ホーム
製品
OpenShift Container Platform
4.17
Ingress と負荷分散
1.2. ルートのセキュリティー保護

1.2. ルートのセキュリティー保護

HTTP Strict Transport Security (HSTS)を使用してルートを保護できます。

1.2.1. HTTP Strict Transport Security
リンクのコピー

HTTP Strict Transport Security (HSTS) ポリシーは、HTTPS トラフィックのみがルートホストで許可されるブラウザークライアントに通知するセキュリティーの拡張機能です。また、HSTS は、HTTP リダイレクトを使用せずに HTTPS トランスポートにシグナルを送ることで Web トラフィックを最適化します。HSTS は Web サイトとの対話を迅速化するのに便利です。

HSTS ポリシーが適用されると、HSTS はサイトから Strict Transport Security ヘッダーを HTTP および HTTPS 応答に追加します。HTTP を HTTPS にリダイレクトするルートで insecureEdgeTerminationPolicy 値を使用できます。HSTS を強制している場合は、要求の送信前にクライアントがすべての要求を HTTP URL から HTTPS に変更するため、リダイレクトの必要がなくなります。

クラスター管理者は、以下を実行するために HSTS を設定できます。

ルートごとに HSTS を有効にします。
ルートごとに HSTS を無効にします。
ドメインごとに HSTS を適用するか、ドメインと組み合わせた namespace ラベルを使用します。

重要

HSTS はセキュアなルート (edge-terminated または re-encrypt) でのみ機能します。この設定は、HTTP または passthrough ルートには適していません。

1.2.1.1. ルートごとの HTTP Strict Transport Security の有効化
リンクのコピー

HTTP Strict Transport Security (HSTS) は HAProxy テンプレートに実装され、haproxy.router.openshift.io/hsts_header アノテーションを持つ edge および re-encrypt ルートに適用されます。

前提条件

プロジェクトの管理者権限があるユーザーで、クラスターにログインしている。
OpenShift CLI (oc) がインストールされている。

手順

ルートで HSTS を有効にするには、haproxy.router.openshift.io/hsts_header 値を edge-terminated または re-encrypt ルートに追加します。これを実行するには、oc annotate ツールを使用してこれを実行できます。
```
oc annotate route <route_name> -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=31536000;\
includeSubDomains;preload"
```
```
$ oc annotate route <route_name> -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=31536000;\ 
```
1
```
includeSubDomains;preload"
```
Copy to Clipboard Toggle word wrap
1
この例では、最長期間は 31536000 ミリ秒 (約 8.5 時間) に設定されます。
注記
この例では、等号 (=) が引用符で囲まれています。これは、annotate コマンドを正しく実行するために必要です。
アノテーションで設定されたルートの例
```
apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/hsts_header: max-age=31536000;includeSubDomains;preload   
...
spec:
  host: def.abc.com
  tls:
    termination: "reencrypt"
    ...
  wildcardPolicy: "Subdomain"
```
```
apiVersion: route.openshift.io/v1
kind: Route
metadata:
  annotations:
    haproxy.router.openshift.io/hsts_header: max-age=31536000;includeSubDomains;preload 
```
1
```
 
```
2
```
 
```
3
```
...
spec:
  host: def.abc.com
  tls:
    termination: "reencrypt"
    ...
  wildcardPolicy: "Subdomain"
```
Copy to Clipboard Toggle word wrap
1
必須。max-age は、HSTS ポリシーが有効な期間 (秒単位) を測定します。0 に設定すると、これはポリシーを無効にします。
2
オプション: includeSubDomains は、クライアントに対し、ホストのすべてのサブドメインにホストと同じ HSTS ポリシーを持つ必要があることを指示します。
3
オプション: max-age が 0 より大きい場合、preload を haproxy.router.openshift.io/hsts_header に追加し、外部サービスがこのサイトをそれぞれの HSTS プリロードリストに含めることができます。たとえば、Google などのサイトは preload が設定されているサイトの一覧を作成します。ブラウザーはこれらのリストを使用し、サイトと対話する前でも HTTPS 経由で通信できるサイトを判別できます。preload を設定していない場合、ブラウザーはヘッダーを取得するために、HTTPS を介してサイトと少なくとも 1 回対話している必要があります。

1.2.1.2. ルートごとの HTTP Strict Transport Security の無効化
リンクのコピー

ルートごとに HTTP Strict Transport Security (HSTS) を無効にするには、ルートアノテーションの max-age の値を 0 に設定します。

前提条件

プロジェクトの管理者権限があるユーザーで、クラスターにログインしている。
OpenShift CLI (oc) がインストールされている。

手順

HSTS を無効にするには、以下のコマンドを入力してルートアノテーションの max-age の値を 0 に設定します。

oc annotate route <route_name> -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=0"

$ oc annotate route <route_name> -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=0"

Copy to Clipboard

Toggle word wrap

ヒント

または、以下の YAML を適用して config map を作成できます。

ルートごとに HSTS を無効にする例

metadata:
  annotations:
    haproxy.router.openshift.io/hsts_header: max-age=0

metadata:
  annotations:
    haproxy.router.openshift.io/hsts_header: max-age=0

Copy to Clipboard

Toggle word wrap

namespace のすべてのルートで HSTS を無効にするには、following コマンドを入力します。

oc annotate route --all -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=0"

$ oc annotate route --all -n <namespace> --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=0"

Copy to Clipboard

Toggle word wrap

検証

すべてのルートのアノテーションをクエリーするには、以下のコマンドを入力します。

oc get route  --all-namespaces -o go-template='{{range .items}}{{if .metadata.annotations}}{{$a := index .metadata.annotations "haproxy.router.openshift.io/hsts_header"}}{{$n := .metadata.name}}{{with $a}}Name: {{$n}} HSTS: {{$a}}{{"\n"}}{{else}}{{""}}{{end}}{{end}}{{end}}'

$ oc get route  --all-namespaces -o go-template='{{range .items}}{{if .metadata.annotations}}{{$a := index .metadata.annotations "haproxy.router.openshift.io/hsts_header"}}{{$n := .metadata.name}}{{with $a}}Name: {{$n}} HSTS: {{$a}}{{"\n"}}{{else}}{{""}}{{end}}{{end}}{{end}}'

Copy to Clipboard

Toggle word wrap

出力例

Name: routename HSTS: max-age=0

Name: routename HSTS: max-age=0

Copy to Clipboard

Toggle word wrap

1.2.1.3. ドメインごとの HTTP Strict Transport Security の適用
リンクのコピー

セキュアなルートに対してドメインごとに HTTP Strict Transport Security (HSTS) を適用するには、Ingress 仕様に requiredHSTSPolicies レコードを追加して、HSTS ポリシーの設定を取得します。

requiredHSTSPolicy を設定して HSTS を適用する場合は、新規に作成されたルートは準拠された HSTS ポリシーアノテーションで設定する必要があります。

注記

準拠しない HSTS ルートを持つアップグレードされたクラスターを処理するには、ソースでマニフェストを更新し、更新を適用できます。

注記

oc expose route コマンドまたは oc create route コマンドを使用して、HSTS を強制するドメインにルートを追加することはできません。このコマンドの API はアノテーションを受け入れないためです。

重要

HSTS がすべてのルートに対してグローバルに要求されている場合でも、セキュアではないルートや非 TLS ルートに適用することはできません。

前提条件

プロジェクトの管理者権限があるユーザーで、クラスターにログインしている。
OpenShift CLI (oc) がインストールされている。

手順

次のコマンドを実行し、必要に応じてフィールドを更新して、Ingress 設定 YAML を編集します。
```
oc edit ingresses.config.openshift.io/cluster
```
```
$ oc edit ingresses.config.openshift.io/cluster
```
Copy to Clipboard Toggle word wrap
HSTS ポリシーの例
```
apiVersion: config.openshift.io/v1
kind: Ingress
metadata:
  name: cluster
spec:
  domain: 'hello-openshift-default.apps.username.devcluster.openshift.com'
  requiredHSTSPolicies: 
  - domainPatterns: 
    - '*hello-openshift-default.apps.username.devcluster.openshift.com'
    - '*hello-openshift-default2.apps.username.devcluster.openshift.com'
    namespaceSelector: 
      matchLabels:
        myPolicy: strict
    maxAge: 
      smallestMaxAge: 1
      largestMaxAge: 31536000
    preloadPolicy: RequirePreload 
    includeSubDomainsPolicy: RequireIncludeSubDomains 
  - domainPatterns:
    - 'abc.example.com'
    - '*xyz.example.com'
    namespaceSelector:
      matchLabels: {}
    maxAge: {}
    preloadPolicy: NoOpinion
    includeSubDomainsPolicy: RequireNoIncludeSubDomains
```
```
apiVersion: config.openshift.io/v1
kind: Ingress
metadata:
  name: cluster
spec:
  domain: 'hello-openshift-default.apps.username.devcluster.openshift.com'
  requiredHSTSPolicies: 
```
1
```
  - domainPatterns: 
```
2
```
    - '*hello-openshift-default.apps.username.devcluster.openshift.com'
    - '*hello-openshift-default2.apps.username.devcluster.openshift.com'
    namespaceSelector: 
```
3
```
      matchLabels:
        myPolicy: strict
    maxAge: 
```
4
```
      smallestMaxAge: 1
      largestMaxAge: 31536000
    preloadPolicy: RequirePreload 
```
5
```
    includeSubDomainsPolicy: RequireIncludeSubDomains 
```
6
```
  - domainPatterns:
    - 'abc.example.com'
    - '*xyz.example.com'
    namespaceSelector:
      matchLabels: {}
    maxAge: {}
    preloadPolicy: NoOpinion
    includeSubDomainsPolicy: RequireNoIncludeSubDomains
```
Copy to Clipboard Toggle word wrap
1
必須。requiredHSTSPolicies は順番に検証され、最初に一致する domainPatterns が適用されます。
2
必須。1 つ以上の domainPatterns ホスト名を指定する必要があります。任意の数のドメインをリスト表示できます。さまざまな domainPatterns について、Enforcing オプションの複数のセクションを含めることができます。
3
オプション: namespaceSelector を含める場合、ルートを配置するプロジェクトのラベルと一致する必要があります。これにより、ルートに設定された HSTS ポリシーを適用する必要があります。domainPatterns ではなく namespaceSelector のみに一致するルートは検証されません。
4
必須。max-age は、HSTS ポリシーが有効な期間 (秒単位) を測定します。このポリシー設定により、最小および最大の max-age を適用することができます。
largestMaxAge の値は 0 から 2147483647 の範囲内で指定する必要があります。これを指定しないと、上限が強制されないことを意味します。
smallestMaxAge の値は 0 から 2147483647 の範囲内で指定する必要があります。トラブルシューティングのために HSTS を無効にするには、0 を入力します。HSTS を無効にする必要がない場合は 1 を入力します。これを指定しないと、下限が強制されません。
5
オプション: haproxy.router.openshift.io/hsts_header に preload を含めることで、外部サービスがこのサイトをそれぞれの HSTS プリロードリストに含めることができます。ブラウザーはこれらの一覧を使用し、サイトと対話する前でも HTTPS 経由で通信できるサイトを判別できます。preload 設定がない場合、ブラウザーは少なくともサイトと通信してヘッダーを取得する必要があります。preload は、以下のいずれかで設定できます。
RequirePreload: preload は RequiredHSTSPolicy で必要になります。
RequireNoPreload: preload は RequiredHSTSPolicy によって禁止されます。
NoOpinion: preload は RequiredHSTSPolicy に重要ではありません。
6
オプション: includeSubDomainsPolicy は、以下のいずれかで設定できます。
RequireIncludeSubDomains: includeSubDomains は RequiredHSTSPolicy で必要です。
RequireNoIncludeSubDomains: includeSubDomains は RequiredHSTSPolicy によって禁止されています。
NoOpinion: includeSubDomains は RequiredHSTSPolicy に重要ではありません。
oc annotate command を入力して、HSTS をクラスターのすべてのルートまたは特定の namespace に適用することができます。
- HSTS をクラスターのすべてのルートに適用するには、oc annotate command を実行します。以下に例を示します。
  $ oc annotate route --all --all-namespaces --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=31536000"
  Copy to Clipboard Toggle word wrap
- 特定の namespace のすべてのルートに HSTS を適用するには、oc annotate command を実行します。以下に例を示します。
  $ oc annotate route --all -n my-namespace --overwrite=true "haproxy.router.openshift.io/hsts_header"="max-age=31536000"
  Copy to Clipboard Toggle word wrap

検証

設定した HSTS ポリシーを確認できます。以下に例を示します。

必要な HSTS ポリシーの maxAge セットを確認するには、以下のコマンドを入力します。

oc get clusteroperator/ingress -n openshift-ingress-operator -o jsonpath='{range .spec.requiredHSTSPolicies[*]}{.spec.requiredHSTSPolicies.maxAgePolicy.largestMaxAge}{"\n"}{end}'

$ oc get clusteroperator/ingress -n openshift-ingress-operator -o jsonpath='{range .spec.requiredHSTSPolicies[*]}{.spec.requiredHSTSPolicies.maxAgePolicy.largestMaxAge}{"\n"}{end}'

Copy to Clipboard

Toggle word wrap

すべてのルートで HSTS アノテーションを確認するには、以下のコマンドを入力します。

oc get route  --all-namespaces -o go-template='{{range .items}}{{if .metadata.annotations}}{{$a := index .metadata.annotations "haproxy.router.openshift.io/hsts_header"}}{{$n := .metadata.name}}{{with $a}}Name: {{$n}} HSTS: {{$a}}{{"\n"}}{{else}}{{""}}{{end}}{{end}}{{end}}'

$ oc get route  --all-namespaces -o go-template='{{range .items}}{{if .metadata.annotations}}{{$a := index .metadata.annotations "haproxy.router.openshift.io/hsts_header"}}{{$n := .metadata.name}}{{with $a}}Name: {{$n}} HSTS: {{$a}}{{"\n"}}{{else}}{{""}}{{end}}{{end}}{{end}}'

Copy to Clipboard

Toggle word wrap

出力例

Name: <_routename_> HSTS: max-age=31536000;preload;includeSubDomains

Name: <_routename_> HSTS: max-age=31536000;preload;includeSubDomains

Copy to Clipboard

Toggle word wrap

トップに戻る

1.2. ルートのセキュリティー保護

1.2.1. HTTP Strict Transport Security
リンクのコピー

1.2.1.1. ルートごとの HTTP Strict Transport Security の有効化
リンクのコピー

1.2.1.2. ルートごとの HTTP Strict Transport Security の無効化
リンクのコピー

1.2.1.3. ドメインごとの HTTP Strict Transport Security の適用
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.2. ルートのセキュリティー保護

1.2.1. HTTP Strict Transport Securityリンクのコピーリンクがクリップボードにコピーされました!

1.2.1.1. ルートごとの HTTP Strict Transport Security の有効化リンクのコピーリンクがクリップボードにコピーされました!

1.2.1.2. ルートごとの HTTP Strict Transport Security の無効化リンクのコピーリンクがクリップボードにコピーされました!

1.2.1.3. ドメインごとの HTTP Strict Transport Security の適用リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

1.2.1. HTTP Strict Transport Security
リンクのコピー

1.2.1.1. ルートごとの HTTP Strict Transport Security の有効化
リンクのコピー

1.2.1.2. ルートごとの HTTP Strict Transport Security の無効化
リンクのコピー

1.2.1.3. ドメインごとの HTTP Strict Transport Security の適用
リンクのコピー