Skip To Content

Guia de implementação do Desktop

Este tópico descreve algumas das melhores práticas para implantações de aplicativo do ArcGIS Desktop. Como uma nota importante, os produtos do ArcGIS Desktop são auto certificados de acordo com United States Government Configuration Baseline (USGCB, antigamente FDCC). O ArcGIS Pro (1.4.1 e posterior) também é autocertificado pelo USGCB. Para mais informações, consulte Comformidade.

Proteções baseadas em Desktop

Considere implantar e configurar o seguinte no cliente de desktop para ajudar na mitigação de risco potencial:

  • Anti-vírus baseado em host (A/V)
  • Firewall baseado em host
  • Sistemas de detecção de intruso baseados em host (IDS)

Autenticação

A autenticação envolve verificar as credenciais em uma tentativa de conectar para confirmar a identidade do cliente. Considere um registro único (SSO) ou uma solução de autenticação federada.

Autorização

A autorização é o processo pelo o qual as permissões de cliente são verificadas antes de acessar um recurso. Isto ocorre após uma autenticação bem sucedida. É importante implementar o princípio de menos privilégio e controle de acesso baseado em papel. Já que a arquitetura do aplicativo ArcGIS Desktop envolve tradicionalmente a interação entre o desktop cliente e uma fonte centralizada como um sistema de gerenciamento do banco de dados relacional (SGBDR), é importante considerar como privilégios são concedidos em níveis do Banco de Dados. Os privilégios de usuário podem ser configurados em diferentes níveis, como o seguinte:

  • Sistema de gerenciamento do Banco de Dados (DBMS)
    • Os privilégios neste nível afetam o sistema de gerenciamento do Banco de Dados inteiro. Geralmente, isto é aplicado somente para administradores dos Bancos de Dados que talvez precisam acessar e gerenciar todos os objetos no sistema.
  • Banco de Dados
    • Os privilégios neste nível determinam o que um usuário ou grupo de usuários pode fazer no geodatabase.
  • Versão de Geodatabase
    • O privilégio pode ser configurado para controlar acesso a uma versão do geodatabase. Este é um tipo especial de privilégio que não é definido pelo SGBD. Para mais informações, consulte Criando versões e configurando permissões.
  • Conjunto de Dados

Criptografia

A criptografia é o processo de transformar dados de forma que sejam ilegíveis por aqueles sem uma chave de decodificação.

  • Codifique dados em trânsito utilizando HTTPS (TLS 1.2 ou posterior) para todas as comunicações de entrada e saída a partir do cliente de desktop.
    • Utilize infraestrutura de certificado existente e certificados de confiança assinados por uma autoridade de certificação de terceiros confiável.
  • Codifique dados em repouso (conforme possível).
    • Para estações de trabalho, considere utilizar criptografia de disco completa.
    • Para Bancos de Dados, considere utilizar Criptografia de Dados Transparente (TDE).
    • Para repositórios de arquivo, considere utilizar criptografia de disco completa.
  • Garanta o uso de algoritmos de criptografia fortes.
    • A criptografia é um campo em constante mudança, e algoritmos mais antigos continuarão a ser considerados inseguros.
    • Monitore corpos padrão como NIST para recomendações.

Registro e auditoria

O registro envolve gravar eventos de interesse a partir de um sistema. A auditoria é a prática de inspecionar estes logs para garantir que o sistema está funcionando da forma desejada ou para responder uma pergunta específica sobre uma transação em particular que aconteceu.

  • Registre eventos, tais como, logins bem sucedidos , logins com falhas e outros eventos que alinham com as diretrizes organizacionais.
  • Considere registrar no aplicativo, sistema operacional e níveis de rede.
  • Considere utilizar informações de segurança enterprise e solução de gerenciamento de evento para executar análise e correlação dos eventos. Isto ajudará a identificar uma atividade maliciosa potencial.

Estabilização

Estabilização é o processo de configurar sistemas de forma segura para mitigar tantos riscos de segurança forem possíveis. A superfície de ataque pode ser minimizada em um determinado sistema fazendo o seguinte:

  • Implementar um nível de aplicativo sólido como o guia mencionado acima.
  • Remover software desnecessário.
  • Desabilitar serviços desnecessários.
  • Utilizar -uma imagem de segurança sólida. Os produtos do ArcGIS Desktop e ArcGIS Pro são auto certificados de acordo com a Linha de Base de Configuração do Governo dos Estados Unidos (USGCB, antigamente FDCC).