ArcGIS Enterprise 포털에 대한 HTTP 접근을 비활성화한 경우에도 SSL 스트리핑이라고 하는 일종의 보안 공격에 여전히 취약할 수 있습니다. 이 유형의 공격은 사이트가 사용자의 웹브라우저에 HTTPS 요청만 사용하도록 알리는 전달이 없다는 점을 이용합니다. 공격자가 포트 80에서 포털 웹사이트에 대한 위조 복사본을 실행하고 사용자의 브라우저에서 초기 HTTP 요청을 가로채는 경우 사용자로부터 손상된 보안 정보를 받을 수 있습니다.
SSL 스트리핑 공격에 대한 이 취약성을 차단하기 위해 HSTS(HTTP Strict Transport Security) 프로토콜은 이러한 통신이 다시 사용자의 웹브라우저에 제공되도록 포털을 구성합니다. HSTS는 ArcGIS Enterprise 11.0 포털에서 활성화할 수 있습니다.
포털에서 HSTS(HTTP Strict Transport Security) 활성화
10.6.1부터는 ArcGIS Portal 관리자 디렉터리의 보안 구성 문자열에 HSTSEnabled 불린(Boolean) 등록정보(기본 설정에 따라 false로 설정됨)가 포함되어 있습니다. 이 등록정보가 true로 업데이트되면 포털 웹사이트는 웹브라우저에 보안 HTTPS가 사용된 요청만 보내도록 전달합니다. 이 작업은 Strict-Transport-Security 등록정보에서 정의된 이후 기간(초 단위로 지정됨) 동안 HTTPS 요청만 사용하도록 브라우저에 안내하는 max-age 헤더를 통해 수행됩니다. 이 기간은 다음과 같이 1년으로 설정됩니다. Strict-Transport-Security: max-age=31536000.
주의:
사용자가 ArcGIS Web Adaptor 또는 역방향 프록시 서버를 통해 포털에 접근하는 경우 사이트에 HSTS를 적용하면 의도하지 않은 결과가 발생할 수 있습니다. HSTS 프로토콜을 통해 전송된 헤더에 따라 사용자의 웹브라우저는 HTTPS 요청만 이러한 기기에 전송하게 되며, ArcGIS Web Adaptor 또는 역방향 프록시 서버를 호스팅하는 웹서버가 HTTPS를 사용하지 않는 다른 응용프로그램을 동시에 호스팅하고 있는 경우 사용자는 이러한 다른 응용프로그램에 접근할 수 없게 됩니다. 따라서 HSTS를 활성화하기 전에 종속성이 존재하지 않는지 확인해야 합니다.
포털 웹사이트에서 HSTS를 활성화하려면 다음 단계를 따릅니다.
- https://portal.domain.com:7443/arcgis/portaladmin에서 ArcGIS Portal 관리자 디렉터리에 로그인합니다.
- 보안 > SSL 인증서 > 업데이트로 이동합니다.
- 이 페이지에서 HSTS(HTTP Strict Transport Security) 활성화 옵션을 선택하여 HSTS를 활성화하고 업데이트를 확인합니다.
비고:
기본 설정에 따라, Portal for ArcGIS에서는 모든 통신에 HTTPS가 적용됩니다. 이전에 포털에서 HTTP 및 HTTPS 통신을 모두 허용하도록 이 설정을 변경한 경우 HSTS를 활성화하면 HTTPS 전용 통신이 자동으로 강화됩니다.
- 포털을 다시 시작하면 사이트에 요청을 보내는 모든 웹브라우저에 Strict-Transport-Security 헤더가 반환되기 시작합니다.
HSTS(HTTP Strict Transport Security)는 ArcGIS Server 사이트에서 활성화할 수도 있습니다.