Удивительно, что до сих пор необходимо предпринимать так много конкретных и активных шагов, чтобы убедиться, что трафик HTTPS наших клиентов и их клиентов действительно настолько безопасен, как мы и они надеемся. К счастью, эти шаги становятся быстрыми и простыми, если Вы можете использовать наши правила управления трафиком flightPATH. flightPATH — это динамическая система правил, основанная на событиях, разработанная компанией edgeNEXUS для интеллектуального управления и маршрутизации сбалансированного IP, HTTP и HTTPS трафика. Он очень настраиваемый и мощный, но при этом очень простой в использовании. Одно из таких правил позволяет Вам добавлять HTTP-заголовок Strict-Transport-Security в ответы веб-сервера, обслуживаемые через сайты, защищенные SSL/TLS.
HTTP-заголовок Strict-Transport-Security и его значение гарантируют, что клиенты Вашего сайта будут делать запросы только через https://. Даже если Ваши реальные веб-серверы находятся за прокси-сервером или балансировщиком нагрузки (например, edgeNEXUS ALB-X) и не знают, что их содержимое на самом деле передается по https://, если они отправляют ссылки https:// в ответах, клиент все равно будет использовать https:// для любых ссылок. Другими словами, независимо от того, отправляют ли наши реальные веб-серверы защищенные ссылки или нет, клиенты будут уверены, что все ссылки, по которым они переходят, являются защищенными.
Если Ваши разработчики совершат ошибку или операционная команда — нет проблем. Нет никаких шансов, что браузер клиента сделает небезопасный запрос, если он получит этот заголовок и будет действовать в соответствии с ним (что делают все популярные современные браузеры). Если клиент попадает на Ваш настоящий сайт, защищенный SSL/TLS, Вы можете гарантировать, что в дальнейшем он будет делать это безопасно и последовательно. У нас есть правило для перенаправления HTTP-запросов на HTTPS, просто на случай, если Вам это понадобится (Вы найдете его установленным по умолчанию).
Это одно из многих правил управления трафиком flightPATH, которые Вы можете применить для повышения безопасности Вашего сайта и его пользователей. О других правилах, которые так же легко устанавливаются в несколько кликов, читайте в нашем блоге.
Как мы часто отмечаем, огромное преимущество использования балансировщика нагрузки заключается в том, что нам нужно сделать это только в одном месте, чтобы развернуть на всех наших серверах (и сайтах). Нам не нужно прибегать к помощи разработчиков или переконфигурировать Apache. На балансировщик нагрузки edgeNEXUS мы просто импортируем шаблон конфигурации jetPACK и назначаем правило трафика flightPATH для той виртуальной службы (служб), которую мы хотим защитить.
Правило добавляет заголовок только в том случае, если его нет, поэтому оно будет работать даже там, где наши веб-серверы уже вставляют его или, возможно, вставляют только для определенных страниц. Это правило должно стать частью Вашей стандартной конфигурации виртуальных служб — Вы ничего не потеряете, каким бы ни был сайт, хотя, конечно, всегда рекомендуется тестирование. Вы можете скачать этот jetPACK и многие другие на сайте edgeNEXUS Github здесь
Это одно из многих разработанных нами правил flightPATH, которые Вы можете применить для повышения безопасности Вашего сайта и его пользователей. Чтобы узнать больше о HTTP-заголовках, связанных с безопасностью, ознакомьтесь с этими статьями:
- Упрощение безопасности HTTP-заголовков с помощью управления трафиком edgeNEXUS: X-Content-Type-Options
- Заголовок безопасности HTTP для борьбы с “Clickjacking” — Как повысить безопасность Вашего сайта с помощью заголовка X-Frame Options
