Security Technical Implementation Guides (STIGs) sind ein Konfigurationsstandard, der aus Cybersicherheitsanforderungen für ein bestimmtes Produkt besteht und von der US Defense Information Systems Agency (DISA) überwacht wird. Die Verwendung von STIGs ermöglicht eine Methodik zur Absicherung von Protokollen in Netzwerken, Servern, Computern und logischen Designs, um die allgemeine Sicherheit zu verbessern.
Relevante Services von Esri
Nicht mehr unterstützter Ansatz
Der ArcGIS Server STIG umfasst nicht Portal for ArcGIS oder ArcGIS Data Store als Teil einer verbundenen Bereitstellung und bietet daher keine angemessenen Sicherheitsrichtlinien für typische ArcGIS Enterprise-Bereitstellungen mit diesem breiteren Spektrum an Funktionen. Der ArcGIS Server 10.3 STIG wurde mehrmals aktualisiert, um sicherzustellen, dass er bis ArcGIS Server 11.0 kompatibel ist. Um dem Umfang typischer ArcGIS Enterprise-Bereitstellungen besser gerecht zu werden, ergänzen einige Kunden die Sicherheit ihrer Bereitstellung, indem sie sich am generischen DISA Application Security and Development (ASD) STIG orientieren. Dieser bietet jedoch keine ausreichende Anleitung für die einzigartigen Fähigkeiten unseres Produkts.
Empfohlener Ansatz
Der 2024 veröffentlichte ArcGIS Enterprise Hardening Guide ermöglicht es Kunden, sowohl vom ArcGIS Server STIG (Ablaufdatum 2023) als auch vom generischen DISA ASD STIG zu einer gezielteren, validierten Sicherheitsgewährleistung überzugehen, die mit den Sicherheitskontrollanforderungen von NIST 800-53 und EO-Critical Software übereinstimmt. Sowohl vorhandene als auch neue ArcGIS Enterprise-Bereitstellungen sollten auf die Verwendung des ArcGIS Enterprise Hardening Guide umgestellt werden, um eine möglichst effektive und sichere Bereitstellung zu gewährleisten, die den künftigen Zulassungsanforderungen entspricht.
Ressourcen
- ArcGIS Enterprise Hardening Guide (öffentlich)
- ArcGIS Server STIG (öffentlich - Status: abgelaufen)
- STIG FAQs (öffentlich)