Следующие сведения описывают наиболее рекомендуемые методы при выполнении развертывания ArcGIS Enterprise.
Настройки безопасности приложения
Для построения усиленно защищенных экземпляров ArcGIS Enterprise приводятся следующие рекомендации. В зависимости от определенных сценариев, рекомендуется применять следующие настройки на уровне приложений для вашего развертывания ArcGIS Enterprise:
- Необходимо использовать HTTPS в пределах развертывания ArcGIS Enterprise.
- Требование использовать HTTPS позволяет шифровать и защищать ваши данные во время передачи.
- Не открывайте интерфейсы ArcGIS Server Manager, Server Admin или Portal Admin для широкой публики.
- Это можно сделать, если развернуть веб-адаптер или обратный прокси.
- Отключите доступ к директориям Services и Portal для производственных систем.
- Services Directory может быть полезным средством разработки, однако Esri рекомендует отключать его в производственных системах, чтобы пользователи не могли просматривать список сервисов, искать сервисы через Интернет или направлять запросы к сервисам с использованием HTML-форм.
- Отключите операции запросов к сервисам (где возможно).
- Если операции запросов не требуются для определенного сервиса, их необходимо отключить для минимизации потенциальных внешних атак.
- Отключите учетную запись первичного администратора сайта ArcGIS Server (PSA), и отключите или удалите основную учетную запись администратора Portal for ArcGIS (IAA).
- Отключение учетной записи по умолчанию гарантирует единый доступ для всех администраторов, которые указаны в хранилище аутентификаций, и предоставляет дополнительные возможности учета.
- Ограничьте использование коммерческих баз данных через ваш веб-сайт.
- Не разрешайте пользователям с публичным доступом прямой (или косвенный) доступ к многопользовательской базе данных. Файловая база геоданных может оказаться полезным промежуточным звеном и помочь минимизировать потенциальные SQL-атаки.
- Включите стандартизированные SQL-запросы.
- Задействуйте эту опцию безопасности в ArcGIS Enterprise, чтобы защитить его от SQL-атак.
- Ограничьте междоменные запросы.
- Ограничьте использование ресурсов ArcGIS Enterprise только приложениями, размещенными в списке доверенных чистых доменах.
- Используйте сервис печати ArcGIS Online вместо сервиса печати ArcGIS Server для приложений с общим доступом (которое можно открыть вне пределов корпоративного брандмауэра).
- При этом запросы на выгрузку данных направлены к облачной инфраструктуре, и не происходит отправки запросов веб-сервиса напрямую во внутренний ArcGIS Server.
- Если вы должны использовать сервис печати ArcGIS Server для внешней работы, всегда развертывайте общедоступный ArcGIS Enterprise в DMZ, а не внутри доверенной сети.
Для дополнительной информации см Практические примеры настройки безопасности для ArcGIS Server и Практические примеры настройки безопасности для Portal for ArcGIS.
Обновления политики безопасности
Защита от рисков уязвимости от умеренного до высокого включается в стандартные патчи безопасности, которые выпускаются для версий долгосрочной поддержки (LTS) продуктов ArcGIS Enterprise, находящихся на стадии поддержки General Availability and Extended Support. Риск определяется внутренней оценкой по формуле CVSSv3. Информацию о фазах поддержки см. в разделе Определения жизненных циклов продуктов Esri, а описания версий STS в LTS в блоге Обновление жизненных циклов продуктов ArcGIS Enterprise.
Критические, доказанные уязвимости редко встречаются в продуктах Esri. Если в программном обеспечении Esri обнаружена критическая уязвимость, Esri может выпустить патч для всех поддерживаемых в настоящее время версий уязвимого программного обеспечения ArcGIS, независимо от фазы их поддержки или доступности версий длительной поддержки (LTS).
Патчи по безопасности, выпускаемые для ArcGIS Enterprise, являются накопительными и включают в себя все предыдущие патчи по безопасности , выпущенные для версии ArcGIS Enterprise, на которую нацелен патч.
Аутентификация
Аутентификация включает проверку учетных данных, чтобы подтвердить идентификацию клиента.
- Аутентификация для сервисов ArcGIS Enterprise должна выполняться на уровне ГИС или веб-уровне. Если используется Portal for ArcGIS, интегрированный с ArcGIS Server, ваши клиенты также могут воспользоваться опцией применения корпоративных учетных записей SAML 2.0 или подключения OpenID.
- Аутентификация на уровне ГИС – используется модель аутентификации ArcGIS Token со встроенным хранилищем учетных записей пользователей.
- Аутентификация на веб-уровне – использует любую аутентификацию, поддерживаемую веб-сервером, например, Integrated Windows Authentication, или даже применяет существующую в организации Public Key Infrastructure (PKI).
- Корпоративные учетные записи – если Portal for ArcGIS интегрирован с ArcGIS Server, как часть развертывания ArcGIS Enterprise, есть возможность использовать учетные записи SAML или подключение OpenID.
- Интегрируйте систему с SAML 2.0 Identity Provider (IdP), или подключение OpenID чтобы применять Технологию единого веб-входа.
- SAML является открытым стандартом безопасного обмена аутентификационными данными между провайдерами IdP и сервера (в данном случае, Portal for ArcGIS).
Авторизация
Авторизация – это процесс, в котором права доступа клиента проверяются до входа на ресурс или выполнения операции.
- Примените Контроль доступа на основе роли (RBAC).
- Используйте модель, основанную на принципе наименьшего уровня привилегий, для управления ролями ArcGIS Enterprise
- Назначайте только те права доступа, которые действительно необходимы пользователю для выполнения его работы.
- Роли по умолчанию, которые существуют в ArcGIS Server:
- Администратор
- Издатель
- Пользователь
- При использовании Portal for ArcGIS рекомендуется пользоваться пользовательскими ролями на основе принципа наименьших прав доступа для более разграниченного определения пользовательского доступа.
Шифрование
Шифрование – это процесс трансформации данных, чтобы их было невозможно прочитать без ключа дешифровки.
- Зашифровывайте данные при передаче, активируя HTTPS на ArcGIS Enterprise
- Используйте TLS 1.2.
- Используйте существующую инфраструктуру сертификатов и доверенные сертификаты, выпущенные одной из доверенных сторонних организаций, называемой центром сертификации.
- Зашифруйте неактивные данные (если возможно), особенно для ценных наборов данных.
- Для баз данных рассмотрите использование Transparent Data Encryption (TDE).
- Для репозиториев файлов рассмотрите использование полное шифрование диска.
- Используйте сложные алгоритмы шифрования.
- Криптография постоянно развивается и старые алгоритмы могут становиться ненадежными.
- Отслеживайте новости и рекомендации научных институтов, например, NIST.
Ведение журнала и аудит
Ведение журнала включает запись интересующих вас событий в системе. Аудит – лучший метод проверки этих журналов, для уверенности в том, что ваша система функционирует должным образом, или для того, чтобы ответить на определенный вопрос о произведенной транзакции.
- Записывайте в журнале интересующие события, например, кто публикует сервисы.
- Убедитесь, что журнал событий ведется на уровнях приложения, операционной системы и сетевых слоев.
- Убедитесь, что журналы просматриваются с установленным организацией интервалом.
- Используйте Security Information and Event Management (SIEM), дающее преимущество в автоматической корреляции.
Повышение прочности
Повышение прочности – это процесс, когда настроенные безопасные системы минимизируют риски, насколько это возможно. Подверженность атакам для данной системы может минимизироваться с помощью:
- Внедрения на уровне приложения описанных ранее рекомендаций по укреплению безопасности.
- Удаления ненужного программного обеспечения.
- Отключения неиспользуемых сервисов.
- Знакомства с дополнительными руководствами по укреплению безопасности данного приложения, например, Esri ArcGIS Server STIG.
- Базовыми правилами поставщика ОС, используя инструменты, такие как Microsoft Security Compliance Toolkit.
- Знакомства с независимыми рекомендациями по укреплению безопасности, такими как CIS Security Benchmarks.
Проверка безопасности ArcGIS Server
Скрипт serverScan.py находится в папке <ArcGIS Server installation location>/tools/admin. Запустите скрипт из командной строки или из командной оболочки. Вы можете задать параметры при запуске скрипта.
Если вы запускаете скрипт serverScan.py script без определения параметров, вам будет предложено ввести их вручную или выбрать значения по умолчанию. Для использования токена необходимо его предоставить в качестве параметра при запуске скрипта.
При сканировании создается отчет в формате HTML, где перечислены все вышеуказанные проблемы, найденные на заданном сайте ArcGIS Server.
По умолчанию, отчет сохраняется в той же папке, где вы запускали скрипт, и называется serverScanReport_[hostname]_[date].html.
Проверка безопасности Portal for ArcGIS
Скрипт portalScan.py находится в папке <Portal for ArcGIS installation location>\tools\security. Запустите скрипт из командной строки или из командной оболочки. Вы можете задать один или несколько параметров при запуске скрипта.
Если вы запускаете скрипт portalScan.py без определения параметров, вам будет предложено ввести их вручную или выбрать значения по умолчанию. Для использования токена необходимо его предоставить в качестве параметра при запуске скрипта.
При сканировании создается отчет в формате HTML, где перечислены все вышеуказанные проблемы, найденные на заданном портале.
По умолчанию, отчет сохраняется в той же папке, где вы запускали скрипт, и называется portalScanReport_[hostname]_[date].html.
Дополнительные ресурсы
Дополнительная информация по обеспечению безопасности ArcGIS Server со всеми подробностями находится в существующей документации по продукту.