È sorprendente che si debbano ancora compiere molti passi specifici e attivi per garantire che il traffico HTTPS dei nostri clienti sia davvero sicuro come noi e loro sperano. Fortunatamente questi passaggi sono semplici e veloci quando si possono utilizzare le nostre regole di gestione del traffico flightPATH. flightPATH è un motore di regole dinamico e basato sugli eventi sviluppato da edgeNEXUS per manipolare e instradare in modo intelligente il traffico IP, HTTP e HTTPS in modo bilanciato. È altamente configurabile e potente, ma molto facile da usare. Una di queste regole ti permette di aggiungere un’intestazione HTTP Strict-Transport-Security alle risposte del server web servite attraverso siti protetti da SSL/TLS.
L’intestazione HTTP Strict-Transport-Security e il suo valore assicurano che i client del tuo sito effettuino sempre e solo richieste su https://. Anche se i tuoi server web reali si trovano dietro un proxy o un bilanciatore di carico (ad esempio, un edgeNEXUS ALB-X) e non sanno che i loro contenuti vengono serviti su https://, se inviano link https:// nelle risposte, il client utilizzerà comunque https:// per qualsiasi link. In altre parole, indipendentemente dal fatto che i nostri server web reali inviino o meno link sicuri, i clienti si assicureranno che i link che seguono lo siano.
Se i tuoi sviluppatori commettono un errore o il team operativo lo fa, nessun problema. Non c’è alcuna possibilità che il browser del cliente effettui una richiesta non sicura, purché riceva questa intestazione e agisca di conseguenza (cosa che fanno tutti i browser contemporanei più diffusi). Se un cliente arriva al tuo sito protetto da SSL/TLS, puoi assicurarti che lo faccia in modo sicuro e costante. Abbiamo anche una regola per reindirizzare le richieste HTTP a HTTPS, nel caso in cui ne avessi bisogno (la troverai installata di default).
Questa è una delle tante regole di gestione del traffico di flightPATH che puoi implementare per migliorare la sicurezza del tuo sito e dei suoi utenti. Per altre regole altrettanto facili da implementare in pochi clic, consulta il nostro blog.
Come spesso sottolineiamo, il grande vantaggio dell’utilizzo di un bilanciatore di carico è che dobbiamo farlo in un unico punto per poterlo distribuire a tutti i nostri server (e siti). Non dobbiamo affidarci a sviluppatori o a riconfigurazioni di Apache. Sul bilanciatore di carico edgeNEXUS dobbiamo solo importare un modello di configurazione jetPACK e assegnare una regola di traffico flightPATH al servizio virtuale che vogliamo proteggere.
La regola aggiunge l’intestazione solo se non esiste, quindi funzionerà anche se i nostri server web la inseriscono già o magari la inseriscono solo per pagine specifiche. Questa regola dovrebbe far parte della configurazione standard del tuo Servizio Virtuale: non hai nulla da perdere qualunque sia il sito, anche se ovviamente è sempre consigliabile fare delle prove. Puoi scaricare questo jetPACK e molti altri sul sito Github di edgeNEXUS qui
Questa è una delle tante regole flightPATH che abbiamo sviluppato e che puoi implementare per migliorare la sicurezza del tuo sito e dei suoi utenti. Per saperne di più sulle intestazioni HTTP relative alla sicurezza, consulta questi articoli:
- Semplificare le intestazioni HTTP di sicurezza con la gestione del traffico edgeNEXUS: X-Content-Type-Options
- Un “intestazione di sicurezza HTTP per combattere il ‘Clickjacking’ – Come migliorare la sicurezza del tuo sito con l” intestazione delle opzioni X-Frame
