Aşağıdaki ayrıntılarda ArcGIS Enterprise dağıtımındaki en iyi uygulamalar açıklanmıştır.
Uygulama güvenlik ayarları
ArcGIS Enterprise'ın sağlamlaştırılmış örnekleri için aşağıdaki en iyi uygulamalar tavsiye edilir. Özel kullanım durumunuza bağlı olarak, aşağıdaki uygulama düzeyi ayarları ArcGIS Enterprise implementasyonunda kullanmanız tavsiye edilir:
- ArcGIS Enterprise implementasyonunda HTTPS gerektirir.
- Gereken HTTPS, işlenen verilerinizi şifreler ve korur.
- ArcGIS Server Manager, Server Admin veya Portal Admin arayüzlerini herkese açmayın.
- Bu, Web Adaptor veya ters vekil sunucu dağıtılarak yapılabilir.
- Üretim sistemleri için Servisler ve Portal dizinlerini devre dışı bırakın.
- Servisler Dizini faydalı bir geliştirme aracı olabilir; ancak, kullanıcıların servisler listenize göz atmasını, bir web aramasında servislerinizi bulmasını veya HTML formları aracılığıyla servislerinizi talep etmesini istemiyorsanız, Esri, üretim sistemleri için Servisler Dizinini devre dışı bırakmanızı tavsiye eder.
- Servis içindeki sorgulama işlemlerini (mümkünse) devre dışı bırakın.
- Sorgulama işlemleri, belirli bir servis için gerekli olmadıkları durumlarda, potansiyel saldırı yüzeyini en aza indirmek için devre dışı bırakılmalıdır.
- ArcGIS Server Birincil Site Yöneticisi (PSA) hesabını devre dışı bırakın ve Portal for ArcGIS İlk Yönetici Hesabını (IAA) düşürün veya silin.
- Varsayılan hesapların devre dışı bırakılması, yöneticilere kurumsal kimlik deposunda tanımlanan bir tek erişim yolu ve ek güvenilirlik sağlar.
- Web sitenizdeki ticari veri tabanlarının kullanımını sınırlayın.
- Genel kullanıcıların kurumsal veri tabanına doğrudan (veya dolaylı) erişimine izin vermeyin. Bir dosya coğrafi veri tabanı faydalı bir araç olabilir ve potansiyel SQL injection saldırılarının engellenmesini sağlayabilir.
- Standart SQL sorgularını etkinleştirin.
- SQL injection saldırılarına karşı daha fazla koruma sağlamak için ArcGIS Enterprise'daki bu güvenlik seçeneğini etkinleştirin.
- Domainler arası istekleri sınırlandırın.
- ArcGIS Enterprise kaynaklarının kullanımını sadece güvenilir domainlerin adresler listesinde barındırılan uygulamalarla sınırlandırın.
- Genel (kurumsal güvenlik duvarının dışından erişim sağlanabilen) uygulamalar için ArcGIS Server yazdırma servisi yerine ArcGIS Online yazdırma servisini kullanın.
- Bu, isteklerin bulut altyapısına aktarılmasını sağlar ve doğrudan bir dahili ArcGIS Server’a web servisi isteği gönderilmesini engeller.
- ArcGIS Server yazdırma servisini harici olarak kullanmanız gerektiğinde, genel ArcGIS Enterprise’ı güvenilir bir ağ üzerinden dahili olarak değil, her zaman DMZ’ye dağıtın.
Ayrıntılar için bkz. ArcGIS Server için en iyi güvenlik uygulamaları ve Portal for ArcGIS için en iyi güvenlik uygulamaları.
Güvenlik güncellemeleri
Orta ila yüksek riskli güvenlik açıkları, hala Genel Kullanılabilirlik ve Genişletilmiş Destek aşamalarında olan ArcGIS Enterprise ürünlerinin uzun süreli desteği (LTS) için yayınlanan standart güvenlik yamalarının bir parçası olarak ele alınmaktadır. Risk, CVSSv3.1 formülünün kullanıldığı dahili puanlama ile belirlenir. Destek aşamaları için Esri ürün yaşam döngüsü tanımlarına ve STS ve LTS sürümlerini açıklayan ArcGIS Enterprise Ürün Yaşam Döngüsü Güncellemesi blog gönderisine bakın.
Kritik ve kanıtlanmış güvenlik açıkları Esri ürünlerinde nadiren görülür. Esri yazılımında kritik ve kanıtlanmış bir güvenlik açığı keşfedildiğinde Esri, uzun vadeli destek (LTS) sürümlerinin destek aşamalarına veya kullanılabilirliğine bakmaksızın etkilenen ArcGIS yazılımının tüm desteklenen sürümleri için bir yama yayınlayabilir.
ArcGIS Enterprise için yayınlanan güvenlik yamaları kümülatiftir ve ArcGIS Enterprise versiyonu yama hedefleri için yayınlanan tüm önceki güvenlik yamalarını içerir.
Kimlik doğrulama
Kimlik doğrulama, bir bağlantı yapılırken istemcinin kimliğinin onaylanmasını kapsayan kimlik bilgilerinin doğrulanma işlemidir.
- CBS katmanı veya web katmanı kimlik doğrulaması kullanarak ArcGIS Enterprise servisleri için kimlik doğrulamasını zorunlu hale getirin. ArcGIS Server ile federe edilmiş Portal for ArcGIS kullanıyorsanız, müşterileriniz SAML 2.0 veya OpenID Connect kullanarak kuruluşa özel oturum açma seçeneğine de sahip olacaktır.
- CBS katmanı kimlik doğrulaması - ArcGIS Belirteç modeli kimlik doğrulaması ve yerleşik kullanıcı deposu kullanır.
- Web katmanı kimlik doğrulaması - Web sunucusu tarafından desteklenen Entegre Windows Kimlik Doğrulaması gibi herhangi bir kimlik doğrulamasını veya bir kuruluşun mevcut Genel Anahtar Altyapısı’nı (PKI) kullanabilir.
- Kuruma özel oturumlar - Portal for ArcGIS, ArcGIS Enterprise dağıtımının bir parçası olarak ArcGIS Server ile federe ediliyorsa, SAML oturum bilgileri veya Open ConnectID kullanma seçeneği de sunulur.
- Web’de Çoklu Oturum Açma sağlamak için bir SAML 2.0 Identity Provider (IdP) veya OpenID Connect ile entegre edin.
- SAML ve OpenID Connect, IdP ve sunucu sağlayıcısı (bu durum için Portal for ArcGIS) arasında kimlik doğrulama verilerinin güvenli biçimde takas edilmesini sağlayan açık standartlardır.
Yetkilendirme
Yetkilendirme, bir kaynağa erişim sağlamadan veya belirli bir işlevi gerçekleştirmeden önce istemci izinlerinin doğrulanması işlemidir.
- Rol Tabanlı Erişim Kontrolü (RBAC) gerçekleştirin.
- ArcGIS Enterprise içindeki rol yönetimi için en az ayrıcalıklı bir model kullanın.
- Bir kullanıcıya yalnızca gereken işlevleri gerçekleştirecek kadar ayrıcalık atayın.
- ArcGIS Server içinde mevcut varsayılan roller şunlardır:
- Yönetici
- Publisher
- Kullanıcı
- Portal for ArcGIS kullanıyorsanız, kullanıcı erişimini daha ayrıntılı tanımlamak için en az ayrıcalık ilkesine dayanan özel roller kullanmanız tavsiye edilir.
Şifreleme
Şifreleme, şifre çözme anahtarı erişimi olmayan kişilerin okuyamaması için verilerin dönüştürülmesi işlemidir.
- ArcGIS Enterprise'daki HTTPS özelliğini etkinleştirerek aktarılmakta olan verileri şifreleyin.
- TLS 1.2 kullanın.
- Mevcut sertifika altyapısını ve güvenilir bir üçüncü şahıs sertifika yetkilisi tarafından imzalanan sertifikaları kullanın.
- Özellikle hassas veri kümeleri için aktarımda olmayan verileri şifreleyin (mümkünse).
- Veri tabanları için Şeffaf Veri Şifreleme (TDE) kullanmayı deneyin.
- Dosya depoları için tam disk şifrelemesi kullanmayı deneyin.
- Güçlü şifreleme algoritmaları kullanın.
- Şifreleme sürekli değişen bir alandır ve eski algoritmalar git gide daha az güvenli bulunmaktadır.
- Öneriler için NIST gibi standart yapıları izleyin.
İşlrm Kaydı Tutma ve denetim
İşlem kaydı tutuma, bir sistemdeki odak olayların kaydedilmesidir. Denetim, sisteminizin istediğiniz biçimde çalıştırılmasını sağlamak veya oluşan özel bir işlem hakkındaki belirli bir soruyu yanıtlamak için bu işlem kayıtlarının incelenmesidir.
- Servisleri kimin yayınladığı gibi odak olayların kaydını tutun.
- Uygulama, işletim sistemi, ve ağ katmanları düzeyinde sistem içi işlem kaydı kullanılmasını sağlayın.
- İşlem kayıtlarının kuruluşun tanımladığı bir zaman aralığında incelenmesini sağlayın.
- Otomatik korelasyonda bir Güvenlik Bilgileri ve Olay Yönetimi (SIEM) uygulamasının kullanılması faydalı olabilir.
Sağlamlaştırma
Sağlamlaştırma, mümkün olan en fazla sayıda güvenlik riskini ortadan kaldırmak amacıyla sistemlerin güvenli biçimde yapılandırılmasıdır. Belirli bir sistem için saldırı alanı aşağıdakilerle en aza indirilebilir:
- Yukarıda açıklanan öneriler benzeri, uygulama düzeyinde sağlamlaştırmalar uygulayın.
- Gereksiz yazılımları kaldırın.
- Gereksiz servisleri devre dışı bırakın.
- Esri ArcGIS Server STIG gibi, uygulamaya özel ek sağlamlaştırma kılavuzlarına başvurun.
- Microsoft Güvenlik Uyumluluğu Araç Kiti gibi araçları kullanmak benzeri, İşletim Sistemi Satıcısı Temel ilkeleri.
- CIS Güvenlik Karşılaştırmaları gibi bağımsız güvenlik kılavuzlarını gözden geçirin.
ArcGIS Server güvenlik doğrulaması
serverScan.py komut dosyası <ArcGIS Server installation location>/tools/admin dizininde yer alır. Komut dosyasını komut satırından veya kabuktan çalıştırın. Komut dosyasını çalıştırırken parametreleri belirtebilirsiniz.
serverScan.py komut dosyasını herhangi bir parametre belirtmeden çalıştırırsanız, parametreleri elle girmeniz veya varsayılan değeri seçmeniz istenir. Bir belirteç kullanmak için komut dosyasını çalıştırırken bunu bir parametre olarak sağlamalısınız.
Tarama, belirtilen ArcGIS Server sitesinde bulunan yukarıdaki sorunlardan herhangi birini listeleyen HTML biçiminde bir rapor oluşturur.
Varsayılan olarak rapor, komut dosyasını çalıştırdığınız klasöre kaydedilir ve serverScanReport_[hostname]_[date].html olarak adlandırılır.
Portal for ArcGIS güvenlik doğrulaması
portalScan.py komut dosyası <Portal for ArcGIS installation location>\tools\security dizininde yer alır. Komut dosyasını komut satırından veya kabuktan çalıştırın. Komut dosyasını çalıştırırken bir veya daha fazla parametre belirtebilirsiniz.
portalScan.py komut dosyasını herhangi bir parametre belirtmeden çalıştırırsanız, parametreleri elle girmeniz veya varsayılan değeri seçmeniz istenir. Bir belirteç kullanmak için komut dosyasını çalıştırırken bunu bir parametre olarak sağlamalısınız.
Tarama, belirtilen portalda bulunan yukarıdaki sorunlardan herhangi birini listeleyen HTML biçiminde bir rapor oluşturur.
Varsayılan olarak rapor, komut dosyasını çalıştırdığınız klasöre kaydedilir ve portalScanReport_[hostname]_[date].html olarak adlandırılır.
Ek kaynaklar
ArcGIS Server için ilave en iyi uygulama bilgileri ürün belgelerinde bulunabilir.