Im Folgenden finden Sie Empfehlungen für die Bereitstellung von ArcGIS Enterprise.
Sicherheitseinstellungen für Anwendungen
Die nachfolgend aufgeführten Empfehlungen gelten für gehärtete Instanzen von ArcGIS Enterprise. Je nach Anwendungsfall wird empfohlen, die folgenden Einstellungen für Ihre ArcGIS Enterprise-Implementierung auf Anwendungsebene vorzunehmen:
- Machen Sie die Verwendung von HTTPS in Ihrer gesamten ArcGIS Enterprise-Implementierung erforderlich.
- Durch das Erfordern von HTTPS werden Ihre Daten bei der Übertragung verschlüsselt und geschützt.
- Die ArcGIS Server Manager-, Server Admin- und Portal Admin-Schnittstellen dürfen für die Öffentlichkeit nicht zugänglich sein.
- Dies kann durch die Bereitstellung des Web Adaptor oder eines Reverseproxy erfolgen.
- Deaktivieren Sie für Produktionssysteme die Services- und Portalverzeichnisse.
- Das Services Directory kann ein hilfreiches Entwicklungs-Tool sein. Esri empfiehlt, das Services Directory für Produktionssysteme zu deaktivieren, wenn Sie nicht möchten, dass die Benutzer Ihre Service-Liste durchsuchen, Ihre Services in einer Websuche finden oder Anforderungen an Ihre Services über HTML-Formulare senden können.
- Deaktivieren Sie die Abfrageoperationen für Services (sofern möglich).
- Wenn Abfrageoperationen für einen bestimmten Service nicht erforderlich sind, sollten Sie sie deaktivieren, um die potenzielle Angriffsfläche im System möglichst klein zu halten.
- Deaktivieren Sie das primäre Site-Administratorkonto (PSA-Konto) für ArcGIS Server, und stufen Sie das initiale Administratorkonto (Initial Administrator Account, IAA) für Portal for ArcGIS herab bzw. löschen Sie es.
- Durch die Deaktivierung der Standardkonten steht ein einzelner Zugriffspfad für Administratoren offen. Diese sind im Enterprise-Identitätsspeicher identifiziert, wodurch zusätzliche Nachvollziehbarkeit sichergestellt wird.
- Beschränken Sie auf Ihrer Website die Nutzung gewerblicher Datenbanken.
- Gestatten Sie öffentlichen Benutzern keinen direkten (oder indirekten) Zugriff auf die Enterprise-Datenbank. Als hilfreiches Werkzeug kann eine File-Geodatabase zwischengeschaltet werden, um so die Gefahr einer Einschleusung von SQL-Befehlen zu reduzieren.
- Aktivieren Sie standardisierte SQL-Abfragen.
- Aktivieren Sie diese Sicherheitsoption in ArcGIS Enterprise, um höheren Schutz vor der Einschleusung von SQL-Befehlen bereitzustellen.
- Beschränken Sie domänenübergreifende Anforderungen.
- Beschränken Sie die Verwendung von ArcGIS Enterprise-Ressourcen auf Anwendungen, die in einer Zulassungsliste vertrauenswürdiger Domänen gehostet werden.
- Verwenden Sie für öffentliche Anwendungen anstelle des ArcGIS Server-Druckservice den ArcGIS Online-Druckservice (dieser kann außerhalb der Unternehmens-Firewall aufgerufen werden).
- Dadurch werden Anforderungen in die Cloud-Infrastruktur ausgelagert und direkte Web-Service-Anforderungen an einen internen ArcGIS Server-Server vermieden.
- Wenn Sie den ArcGIS Server -Druckservice extern verwenden müssen, stellen Sie den öffentlichen ArcGIS Enterprise in der demilitarisierten Zone (DMZ) und nicht intern in einem vertrauenswürdigen Netzwerk bereit.
Weitere Informationen finden Sie in den Sicherheitsempfehlungen für ArcGIS Server und in den Sicherheitsempfehlungen für Portal for ArcGIS.
Sicherheitsupdates
Schwachstellen mit mittlerem bis hohem Risiko werden als Teil der standardmäßigen Sicherheitspatches behoben, die für Versionen von ArcGIS Enterprise-Produkten mit Long-Term Support (LTS) in der Phase "General Availability" oder "Extended Support" veröffentlicht werden. Das Sicherheitsrisiko wird über ein internes Bewertungssystem mithilfe der CVSSv3.1-Formel bestimmt. Die Support-Phasen finden Sie auf der Esri Seite "Produktlebenszyklen", und die STS- und LTS-Versionen sind im Blogbeitrag Update to ArcGIS Enterprise Product Lifecycle beschrieben.
Kritische Schwachstellen mit nachgewiesenen Sicherheitslücken treten in Esri Produkten selten auf. Wenn in der Esri Software eine kritische Schwachstelle mit nachgewiesenen Sicherheitslücken festgestellt wird, veröffentlicht Esri ggf. einen Patch für alle aktuell unterstützten Versionen der betroffenen ArcGIS-Software, wobei deren Support-Phase und die Verfügbarkeit von Versionen mit Long-Term Support (LTS) unerheblich sind.
Für ArcGIS Enterprise herausgegebene Sicherheitspatches sind kumulativ und umfassen alle vorherigen Sicherheitspatches für die betreffende ArcGIS Enterprise-Version.
Authentifizierung
Authentifizierung beinhaltet die Überprüfung der Anmeldeinformationen bei einem Verbindungsversuch zur Überprüfung der Identität des Clients.
- Fordern Sie eine Authentifizierung für ArcGIS Enterprise-Services auf GIS- bzw. Webebene an. Bei der Verwendung von Portal for ArcGIS im Verbund mit Ihrem ArcGIS Server haben Ihre Kunden außerdem die Möglichkeit, organisationsspezifische Anmeldenamen unter Verwendung von SAML 2.0 oder OpenID Connect zu nutzen.
- Authentifizierung auf GIS-Ebene: Verwendet die ArcGIS-Token-Modell-Authentifizierung und den integrierten Benutzerspeicher.
- Authentifizierung auf Webebene: Verwendet jede Authentifizierung, die vom Webserver unterstützt wird, z. B. die integrierte Windows-Authentifizierung oder die vorhandene Public-Key-Infrastruktur (PKI) einer Organisation.
- Organisationsspezifische Anmeldenamen: Wenn Portal for ArcGIS mit ArcGIS Server innerhalb einer ArcGIS Enterprise-Bereitstellung verbunden ist, können optional SAML-Anmeldungen oder Open ConnectID genutzt werden.
- Nehmen Sie die Integration mit einem SAML 2.0 Identity-Provider (IDP) oder OpenID Connect vor, um Single-Sign-On im Web bereitzustellen.
- SAML und OpenID Connect sind offene Standards für den sicheren Austausch von Authentifizierungsdaten zwischen einem IDP und einem Server-Provider (in diesem Fall Portal for ArcGIS).
Autorisierung
Autorisierung ist der Vorgang, mit dem Client-Berechtigungen überprüft werden, bevor auf eine Ressource zugegriffen oder eine bestimmte Funktion ausgeführt wird.
- Nutzen Sie die rollenbasierte Zugriffssteuerung.
- Verwenden Sie für die Rollenverwaltung in ArcGIS Enterprise das Modell der geringsten Berechtigung.
- Weisen Sie nur Berechtigungen zu, die ein Benutzer zur Ausführung der erforderlichen Funktionen benötigt.
- In ArcGIS Server gibt es folgende Standardrollen:
- Administrator
- Publisher
- Benutzer
- Bei Verwendung von Portal for ArcGIS wird empfohlen, benutzerdefinierte Rollen auf Grundlage des Prinzips der geringsten Berechtigung einzusetzen, um so den Benutzerzugriff feiner abzustimmen.
Verschlüsselung
Bei der Verschlüsselung werden Daten so transformiert, dass sie für Benutzer, die keinen Zugriff auf einen Entschlüsselungsschlüssel haben, nicht lesbar sind.
- Verschlüsseln Sie Daten während der Übertragung durch die Aktivierung von HTTPS in ArcGIS Enterprise.
- Verwenden Sie TLS 1.2.
- Verwenden Sie die vorhandene Zertifikatsinfrastruktur und Zertifikate, die von einer dritten vertrauenswürdigen Zertifizierungsstelle signiert wurden.
- Verschlüsseln Sie Daten bei der Speicherung (sofern möglich), insbesondere bei vertraulichen Datensätzen.
- Für Datenbanken können Sie die transparente Datenverschlüsselung (Transparent Data Encryption, TDE) verwenden.
- Für Datei-Repositorys können Sie die vollständige Datenträgerverschlüsselung verwenden.
- Verwenden Sie sichere Verschlüsselungsalgorithmen.
- Die Kryptografie unterliegt einer ständigen Entwicklung, weshalb ältere Algorithmen sich immer wieder als unsicher erweisen werden.
- Informieren Sie sich regelmäßig über Empfehlungen von Normungsorganisationen wie NIST
Protokollierung und Überwachung
Die Protokollierung umfasst das Aufzeichnen von relevanten Ereignissen in einem System. Unter Überwachung versteht man die Überprüfung der Protokolle. Dadurch kann sichergestellt werden, dass das System wie gewünscht funktioniert, oder eine bestimmte Fragestellung zu einer stattgefundenen Transaktion geklärt werden.
- Protokollieren Sie relevante Ereignisse, z. B. wer Services veröffentlicht.
- Stellen Sie sicher, dass die Protokollierung im gesamten System verwendet wird – in der Anwendung, im Betriebssystem und in den Netzwerk-Layern.
- Stellen Sie sicher, dass Protokolle in einem von der Organisation definierten Intervall überprüft werden.
- Die Verwendung von SIEM (Security Information and Event Management) unterstützt die automatische Korrelation.
Härtung
Bei der Härtung werden Systeme sicher konfiguriert, um möglichst viele Sicherheitsrisiken zu reduzieren. Die Angriffsfläche eines Systems kann folgendermaßen minimiert werden:
- Implementieren Sie Härtungsmaßnahmen auf Anwendungsebene wie beispielsweise in der Anleitung oben beschrieben.
- Entfernen Sie nicht benötigte Software.
- Deaktivieren Sie nicht benötigte Services.
- Konsultieren Sie zusätzliche anwendungsspezifische Richtlinien zum Thema Härtung wie z. B. Esri ArcGIS Server STIG.
- Basisrichtlinien der Betriebssystemhersteller unter Verwendung von Werkzeugen wie z. B. das Security Compliance Toolkit von Microsoft
- Informieren Sie sich über unabhängige Sicherheitsrichtlinien, z. B. die CIS-Sicherheits-Benchmarks.
Sicherheitsprüfung in ArcGIS Server
Das Skript "serverScan.py" befindet sich im Verzeichnis <ArcGIS Server installation location>/tools/admin. Führen Sie das Skript über die Befehlszeile oder -shell aus. Sie können beim Ausführen des Skripts Parameter angeben.
Wenn Sie das Skript "serverScan.py" ohne Angabe von Parametern ausführen, werden Sie aufgefordert, diese manuell einzugeben oder den Standardwert auszuwählen. Um ein Token zu verwenden, muss dieses beim Ausführen des Skripts als Parameter bereitgestellt werden.
Die Überprüfung generiert einen Bericht im HTML-Format, in dem jegliche oben aufgeführten Probleme, die in der angegebenen ArcGIS Server-Site gefunden wurden, aufgeführt sind.
Der Bericht wird standardmäßig im selben Ordner gespeichert, aus dem Sie das Skript ausgeführt haben, und hat den Namen serverScanReport_[hostname]_[date].html.
Sicherheitsprüfung in Portal for ArcGIS
Das Skript "portalScan.py" befindet sich im Verzeichnis <Portal for ArcGIS installation location>\tools\security. Führen Sie das Skript über die Befehlszeile oder -shell aus. Sie können beim Ausführen des Skripts einen oder mehrere Parameter angeben.
Wenn Sie das Skript "portalScan.py" ohne Angabe von Parametern ausführen, werden Sie aufgefordert, diese manuell einzugeben oder den Standardwert auszuwählen. Um ein Token zu verwenden, muss dieses beim Ausführen des Skripts als Parameter bereitgestellt werden.
Der Scan erstellt einen Bericht im HTML-Format, in dem jegliche oben aufgeführten Probleme, die im angegebenen Portal gefunden wurden, aufgelistet sind.
Der Bericht wird standardmäßig im selben Ordner gespeichert, aus dem Sie das Skript ausgeführt haben, und hat den Namen portalScanReport_[hostname]_[date].html.
Zusätzliche Quellen
Weitere Informationen zu den Empfehlungen für ArcGIS Server können der Produktdokumentation entnommen werden.