Skip To Content

ArcGIS Enterprise uygulama kılavuzu

Aşağıdaki ayrıntılarda ArcGIS Enterprise dağıtımındaki en iyi uygulamalar anlatılmıştır.

Uygulama güvenlik ayarları

ArcGIS Enterprise'ın sağlamlaştırılmış örnekleri için aşağıdaki en iyi uygulamalar tavsiye edilir. Özel kullanım durumunuza bağlı olarak, aşağıdaki uygulama düzeyi ayarları ArcGIS Server uygulamasında kullanmanız önerilir:

  • ArcGIS Enterprise uygulamanızda HTTPS gerektirir.
    • Gereken HTTPS, işlenen verilerinizi şifreler ve korur.
  • ArcGIS Server Manager, Server Admin veya Portal Admin arayüzlerini halka açık olarak paylaşmayın.
    • Bu, Web Adaptor veya ters vekil sunucu dağıtılarak yapılabilir.
  • Üretim sistemleri için Servisler ve Portal dizinlerini devre dışı bırakın.
    • Servisler Dizini faydalı bir geliştirme aracı olabilir; ancak, kullanıcıların servisler listenize göz atmasını, bir web aramasında servislerinizi bulmasını veya HTML formları aracılığıyla servislerinizi talep etmesini istemiyorsanız, Esri, üretim sistemleri için Servisler Dizinini devre dışı bırakmanızı tavsiye eder.
  • Servis içindeki sorgulama işlemlerini (mümkünse) devre dışı bırakın.
    • Sorgulama işlemleri, belirli bir servis için gerekli olmadıkları durumlarda, potansiyel saldırı yüzeyini en aza indirmek için devre dışı bırakılmalıdır.
  • ArcGIS Server Birincil Site Yöneticisi (PSA) hesabını devre dışı bırakın ve Portal for ArcGIS İlk Yönetici Hesabını (IAA) düşürün veya silin.
    • Varsayılan hesapların devre dışı bırakılması, yöneticilere kurumsal kimlik deposunda tanımlanan bir tek erişim yolu ve ek güvenilirlik sağlar.
  • Web sitenizdeki ticari veri tabanlarının kullanımını sınırlayın.
    • Genel kullanıcıların kurumsal veri tabanına doğrudan (veya dolaylı) erişimine izin vermeyin. Bir dosya coğrafi veri tabanı faydalı bir araç olabilir ve potansiyel SQL injection saldırılarının engellenmesini sağlayabilir.
  • Standart SQL sorgularını etkinleştirin.
    • SQL injection saldırılarına karşı daha fazla koruma sağlamak için ArcGIS Enterprise'daki bu güvenlik seçeneğini etkinleştirin.
  • Domainler arası istekleri sınırlandırın.
    • ArcGIS Enterprise kaynaklarının kullanımını sadece güvenilir domainlerin adresler listesinde barındırılan uygulamalarla sınırlandırın.
  • Genel (kurumsal güvenlik duvarının dışından erişim sağlanabilen) uygulamalar için ArcGIS Server yazdırma servisi yerine ArcGIS Online yazdırma servisini kullanın.
    • Bu, isteklerin bulut altyapısına aktarılmasını sağlar ve doğrudan bir dahili ArcGIS Server’a web servisi isteği gönderilmesini engeller.
    • ArcGIS Server yazdırma servisini harici olarak kullanmanız gerektiğinde, genel ArcGIS Server’ı güvenilir bir ağ üzerinden dahili olarak değil, her zaman DMZ’ye dağıtın.

Ayrıntılar için bkz. ArcGIS Server için en iyi güvenlik uygulamaları ve Portal for ArcGIS için en iyi güvenlik uygulamaları.

Kimlik doğrulama

Kimlik doğrulama, bir bağlantı yapılırken istemcinin kimliğinin onaylanmasını kapsayan kimlik bilgilerinin doğrulanma işlemidir.

  • CBS katmanı veya web katmanı kimlik doğrulaması kullanarak ArcGIS Server servisleri için kimlik doğrulamasını zorunlu hale getirin. ArcGIS Server ile federe edilmiş Portal for ArcGIS kullanıyorsanız, müşterileriniz SAML 2.0 veye OpenID Connect kullanarak kuruma özel oturum açma seçeneğine de sahip olacaktır.
    • CBS katmanı kimlik doğrulaması - ArcGIS Belirteç modeli kimlik doğrulaması ve yerleşik kullanıcı deposu kullanır.
    • Web katmanı kimlik doğrulaması - Web sunucusu tarafından desteklenen Entegre Windows Kimlik Doğrulaması gibi herhangi bir kimlik doğrulamasını veya bir kuruluşun mevcut Genel Anahtar Altyapısı’nı (PKI) kullanabilir.
    • Kuruma özel oturumlar - Portal for ArcGIS, ArcGIS Enterprise dağıtımının bir parçası olarak ArcGIS Server ile federe ediliyorsa, SAML oturum bilgileri veya Open ConnectID kullanma seçeneği de sunulur.
      • Web’de Çoklu Oturum Açma sağlamak için bir SAML 2.0 Identity Provider (IdP) veya OpenID Connect ile entegre edin.
      • SAML ve OpenID Connect, IdP ve sunucu sağlayıcısı (bu durum için Portal for ArcGIS) arasında kimlik doğrulama verilerinin güvenli biçimde takas edilmesini sağlayan açık standartlardır.

Yetkilendirme

Yetkilendirme, bir kaynağa erişim sağlamadan veya belirli bir işlevi gerçekleştirmeden önce istemci izinlerinin doğrulanması işlemidir.

  • Rol Tabanlı Erişim Kontrolü (RBAC) gerçekleştirin.
    • ArcGIS Enterprise içindeki rol yönetimi için en az ayrıcalıklı modeli kullanın.
    • Bir kullanıcıya yalnızca gereken işlevleri gerçekleştirecek kadar ayrıcalık atayın.
  • ArcGIS Server içinde mevcut varsayılan roller şunlardır:
    • Yönetici
    • Publisher
    • Kullanıcı
  • Portal for ArcGIS kullanıyorsanız, kullanıcı erişimini daha ayrıntılı tanımlamak için en az ayrıcalık ilkesine dayanan özel roller kullanmanız tavsiye edilir.

Şifreleme

Şifreleme, şifre çözme anahtarı erişimi olmayan kişilerin okuyamaması için verilerin dönüştürülmesi işlemidir.

  • ArcGIS Enterprise’da HTTPS özelliğini etkinleştirerek aktarılmakta olan verileri şifreleyin.
    • TLS 1.2 kullanın.
    • Mevcut sertifika altyapısını ve güvenilir bir üçüncü şahıs sertifika yetkilisi tarafından imzalanan sertifikaları kullanın.
  • Özellikle hassas veri kümeleri için aktarımda olmayan verileri şifreleyin (mümkünse).
    • Veri tabanları için Şeffaf Veri Şifreleme (TDE) kullanmayı deneyin.
    • Dosya depoları için tam disk şifrelemesi kullanmayı deneyin.
  • Güçlü şifreleme algoritmaları kullanın.
    • Şifreleme sürekli değişen bir alandır ve eski algoritmalar git gide daha az güvenli bulunmaktadır.
    • Öneriler için NIST gibi standart yapıları izleyin.

İşlrm Kaydı Tutma ve denetim

İşlem kaydı tutuma, bir sistemdeki odak olayların kaydedilmesidir. Denetim, sisteminizin istediğiniz biçimde çalıştırılmasını sağlamak veya oluşan özel bir işlem hakkındaki belirli bir soruyu yanıtlamak için bu işlem kayıtlarının incelenmesidir.

  • Servisleri kimin yayınladığı gibi odak olayların kaydını tutun.
  • Uygulama, işletim sistemi, ve ağ katmanları düzeyinde sistem içi işlem kaydı kullanılmasını sağlayın.
  • İşlem kayıtlarının kuruluşun tanımladığı bir zaman aralığında incelenmesini sağlayın.
  • Otomatik korelasyonda bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) uygulamasının kullanılması faydalı olabilir.

Sağlamlaştırma

Sağlamlaştırma, mümkün olan en fazla sayıda güvenlik riskini ortadan kaldırmak amacıyla sistemlerin güvenli biçimde yapılandırılmasıdır. Belirli bir sistem için saldırı alanı aşağıdakilerle en aza indirilebilir:

  • Yukarıda açıklanan öneriler benzeri, uygulama düzeyinde sağlamlaştırmalar uygulayın.
  • Gereksiz yazılımları kaldırın.
  • Gereksiz servisleri devre dışı bırakın.
  • Esri ArcGIS Server STIG gibi, uygulamaya özel ek sağlamlaştırma kılavuzlarına başvurun.
  • Microsoft Güvenlik Uyumluluğu Araç Kiti gibi araçları kullanmak benzeri, İşletim Sistemi Satıcısı Temel ilkeleri.
  • CIS Güvenlik Karşılaştırmaları gibi bağımsız güvenlik kılavuzlarını gözden geçirin.

Ek kaynaklar

ArcGIS Server için ilave en iyi uygulama bilgileri yardım belgelerinde bulunabilir.