age (Seconds): 63072000
HSTSを有効にして最大年齢を設定する
ONTAP 9.17.1以降、新しいONTAPクラスタではHSTSがデフォルトで有効になっています。既存のクラスタを9.17.1以降にアップグレードする場合は、クラスタでHSTSを手動で有効にして、HTTPSの使用を強制する必要があります。HSTSを有効にして最大有効期間を設定できます。HSTSが有効になっている場合は、いつでも最大有効期間を変更できます。HSTSを有効にすると、ブラウザは最初のセキュア接続が確立された後にのみ、セキュア接続の強制を開始します。
-
使用
system services web modifyHSTS を有効にするか、最大経過時間を変更するコマンド:system services web modify -hsts-enabled true -hsts-max-age <seconds>`-hsts-max-age`ブラウザがHTTPSの適用を記憶する期間(秒数)を指定します。デフォルト値は63072000秒(2年)です。
HSTSを無効にする
ブラウザは接続ごとにHSTSの最大有効期間設定を保存し、 ONTAPでHSTSが無効になっている場合でも、接続中はHSTSを継続的に適用します。ブラウザがHSTSの適用を停止するまでには、設定された最大有効期間までかかります。この期間中に安全な接続が不可能になった場合、HSTSを適用しているブラウザは、問題が解決されるかブラウザの最大有効期間が切れるまで、 ONTAP Webサービスへのアクセスを許可しません。
-
HSTSを無効にするには、 `system services web modify`指示:
system services web modify -hsts-enabled false