PowerStore: HSTS가 누락되었으며 HSTS를 적용하지 않고 보고한 취약성
요약: 취약성 스캐너에서 HSTS(HTTP Strict Transport Security) 누락 또는 HTTP 보안 헤더가 감지되지 않았다고 보고합니다.
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
증상
이 취약성 알림은 Qualys 및 Nessus 스캐너의 PowerStore에서 보고되었습니다. Qualys Identifier (QID) 11827 "HTTP Security Header Not Detected"Nessus 84502 "The remote web server is not enforcing HSTS."Nessus 142960 "HSTS Missing From HTTPS Server (RFC 6797)"
원인
HSTS(HTTP Strict Transport Security)는 브라우저가 HTTPS를 통해서만 통신하도록 지시하도록 서버에서 구성할 수 있는 선택적 응답 헤더입니다. HSTS가 없기 때문에 다운그레이드 공격, SSL 스트리핑 메시지 가로채기(man-in-the-middle) 공격이 허용되며 HTTP를 사용할 때 쿠키 하이재킹 보호가 약화됩니다.
해결
HTTPS만 사용하는 경우 리디렉션이 없으므로 HSTS가 필요하지 않습니다. 이는 거짓 양성이며 HTTP에서 HTTPS로의 리디렉션이 비활성화된 경우 PowerStore에 적용되지 않습니다. 이는 보안 모범 사례 문서를 사용하는 권장 구성입니다.
HTTP에서 HTTPS로의 리디렉션은 기본적으로 비활성화되어 있습니다.
PowerStore 보안 구성 가이드
63페이지 HTTPS 리디렉션이 비활성화된 경우 HTTPS만 노출되고 HTTP(포트 80)는 차단됩니다.
HTTP는 보안 목적으로 지원되지 않습니다. HTTPS로 HTTP 리디렉션 기능을 활성화하면 PowerStore Manager로 이동하는 사용자가 HTTP에서 자동으로 리디렉션됩니다. https:// 에게. 그러나 HTTP 리디렉션을 활성화하는 것은 사용자가 PowerStore Manager 로그인 시 전체 https:// 주소를 입력하도록 하는 것에 비해 안전하지 않습니다.
HTTPS로 HTTP 리디렉션 기능을 활성화하거나 비활성화하는 것은 클러스터 전체 작업입니다.
HTTP에서 HTTPS로의 리디렉션은 기본적으로 비활성화되어 있습니다.
PowerStore 보안 구성 가이드
63페이지 HTTPS 리디렉션이 비활성화된 경우 HTTPS만 노출되고 HTTP(포트 80)는 차단됩니다.
HTTP는 보안 목적으로 지원되지 않습니다. HTTPS로 HTTP 리디렉션 기능을 활성화하면 PowerStore Manager로 이동하는 사용자가 HTTP에서 자동으로 리디렉션됩니다. https:// 에게. 그러나 HTTP 리디렉션을 활성화하는 것은 사용자가 PowerStore Manager 로그인 시 전체 https:// 주소를 입력하도록 하는 것에 비해 안전하지 않습니다.
HTTPS로 HTTP 리디렉션 기능을 활성화하거나 비활성화하는 것은 클러스터 전체 작업입니다.
추가 정보
해당 제품
PowerStore 1000X, PowerStore 1000T, PowerStore 1200T, PowerStore 3000X, PowerStore 3000T, PowerStore 3200T, PowerStore 5000X, PowerStore 5000T, PowerStore 500T, PowerStore 5200T제품
PowerStore 7000X, PowerStore 7000T, PowerStore 9000X, PowerStore 9000T, PowerStore 9200T문서 속성
문서 번호: 000222071
문서 유형: Solution
마지막 수정 시간: 25 7월 2025
버전: 3
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.