8.11. HTTP Strict Transport Security 활성화
HSTS(HTTP Strict Transport Security) 정책은 보안 향상으로 호스트에서 HTTPS 트래픽만 허용합니다. 모든 HTTP 요청은 기본적으로 삭제됩니다. 이는 웹 사이트와의 안전한 상호 작용을 보장하거나 사용자의 이익을 위해 안전한 애플리케이션을 제공하는 데 유용합니다.
HSTS가 활성화되면 HSTS는 엄격한 전송 보안 헤더를 사이트의 HTTPS 응답에 추가합니다. 경로에서 insecureEdgeTerminationPolicy 값을 사용하여 HTTP를 HTTPS로 보내도록 경로를 재지정할 수 있습니다. 그러나 HSTS를 사용하면 클라이언트는 요청을 보내기 전에 HTTP URL의 모든 요청을 HTTPS로 변경하므로 리디렉션이 필요하지 않습니다. 클라이언트가 이를 지원할 필요는 없으며 max-age=0을 설정하여 비활성화할 수 있습니다.
HSTS는 보안 경로(엣지 종료 또는 재암호화)에서만 작동합니다. HTTP 또는 패스스루(passthrough) 경로에서는 구성이 유효하지 않습니다.
경로에 HSTS를 활성화하려면 haproxy.router.openshift.io/hsts_header 값을 에지 종료에 추가하거나 경로를 다시 암호화합니다.
apiVersion: v1
kind: Route
metadata:
annotations:
haproxy.router.openshift.io/hsts_header: max-age=31536000;includeSubDomains;preload
haproxy.router.openshift.io/hsts_header 값의 매개변수에 공백이 없고 다른 값이 없는지 확인합니다. max-age 만 필요합니다.
필수 max-age 매개 변수는 시간(초)을 나타내며 HSTS 정책이 에 적용됨을 나타냅니다. HSTS 헤더가 있는 응답이 호스트에서 수신될 때마다 클라이언트는 max-age를 업데이트합니다. max-age 시간이 초과되면 클라이언트는 정책을 삭제합니다.
선택적 includeSubDomains 매개 변수는 호스트에 호스트의 모든 하위 도메인이 호스트와 동일하게 취급되도록 클라이언트에 지시합니다.
max-age 가 0보다 크면 선택적 preload 매개 변수를 사용하면 외부 서비스에서 이 사이트를 HSTS 사전 로드 목록에 포함할 수 있습니다. 예를 들어 Google과 같은 사이트는 preload가 설정된 사이트 목록을 구성할 수 있습니다. 그런 다음 브라우저는 이러한 목록을 사용하여 사이트와 상호 작용하기 전에 HTTPS를 통해서만 통신할 사이트를 결정할 수 있습니다. 사전 로드 를 설정하지 않으면 헤더를 가져오려면 HTTPS를 통해 사이트와 통신해야 합니다.
