Red Hat Summit4장. Fuse Console 보안
Spring Boot에서 Fuse 콘솔을 보호하려면 다음을 수행합니다.
AWS에 배포할 때 Fuse Console의 프록시 서블릿 비활성화
독립 실행형 Fuse 애플리케이션을 AWS(Amazon Web Services)에 배포하려면
hawtio.disableProxy시스템 속성을true로 설정하여 Fuse Console의 프록시 서블릿을 비활성화해야 합니다.참고Fuse Console 프록시 서블릿을 비활성화하면 Fuse Console의 Connect 탭이 비활성화되어 Fuse Console에서 다른 JVM에 연결할 수 없습니다. AWS에 둘 이상의 Fuse 애플리케이션을 배포하려면 각 애플리케이션에 Fuse Console을 배포해야 합니다.
필요한 프로토콜로 HTTPS 설정
hawtio.http.strictTransportSecurity속성을 사용하면 웹 브라우저가 보안 HTTPS 프로토콜을 사용하여 Fuse Console에 액세스하도록 할 수 있습니다. 이 속성은 HTTP를 사용하여 Fuse 콘솔에 액세스하려는 웹 브라우저가 HTTPS를 사용하도록 요청을 자동으로 변환해야 함을 지정합니다.공개 키를 사용하여 응답 보안
hawtio.http.publicKeyPins속성을 사용하여 특정 암호화 공개 키를 Fuse 콘솔과 연결하도록 웹 브라우저에 고정 인증서와 "man-in-the-middle" 공격 위험을 줄임으로써 HTTPS 프로토콜을 보호할 수 있습니다.
프로세스
다음 예와 같이
hawtio.http.strictTransportSecurity및hawtio.http.publicKeyPins속성을 설정합니다.public static void main(String[] args) { System.setProperty("hawtio.http.strictTransportSecurity", "max-age=31536000; includeSubDomains; preload"); System.setProperty("hawtio.http.publicKeyPins", "pin-sha256=cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs"; max-age=5184000; includeSubDomains"); SpringApplication.run(YourSpringBootApplication.class, args); }public static void main(String[] args) { System.setProperty("hawtio.http.strictTransportSecurity", "max-age=31536000; includeSubDomains; preload"); System.setProperty("hawtio.http.publicKeyPins", "pin-sha256=cUPcTAZWKaASuYWhhneDttWpY3oBAkE3h2+soZS7sWs"; max-age=5184000; includeSubDomains"); SpringApplication.run(YourSpringBootApplication.class, args); }Copy to Clipboard Copied! Toggle word wrap Toggle overflow (AWS에만 배포하는 경우) Fuse Console의 프록시 서블릿을 비활성화하려면 다음 예와 같이
hawtio.disableProxy속성을 설정합니다.public static void main(String[] args) { System.setProperty("hawtio.disableProxy", "true"); }public static void main(String[] args) { System.setProperty("hawtio.disableProxy", "true"); }Copy to Clipboard Copied! Toggle word wrap Toggle overflow
추가 리소스
-
hawtio.http.strictTransportSecurity속성 구문에 대한 설명은 HSTS(HTTP Strict Transport Security) 응답 헤더에 대한 설명 페이지를 참조하십시오. -
Base64로 인코딩된 공개 키를 추출하는 방법에 대한 지침을 포함하여
hawtio.http.publicKeyPins속성 구문에 대한 설명은 HTTP 공개 키 고정 응답 헤더에 대한 설명 페이지를 참조하십시오.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}