第4章 Fuse Console のセキュア化
EAP で Fuse Console をセキュアにするには、以下を行います。
AWS へのデプロイ時に Fuse Console のプロキシーサーブレットを無効にする
スタンドアロン Fuse アプリケーションを Amazon Web Services (AWS) にデプロイする場合、
hawtio.disableProxyシステムプロパティーをtrueに設定して、Fuse Console のプロキシーサーブレットを無効にする必要があります。注記Fuse Console のプロキシーサーブレットを無効にすると、Fuse Console の Connect タブが無効になり、Fuse Console から他の JVM に接続できなくなります。AWS に複数の Fuse アプリケーションをデプロイする場合は、アプリケーションごとに Fuse Console をデプロイする必要があります。
HTTPS を必須プロトコルとして設定する
hawtio.http.strictTransportSecurityプロパティーを使用すると、Web ブラウザーでセキュアな HTTPS プロトコルを使用して Fuse Console にアクセスするよう要求できます。このプロパティーにより、HTTP を使用して Fuse Console へのアクセスを試みる Web ブラウザーで、HTTPS を使用するようにリクエストを自動的に変換することが必須になります。公開鍵を使用して応答をセキュアにする
hawtio.http.publicKeyPinsプロパティーを使用すると、特定の暗号化の公開鍵を Fuse Console に関連付けるように Web ブラウザーに指示し、偽造証明書による "中間者攻撃" のリスクを軽減することで、HTTPS プロトコルをセキュアにできます。
手順
$EAP_HOME/standalone/configuration/standalone*.xmlファイルの system-properties セクションにあるhawtio.http.strictTransportSecurityおよびhawtio.http.publicKeyPinsプロパティーを、以下の例のように設定します。<property name="hawtio.http.strictTransportSecurity" value="max-age=31536000; includeSubDomains; preload"/> <property name="hawtio.http.publicKeyPins" value="pin-sha256=cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs"; max-age=5184000; includeSubDomains"/>
(AWS のみにデプロイする場合) Fuse Console のプロキシーサーブレットを無効にするには、
$EAP_HOME/standalone/configuration/standalone*.xmlファイルの system-properties セクションにあるhawtio.disableProxyプロパティーを以下の例のように設定します。<property name="hawtio.disableProxy" value="true"/>
関連情報
-
hawtio.http.strictTransportSecurityプロパティーの構文の説明は、HTTP Strict Transport Security (HSTS) 応答ヘッダーの説明ページを参照してください。 -
hawtio.http.publicKeyPinsプロパティーの構文や、Base64 でエンコードされた公開鍵の抽出方法の説明は、HTTP Public Key Pinning 応答ヘッダーの説明ページを参照してください。
