Skip To Content

제한적 HTTPS 통신 적용

ArcGIS Enterprise 포털에 대한 HTTP 접근을 비활성화한 경우에도 SSL 스트리핑이라고 하는 일종의 보안 공격에 여전히 취약할 수 있습니다. 이 유형의 공격은 사이트가 사용자의 웹 브라우저에 HTTPS 요청만 사용하도록 알리는 전달이 없다는 점을 이용합니다. 공격자가 포트 80에서 포털 웹 사이트에 대한 위조 복사본을 실행하고 사용자의 브라우저에서 초기 HTTP 요청을 가로채는 경우 사용자로부터 손상된 보안 정보를 받을 수 있습니다.

SSL 스트리핑 공격에 대한 이 취약성을 차단하기 위해 HSTS(HTTP Strict Transport Security) 프로토콜은 이러한 통신이 다시 사용자의 웹 브라우저에 제공되도록 포털을 구성합니다. HSTS는 ArcGIS Enterprise 10.6.1 포털에서 활성화할 수 있습니다.

포털에서 HSTS(HTTP Strict Transport Security) 활성화

10.6.1부터는 ArcGIS Portal 관리자 디렉터리의 보안 구성 문자열에 HSTSEnabled 불린(Boolean) 등록정보(기본 설정에 따라 false로 설정됨)가 포함되어 있습니다. 이 등록정보가 true로 업데이트되면 포털 웹 사이트는 웹 브라우저에 보안 HTTPS가 사용된 요청만 보내도록 전달합니다. 이 작업은 max-age 등록정보에서 정의된 이후 기간(초 단위로 지정됨) 동안 HTTPS 요청만 사용하도록 브라우저에 안내하는 Strict-Transport-Security 헤더를 통해 수행됩니다. 이 기간은 다음과 같이 1년으로 설정됩니다. Strict-Transport-Security: max-age=31536000.

주의:

사용자가 ArcGIS Web Adaptor 또는 역방향 프록시 서버를 통해 포털에 접근하는 경우 사이트에 HSTS를 적용하면 의도하지 않은 결과가 발생할 수 있습니다. HSTS 프로토콜을 통해 전송된 헤더에 따라 사용자의 웹 브라우저는 HTTPS 요청만 이러한 기기에 전송하게 되며, ArcGIS Web Adaptor 또는 역방향 프록시 서버를 호스팅하는 웹 서버가 HTTPS를 사용하지 않는 다른 응용프로그램을 동시에 호스팅하고 있는 경우 사용자는 이러한 다른 응용프로그램에 접근할 수 없게 됩니다. 따라서 HSTS를 활성화하기 전에 종속성이 존재하지 않는지 확인해야 합니다.

포털 웹 사이트에서 HSTS를 활성화하려면 다음 단계를 따릅니다.

  1. https://portal.domain.com:7443/arcgis/portaladmin에서 ArcGIS Portal 관리자 디렉터리에 로그인합니다.
  2. 보안 > SSL 인증서 > 업데이트로 이동합니다.
  3. 이 페이지에서 HSTS(HTTP Strict Transport Security) 활성화 옵션을 선택하여 HSTS를 활성화하고 업데이트를 확인합니다.
    참고 사항:

    모든 통신에 대해 HTTPS를 사용하도록 포털을 구성하지 않은 경우 HSTS를 활성화하면 자동으로 구성됩니다.

  4. 포털을 다시 시작하면 사이트에 요청을 보내는 모든 웹 브라우저에 Strict-Transport-Security 헤더가 반환되기 시작합니다.

HSTS(HTTP Strict Transport Security)는 ArcGIS Server 사이트에서 활성화할 수도 있습니다.