Skip To Content

ArcGIS-Sicherheit

Dieser Abschnitt enthält einen Überblick über Sicherheitsfunktionen, die für ArcGIS-Komponenten verfügbar sind, sowie Implementierungsanleitungen zur Authentifizierung, Autorisierung, Verschlüsselung und Überwachung. Mit ArcGIS können Sie die erforderlichen GIS-Funktionen mit der Gewissheit nutzen, dass Esri ein zuverlässiges und effektives Sicherheits-Framework umsetzt. Esri verbessert die Sicherheit von ArcGIS fortlaufend. Dies umfasst Folgendes:

  • Cloud: ArcGIS Online, Esri Managed Cloud Services Advanced Plus
  • Enterprise: ArcGIS Server, Portal for ArcGIS
  • Desktop: ArcGIS Desktop, ArcGIS Pro
  • Mobil: Mobile ArcGIS-Apps
Hinweis:

Um über die aktuellen sicherheitsbezogenen Informationen wie Sicherheitslücken, Sicherheits-Patches und Ankündigungen benachrichtigt zu werden, können Sie den RSS-Feed abonnieren, der mit dem Sicherheits-Blog verknüpft ist.

Sicherheitsproblem melden

Integrierte Sicherheit und Datenschutz

In der heutigen Cybersicherheitslandschaft muss unbedingt sichergestellt werden können, dass die erforderlichen Sicherheits- und Datenschutzmaßnahmen in die Produkte und Services eines Softwareunternehmens integriert wurden. Im Dokument Secure Development Lifecycle Overview finden Sie eine übersichtliche Zusammenfassung der von Esri umgesetzten Sicherheitsmaßnahmen hinsichtlich Governance, Einhaltung von Standards, Prüfungen und Werkzeugen, Schwachstellen- und Störungsmanagement und angewendeten Richtlinien.

Werkzeuge zur Sicherheitsprüfung

ArcGIS Enterprise enthält die Python-Skriptwerkzeuge "serverScan.py" und "portalScan.py", mit denen Sie prüfen können, ob allgemeine Sicherheitsprobleme vorliegen. Die Werkzeuge ziehen für die Problemprüfung einen Teil der Best Practices zum Konfigurieren einer sicheren Umgebung in ArcGIS Enterprise heran. Das Esri Software Security and Privacy Team bietet auch das Werkzeug "ArcGIS Online Advisor" an. Mit diesem kostenfreien Werkzeug können Administratoren von ArcGIS Online-Organisationen eine schnelle Prüfung der Sicherheitskonfiguration durchführen.

Sicherheitsprüfung in ArcGIS Server

Das Skript "serverScan.py" ist unter <ArcGIS Server installation location>/tools/admin gespeichert. Führen Sie das Skript über die Befehlszeile oder -shell aus. Sie können beim Ausführen des Skripts Parameter angeben.

Wenn Sie das Skript "serverScan.py" ohne Angabe von Parametern ausführen, werden Sie aufgefordert, diese manuell einzugeben oder den Standardwert auszuwählen. Um ein Token zu verwenden, muss dieses beim Ausführen des Skripts als Parameter bereitgestellt werden.

Der Scan erstellt einen Bericht im HTML-Format, in dem jegliche oben aufgeführten Probleme, die in der angegebenen ArcGIS-Server-Site gefunden wurden, aufgelistet sind.

Der Bericht wird standardmäßig im selben Ordner gespeichert, aus dem Sie das Skript ausgeführt haben, und hat den Namen serverScanReport_[hostname]_[date].html.

Sicherheitsprüfung in Portal for ArcGIS

Das Skript "portalScan.py" befindet sich im Verzeichnis <Portal for ArcGIS installation location>\tools\security. Führen Sie das Skript über die Befehlszeile oder -shell aus. Sie können beim Ausführen des Skripts einen oder mehrere Parameter angeben.

Wenn Sie das Skript "portalScan.py" ohne Angabe von Parametern ausführen, werden Sie aufgefordert, diese manuell einzugeben oder den Standardwert auszuwählen. Um ein Token zu verwenden, muss dieses beim Ausführen des Skripts als Parameter bereitgestellt werden.

Der Scan erstellt einen Bericht im HTML-Format, in dem jegliche oben aufgeführten Probleme, die im angegebenen Portal gefunden wurden, aufgelistet sind.

Der Bericht wird standardmäßig im selben Ordner gespeichert, aus dem Sie das Skript ausgeführt haben, und hat den Namen portalScanReport_[hostname]_[date].html.

ArcGIS Online Security Advisor

Das Werkzeug ArcGIS Online Advisor wurde vom Esri Software Security and Privacy Team entwickelt. Mit der farblich gekennzeichneten Benutzeroberfläche können ArcGIS Online-Administratoren die Sicherheitseinstellungen und an ArcGIS Online-Organisationen vorgenommene Änderungen auf einen Blick überprüfen.

Das Werkzeug ArcGIS Online Advisor prüft den aktuellen Sicherheitszustand Ihrer ArcGIS Online-Organisation und stellt ggf. Anleitungen zur Behebung von Schwachstellen bereit.

Zu den aktuellen Verbesserungen gehört die Möglichkeit zur Überprüfung auf in ArcGIS Online hinzugefügte Elemente, die Ressourcen referenzieren, welche über Nur-Text-HTTP-Layer hinzufügt wurden. Dies ist nützlich für Administratoren von ArcGIS Online-Organisationen, die eine Überprüfung mit Blick auf den anstehenden Wechsel von ArcGIS Online zur ausschließlichen Unterstützung von HTTPS durchführen möchten. Weitere aktuelle Verbesserungen sind z. B. die Möglichkeit zur Überprüfung auf öffentlich verfügbare Feature-Layer mit aktivierten Bearbeitungsfunktionen und die Möglichkeit zur Überprüfung auf öffentliche Surveys mit Survey-Layern, bei denen die Abfragefunktion aktiviert ist.

Informationen zu weiteren Initiativen finden Sie im Software Security & Privacy Blog in GeoNet.

Sicherheitsupdates

Schwachstellen mit mittlerem bis hohem Risiko werden als Teil der standardmäßigen Sicherheitspatches behoben, die für Versionen von ArcGIS Enterprise-Produkten mit Long-Term Support (LTS) in der Phase "General Availability" oder "Extended Support" veröffentlicht werden. Das Sicherheitsrisiko wird über ein internes Bewertungssystem mithilfe der CVSSv3-Formel bestimmt. Die Support-Phasen finden Sie auf der Esri Seite Produktlebenszyklen, und die STS- und LTS-Versionen sind im Blogbeitrag Update to ArcGIS Enterprise Product Lifecycle beschrieben.

Kritische Schwachstellen mit nachgewiesenen Sicherheitslücken treten in Esri Produkten selten auf. Wenn in der Esri Software eine kritische Schwachstelle mit nachgewiesenen Sicherheitslücken festgestellt wird, veröffentlicht Esri ggf. einen Patch für alle aktuell unterstützten Versionen der betroffenen ArcGIS-Software, wobei deren Support-Phase und die Verfügbarkeit von LTS-Versionen unerheblich sind.

Für ArcGIS Enterprise herausgegebene Sicherheitspatches sind kumulativ und umfassen alle vorherigen Sicherheitspatches für die betreffende ArcGIS Enterprise-Version.

Dokumente und Präsentationen

Dokumente und Präsentationen mit weiteren Informationen über Sicherheit, Datenschutz und Compliance für ArcGIS finden Sie in Dokumente.