Skip To Content

Linee guida per l'implementazione desktop

Questo documento descrive alcune procedure consigliate per l'installazione di applicazioni di ArcGIS Desktop. È importante ricordare che i prodotti ArcGIS Desktop sono autocertificati secondo le linee guida di configurazione del governo statunitense (United States Government Configuration Baseline, USGCB, in precedenza FDCC). Anche ArcGIS Pro (1.4.1 e versioni successive) è auto certificato secondo USGCB. Per ulteriori informazioni, vedere Conformità.

Protezioni basate su desktop

È possibile prendere in considerazione la distribuzione e la configurazione di quanto segue sul client desktop per contribuire alla mitigazione dei rischi potenziali:

  • Antivirus basato su host (A/V)
  • Firewall basato su host
  • Sistemi di rilevamento delle intrusioni (IDS) basati su host

Autenticazione

L'autenticazione implica la verifica delle credenziali durante un tentativo di connessione per confermare l'identità del client. È possibile considerare una soluzione di autenticazione unica (SSO, Single Sign-on) o di autenticazione federata.

Autorizzazione

L'autorizzazione è la procedura tramite la quale le autorizzazioni client vengono verificate prima dell'accesso a una risorsa. Ciò avviene al termine di un'autenticazione. È importante applicare il principio del numero minimo di privilegi e del controllo degli accessi basato sui ruoli. Poiché solitamente l'architettura delle applicazioni di ArcGIS Desktop implica l'interazione tra il desktop client e un'origine centralizzata come Relational Database Management System (RDBMS), è importante prendere in considerazione in che modo i privilegi sono concessi ai livelli di database. I privilegi degli utenti possono essere impostati a livelli diversi, ad esempio i seguenti:

  • Sistema di gestione del database (DBMS)
    • I privilegi a questo livello influenzano l'intero sistema di gestione del database. A livello generale, ciò riguarda solo gli amministratori di database che potrebbero avere necessità di accedere e gestire tutti gli oggetti del sistema.
  • Database
    • I privilegi a questo livello determinano quello che un utente o un gruppo di utenti può fare nel geodatabase.
  • Versione geodatabase
    • Il privilegio può essere impostato per controllare l'accesso a una versione di geodatabase. Si tratta di un tipo speciale di privilegio che non viene impostato tramite il DBMS. Per informazioni su questa impostazione, vedere Creazione di versioni ed impostazione di configurazioni.
  • Dataset
    • I privilegi del dataset determinano le operazioni che un utente può eseguire con un particolare dataset, ad esempio: Select, Update, Insert o Delete. Per ulteriori informazioni, vedere Concessione e revoca di privilegi sui dataset.

Crittografia

La crittografia è il processo di trasformazione dei dati per renderli illeggibili da coloro che non sono in possesso di una chiave per decrittografarli.

  • Crittografare i dati in transito utilizzando HTTPS (TLS 1.2 e versioni successive) per tutte le comunicazioni in ingresso e in uscita dal client desktop.
    • Utilizzare l'infrastruttura esistente dei certificati e i certificati attendibili sottoscritti da un'autorità di certificazione di terzi affidabile.
  • Crittografare i dati statici (per quanto fattibile).
    • Per quanto riguarda le workstation, è possibile prendere in considerazione l'utilizzo della crittografia del disco pieno.
    • Per quanto riguarda i database, è possibile prendere in considerazione l'utilizzo della crittografia TDE (Transparent Data Encryption).
    • Per quanto riguarda i file repository, è possibile prendere in considerazione l'utilizzo della crittografia del disco pieno.
  • Garantire l'utilizzo di algoritmi di crittografia efficaci.
    • La crittografia è un settore in costante evoluzione e gli algoritmi più datati continueranno a risultare non sicuri.
    • Monitorare gli enti standard come il NIST per eventuali raccomandazioni.

Registrazione e controllo

La registrazione implica la conservazione di record di eventi di interesse provenienti da un sistema. Il controllo consiste nell'esaminare i registri per verificare che il sistema funzioni secondo le aspettative oppure per rispondere a una domanda specifica su una particolare transazione che ha avuto luogo.

  • Registrare eventi come gli accessi eseguiti correttamente o quello non riusciti ed altri eventi secondo le direttive dell'organizzazione.
  • Considerare la registrazione ai livelli di applicazione, sistema operativo e rete.
  • Considerare l'utilizzo di una soluzione aziendale SIEM (Security Information and Event Management) per eseguire l'analisi e la correlazione degli eventi. Ciò contribuirà all'individuazione di una potenziale attività dannosa.

Protezione avanzata

Protezione avanzata è il processo di configurazione protetta dei sistemi per mitigare il maggior numero di rischi alla sicurezza. La superficie di attacco può essere ridotta su un determinato sistema eseguendo quanto segue:

  • Implementando la protezione avanzata a livello di applicazione, ad esempio le linee guida indicate sopra.
  • Rimuovendo il software inutile.
  • Disattivando i servizi inutili.
  • Utilizzo di una immagine- con sicurezza avanzata. I prodotti ArcGIS Desktop e ArcGIS Pro sono autocertificati in conformità alla United States Government Configuration Baseline (USGCB, in precedenza FDCC).