Dell Unity：HTTPSサーバーにHSTSがありません - ユーザーによる修正可能

脆弱性スキャナーは、Dell Unity OEリビジョン4.2.1.9535982以降を実行しているDell Unityアレイ上のHTTPSサーバーにHSTSがないと報告しています。

これは、誤検出スキャナー エラーである可能性があります。

Dell Unity Operating Environment (OE)リビジョン4.2.1の時点では、Unityにはポート443、8443、8444にHSTSが含まれています。  

Dell Unity OEリビジョン5.3の時点で、Unityのポート5989にHSTS拡張機能が含まれています。ただし、スキャナー プログラムは引き続きポートを脆弱性として報告します。

Unityでポート5989を無効にする回避策があります。Dellではこの方法を推奨しておらず、代わりに外部ネットワークの変更を実装することを強くお勧めします。ポート5989へのアクセスをブロックする必要がある場合(つまり、ファイアウォールの背後にUnityを配置する場合)、Dellはポート5989を無効にすることができます。この変更を行うには、Dellテクニカル サポートと連携する必要があります。Dell テクニカル サポート または認定サービス プロバイダーに連絡して、このDellナレッジベース記事番号をお伝えください。

Unityのセキュリティで使用されるポートの詳細については、 Dellサポートにアクセスして、『セキュリティ構成ガイド』を参照してください。  このドキュメントを検索する: Dell Unityファミリー セキュリティ構成ガイド

HTTP Strict Transport Security (HSTS) は、セキュリティ関連の HTTP 応答ヘッダーであり、クライアント ブラウザーに HTTPS 接続経由でのみサイトにアクセスするように指示します。これにより、サーバー側のリダイレクトのみに依存するのではなく、この制限を適用するようにブラウザに指示されます。HTTP Strict Transport Security ヘッダーは、クライアント セッションの盗聴や対話に使用される中間者攻撃の悪用を減らすのに役立ちます。

回避策を使用すると、Unity UEMCLIとUnisphereがポート5989で内部的に管理サービスと連携できるようになります。この変更により、ポート5989での外部ワークステーションまたはサーバーからの接続が無効になります。ただし、この回避策はお客様の修復には使用できないため、Dellテクニカル サポートが実装する必要があります。Dellテクニカル サポートまたは認定サービス プロバイダーに連絡して、このDellナレッジベース記事番号をお伝えください。

重要事項:

• これらの変更は、両方のUnityストレージ プロセッサー(SP)に対して行う必要があります。そうしないと、管理サービスのフェールオーバー(シャットダウン、再起動など)後に構成が失われます
• これらの変更は、Unity OEコードのアップグレードが実行されると上書きされます。変更を維持する必要がある場合は、アレイをアップグレードした後で、これらの変更を再構成する必要があります。