Skip To Content

Instrucțiuni pentru implementare ArcGIS Enterprise

Următoarele detalii descriu cele mai bune practici la instalarea ArcGIS Enterprise.

Setări de securitate pentru aplicații

Următoarele practici sunt recomandate pentru exemple stricte de ArcGIS Enterprise. În funcție de cazul dvs. specific de utilizare, se recomandă ca dvs. să aplicați următoarele setări la nivel de aplicație pentru implementarea versiunii dvs. ArcGIS Enterprise:

  • Necesită HTTPS în toată implementarea dvs. a ArcGIS Enterprise.
    • Necesită criptări HTTPS și vă protejează datele în tranzit.
  • Nu expuneți interfețele ArcGIS Server Manager, Server Admin sau Portal Admin publicului.
    • Acest lucru poate fi obținut prin implementarea adaptorului web sau a unui proxy invers.
  • Dezactivați serviciile și directoarele de portal pentru sisteme de producție.
    • Services Directory poate fi un instrument de dezvoltare util; cu toate acestea, Esri recomandă să dezactivați Services Directory pentru sisteme de producție atunci când nu doriți ca utilizatorii să navigheze în lista dvs. de servicii, să găsească serviciile dvs. într-o căutare pe web sau să facă solicitări pentru serviciile dvs. prin formulare HTML.
  • Dezactivați operațiunile de interogare a serviciilor (acolo unde este posibil).
    • Dacă operațiunile de interogare nu sunt necesare pentru un anumit serviciu, acestea trebuie dezactivate pentru a reduce la minimum suprafața posibilă de atac.
  • Dezactivați contul de administrator pentru site-ul principal ArcGIS Server (PSA) și retrogradați sau ștergeți contul de administrator inițial Portal for ArcGIS (IAA).
    • Dezactivarea conturilor implicite asigură o singură cale de acces pentru administratorii identificați în cadrul bazei de identități pentru organizație și furnizează responsabilități suplimentare.
  • Limitați utilizarea bazelor de date comerciale de pe site-ul dvs. web.
    • Nu permiteți utilizatorilor publici accesul direct (sau indirect) la baza de date de organizație. Un fișier cu o bază de date geografică poate fi un intermediar util și poate contribui la diminuarea riscului unor atacuri prin injectare SQL.
  • Permiteți interogările SQL de standardizare.
    • Activați această opțiune de securitate în ArcGIS Enterprise pentru a furniza o protecție superioară împotriva atacurilor prin injectare SQL.
  • Restricționați solicitările între domenii.
    • Restricționați utilizarea resurselor ArcGIS Enterprise doar pentru aplicațiile găzduite dintr-o listă de permisiuni de domenii de încredere.
  • Utilizați serviciul de imprimare din ArcGIS Online în loc de serviciul de imprimare din ArcGIS Server pentru aplicațiile publice - (accesibile din afara firewall-ului corporativ).
    • Acest lucru permite transferul solicitărilor către infrastructura cloud și împiedică adresarea de solicitări de servicii web direct către un ArcGIS Server intern.
    • Dacă trebuie să utilizați extern serviciul de imprimare ArcGIS Server, implementați întotdeauna ArcGIS Enterprise cu acces public în DMZ și nu intern într-o rețea de încredere.

Pentru detalii, consultați Cele mai bune practici pentru ArcGIS Server și Cele mai bune practici pentru Portal for ArcGIS.

Actualizări de securitate

Vulnerabiltățile de risc moderat până la ridicat sunt abordate ca făcând parte din corecțiile de securitate standard, care sunt lansate pentru versiunile cu asistență pe termen lung (LTS) ale ArcGIS Enterprise care sunt încă în faza de disponibilitate generală și asistență extinsă. Riscul este stabilit prin scorul intern folosind formula CVSSv3. Consultați definițiile ciclului de viață a produsului Esri pentru fazele de asistență și postarea de pe blog privind Actualizarea la ciclul de viață al produselor ArcGIS Enterprise care descriu versiunile STS și LTS.

Vulnerabilitățile critice și dovedite, care pot fi exploatate, sunt rare la nivelul produselor Esri. Atunci când este descoperită o vulnerabilitate critică și dovedită, care poate fi exploatată, în software-ul Esri, Esri poate lansa o corecție pentru toate versiunile acceptate la momentul respectiv ale software-ului ArcGIS, indiferent de faza de asistență sau de disponibilitate a versiunilor de asistență pe termen lung (LTS).

Corecțiile de securitate lansate pentru ArcGIS Enterprise sunt cumulative și includ toate corecțiile de securitate anterioare lansate pentru versiunea ArcGIS Enterprise vizată de corecție.

Autentificare

Autentificarea implică verificarea datelor de autentificare într-o încercare de conectare pentru a confirma identitatea clientului.

  • Solicitați autentificarea la servicii ArcGIS Enterprise prin autentificarea la nivel de GIS sau web. Dacă utilizați Portal for ArcGIS federalizat cu ArcGIS Server dvs., clienții dvs. au opțiunea de a utiliza autentificările de organizație prin SAML 2.0. sau OpenID Connect.
    • Autentificare la nivel de GIS – Utilizează autentificarea bazată pe modelul de token ArcGIS și depozitul de utilizator încorporat.
    • Autentificarea web – Utilizează orice autentificare acceptată de serverul web, cum ar fi autentificarea Windows integrată, sau poate chiar să utilizeze infrastructura de chei publice (PKI) existentă a unei organizații.
    • Autentificări specifice organizației – Dacă Portal for ArcGIS este federalizat cu ArcGIS Server ca parte dintr-o implementare de ArcGIS Enterprise, există și opțiunea de a utiliza autentificările SAML sau Open ConnectID.
      • Integrați cu SAML 2.0 Identity Provider (IdP) sau OpenID Connect pentru a furniza Web Single Sign On.
      • SAML și OpenID Connect sunt standarde deschise, destinate schimbului securizat de date de autentificare între IdP și un furnizor de servicii (în acest caz, Portal for ArcGIS).

Autorizarea

Autorizarea este procesul prin care permisiunile clientului sunt verificate înainte de accesarea unei resurse sau executarea unei funcții specifice.

  • Utilizați controlul accesului pe bază de roluri (RBAC).
    • Utilizați un model cu privilegii minime pentru administrarea rolurilor din ArcGIS Enterprise.
    • Atribuiți doar privilegiile necesare pentru ca un utilizator să folosească funcțiile necesare.
  • Rolurile implicite care există în ArcGIS Server sunt următoarele:
    • Administrator
    • Editor
    • Utilizator
  • Dacă utilizați Portal for ArcGIS, se recomandă să folosiți roluri personalizate pe baza principiului de cel mai mic privilegiu pentru a defini mai granulat accesul utilizatorului.

Criptarea

Criptarea este procesul de transformare a datelor astfel încât să nu poată fi citite de cei care nu au acces la o cheie de decriptare.

  • Criptarea datelor în tranzit prin activarea HTTPS pe ArcGIS Enterprise.
    • Utilizați TLS 1.2.
    • Utilizați infrastructura de certificate existentă și certificatele semnate de o autoritate de certificare terță de încredere.
  • Criptați datele retrase (după cum este posibil), în special pentru seturile de date sensibile.
    • Pentru bazele de date, luați în considerare utilizarea criptării transparente a datelor (TDE).
    • Pentru depozitele de fișiere, luați în considerare criptarea completă a discului.
  • Utilizați algoritmi de criptare puternici.
    • Criptografia este un domeniu în continuă schimbare și se va continua descoperirea faptului că algoritmii mai vechi sunt nesiguri.
    • Monitorizați organismele care se ocupă de standarde, precum NIST, pentru recomandări.

Înregistrarea în jurnale și auditurile

Înregistrarea în jurnale implică înregistrarea de evenimente de interes dintr-un sistem. Auditul este practica inspectării respectivelor jurnale pentru a vă asigura că sistemul funcționează aşa cum se doreşte sau pentru a răspunde la o întrebare specifică despre o anumită tranzacţie care a avut loc.

  • Înregistrați evenimente de interes precum persoanele care publică servicii.
  • Asigurați-vă că înregistrarea este utilizată în întregul sistem în straturile tematice de aplicație, sistem de operare și rețea.
  • Asigurați-vă că jurnalele sunt revizuite la un interval definit de organizație.
  • Utilizarea unei soluții de gestionare a evenimentelor și informațiilor de securitate (SIEM) este benefică pentru corelarea automată a evenimentelor.

Consolidarea

Consolidarea este procesul de configurare securizată a sistemelor pentru a diminua cât mai multe riscuri de securitate. Suprafața de atac poate fi minimizată pe un sistem specific prin următoarele:

  • Implementați consolidarea la nivel de aplicație, cum ar fi prin intermediul instrucțiunilor menționate mai sus.
  • Eliminați software-ul inutil.
  • Dezactivați serviciile inutile.
  • Consultați instrucțiuni suplimentare-de consolidare, specifice aplicației, cum ar fi Esri ArcGIS Server STIG.
  • Politicile de bază ale distribuitorului sistemului de operare, folosind instrumente cum ar fi Security Compliance Toolkit.
  • Analizați instrucțiunile de securitate independente, cum ar fi CIS Security Benchmarks.

Validarea securității ArcGIS Server

Scriptul serverScan.py este localizat în directorul <ArcGIS Server installation location>/tools/admin. Executați scriptul de la linia sau shellul de comandă. La executarea scriptului, puteți specifica parametrii.

Dacă executați scriptul serverScan.py fără specificarea niciunui parametru, vi se va solicita să îi introduceți manual sau să selectați valoarea implicită. Pentru a utiliza token, acesta trebuie furnizat ca parametru la executarea scriptului.

Scanarea generează un raport în format HTML care enumeră problemele de mai sus care au fost descoperite în site-ul ArcGIS Server specificat.

În mod implicit, raportul este salvat în același folder în care executați scriptul și este denumit serverScanReport_[hostname]_[date].html.

Validarea securității Portal for ArcGIS

Scriptul portalScan.py este localizat în directorul <Portal for ArcGIS installation location>\tools\security. Executați scriptul de la linia sau shellul de comandă. La executarea scriptului, puteți specifica unul sau mai mulți parametri.

Dacă executați scriptul portalScan.py fără specificarea niciunui parametru, vi se va solicita să îi introduceți manual sau să selectați valoarea implicită. Pentru a utiliza token, acesta trebuie furnizat ca parametru la executarea scriptului.

Scanarea generează un raport în format HTML care enumeră problemele de mai sus care au fost descoperite în portalul specificat.

În mod implicit, raportul este salvat în același folder în care executați scriptul și este denumit portalScanReport_[hostname]_[date].html.

Resurse suplimentare

Informații suplimentare privind cele mai bune practici pentru ArcGIS Server sunt disponibile în documentația produsului.