عند تأمين Portal for ArcGIS، من الضروري أن تكون بيئة تشغيل البوابة آمنة أيضًا. تتوفر العديد من أفضل ممارسات الأمان التي يمكنك اتباعها لضمان الوصول إلى أفضل مستوى من الأمان.
تقييد إمكانية وكيل البوابة الإلكترونية
يتم استخدام البوابة الإلكترونية كخادم وكيل في العديد من السيناريوهات. كنتيجة، يُمكن أن تُخطئ إمكانات وكيل البوابة الإلكترونية لتشغيل هجمات(DoS) أو (SSRF) ضد أي كمبيوتر يُمكن لجهاز البوابة الإلكترونية الوصول إليه. لتقليل الثغرة الأمنية المُحتملة، يُوصَى بشدة تقييد إمكانات وكيل البوابة الإلكترونية لعناوين الويب المعتمدة. فيما يتعلق بالتفاصيل الإضافية، راجع موضوع "تقييد إمكانات وكيل البوابة الإلكترونية".
تعطيل الوصول المجهول
لمنع أي مستخدم من الدخول إلى المحتوى بدون تزويد البوابة بالاعتمادات، يُوصى بتكوين البوابة لتعطيل الوصول المجهول. يُساعد تعطيل الوصول المجهول على ضمان أن المستخدم العام لن يتمكن من الدخول مجددًا إلى الموارد المتوفرة على البوابة.
لمعرفة كيفية تعطيل الوصول المجهول في Portal for ArcGIS، راجع موضوع تعطيل الوصول المجهول. في حالة استخدام تخويل طبقة الويب (أي التخويل من خلال ArcGIS Web Adaptor)، يتعين عليك أيضًا تعطيل الوصول المجهول إلى خادم الويب. للتعليمات، راجع وثائق منتجات خادم الويب.
تكوين شهادات الخادم المُوقعة من المرجع المُصدق
Portal for ArcGIS يتم تكوين خادم ArcGIS مسبقاً مع شهادة خادم الموقعة ذاتياً بشكل افتراضي، حيث يسمح للبوابة الإلكترونية بالاختبار المبدئي والمساعدة في التحقق من نجاح التثبيت. مع ذلك، في معظم الحالات، ينبغي أن تطلب المنظمة شهادة من مرجع الشهادة المصدق (CA) وتكوين المدخل لاستخدامه. يُمكن توقيع الشهادة من قبل المرجع المُصدق التجاري (الداخلي).
ينبغي تكوين جميع مكونات ArcGIS التي يُمكن تكوينها داخل المؤسسة مع الشهادة من المرجع المُصدق التجاري CA. تتضمن الأمثلة المشتركة ArcGIS Web Adaptor وArcGIS for Server. مثال، يأتي ArcGIS for Server مع الشهادة التي تم تكوينه مُسبقًا والمُوقعة ذاتيًا. عند توحيد موقع ArcGIS for Server مع البوابة الإلكترونية، من الضروري للغاية طلب شهادة مُوقعة من المرجع المُصدق وكذلك تكوين الخادم وWeb Adaptor لاستخدامه.
يُعد تكوين شهادة من الهيئة الموثوقة هي الممارسة الآمنة للأنظمة التي ترتكز على الويب كما يمنع المستخدمين من مواجهة أية تحذيرات بالمتصفح أو سلوك غير متوقع آخر. إذا تم الاختيار لاستخدام شهادة موقعة ذاتياً متضمنة مع Portal for ArcGIS و ArcGIS for Server أثناء الاختبار، فستقوم بتجربة الآتي:
- تحذيرات مستعرض الويب وArcGIS Desktop بشأن أن الموقع غير موثوق به. عندما يواجه متصفح الويب شهادة موقعة ذاتياً، ستعرض رسالة تحذير وتطلب منك التأكيد على أنك تريد المتابعة إلى الموقع. تعرض العديد من المتصفحات رموز تحذير أو لون أحمر في شريط العنوان طالما تستخدم الشهادة الموقعة ذاتياً. يجب أن تتوقع رؤية تلك الأنواع من التحذيرات إذا قمت باستخدام شهادة موقعة ذاتيًا.
- عدم إمكانية فتح خدمة متحدة في عارض خرائط البوابة الإلكترونية وإضافة عنصر خدمة مؤمن إلى البوابة الإلكترونية وتسجيل الدخول إلى ArcGIS Server Manager على خادم موحد والاتصال بالبوابة الإلكترونية من ArcGIS Maps for Office.
- سلوك غير متوقع عند تكوين خدمات الأداة المساعدة وطباعة الخدمات المستضافة والوصول إلى البوابة الإلكترونية من تطبيقات العميل.
تنبيه:
تكون قائمة المسائل أعلاه التي تمر بها عند استخدام شهادة موقعة ذاتيًا غير شاملة. يوصى باستخدام شهادة مجال أو شهادة موقعة من المرجع المصدق CA لاختبار ونشر بوابتك الإلكترونية بالكامل.
لتعليمات عن كيفية تكوين Portal for ArcGIS، وArcGIS for Server وArcGIS Web Adaptor وشهادة مُوقعة من قِبل المرجع المُصدق، راجع الموضوعات التالية:
تكوين HTTPS
عند تكوين نشر البوابة أولاً في أي مرة ويتم طلب الاعتمادات، يتم إرسال اسم المستخدم وكلمة المرور باستخدام HTTPS. ويعني ذلك أنه يتم تشفير الاعتمادات المُرسلة عبر شبكة داخلية أو عبر الإنترنت، ويتعذر فك تشفيرها. ومع ذلك يتم إرسال جميع الاتصالات الأخرى في البوابة عبر HTTP الذي يعد غير آمن. لمنع تشفير أي اتصال في البوابة، يُوصى بتكوين البوابة وخادم الويب الذي يستضيف ArcGIS Web Adaptor لفرض SSL.
قد يؤثر طلب HTTPS لجميع الاتصالات على أداء البوابة الإلكترونية. وإذا كان لديك اختصارات أو إشارات مرجعية لموقع البوابة الإلكترونية على الويب تستخدم HTTP، سيتعين عليك تحديثها باستخدام HTTPS.
إن عملية فرض HTTPS في البوابة الإلكترونية تتحكم في الاتصال مع محتوى الويب الخارجي، على سبيل المثال خدمات ArcGIS for Server وخدمات الاتحاد الجغرافية المكانية المفتوحة (OGC) وهكذا. عند فرض HTTPS، Portal for ArcGIS سيقوم بالوصول فقط إلى محتوى ويب خارجي باستخدام HTTPS. في حالة عدم توفر HTTPS، يتم حظر المحتوى الخارجي.
للتعرف على كيفية فرض HTTPS لجميع الاتصالات في Portal for ArcGIS، راجع تكوين HTTPS.
تعطيل دليل Portal for ArcGIS
يُمكنك تعطيل دليل Portal for ArcGIS لتقليل فرص استعراض عناصر البوابة والخدمات وخرائط الويب والمجموعات والموارد الأخرى والعثور عليها في بحث الويب أو الاستعلام عنها في نماذج HTML. يعمل تعطيل دليل Portal for ArcGIS على توفير حماية أكبر ضد هجمات البرمجة عبر الموقع (XSS).
يعتمد قرار تعطيل دليل Portal for ArcGIS على الغرض المطلوب منها والدرجة المطلوبة ليقوم المستخدمون والمطورون باستعراضها. عند تعطيل دليل Portal for ArcGIS، قد يتعين عليك الاستعداد لإنشاء قوائم أخرى أو بيانات وصفية عن العناصر المتوفرة على البوابة الإلكترونية.
للحصول على التعليمات الكاملة، راجع موضوع تعطيل دليل Portal for ArcGIS.
تكوين جدار الحماية للتعامل مع البوابة الإلكترونية
يحتوي كل كمبيوتر على آلاف من المنافذ التي يمكن من خلالها إرسال أجهزة الكمبيوتر الأخرى إرسال المعلومات. جدار الحماية هو آلية أمان تعمل على الحد من عدد المنافذ على الجهاز الذي يُمكن لأجهزة الكمبيوتر الأخرى الاتصال من خلاله. عند استخدام جدار الحماية لتقييد الاتصال إلى عدد أصغر من المنافذ، يُمكنك مراقبة هذه المنافذ عن قرب لمنع أي هجوم.
يستخدمPortal for ArcGIS منافذ مًحددة للاتصال، مثل 7080 و 7443 و 7005 و 7099 و 7199 و 7654. لأفضل ممارسات التأمين، ويُوصى بفتح جدار الحماية للسماح للاتصال بهذه المنافذ كأحد أفضل الممارسات، وإلا لن تعمل وظائف البوابة بشكل صحيح. لمزيد من المعلومات، راجع موضوع المنافذ المستخدمة عن طريق Portal for ArcGIS.
حدد انتهاء صلاحية الرمز المميز الافتراضي.
إذا كنت تستخدم مخزن هوية البوابة الإلكترونية المضمن، يستخدم الرمز المميز لمصادقة الأعضاء. عند طلب المستخدم الوصول للبوابة الإلكترونية، يقومون بتوفير اسم المستخدم وكلمة المرور. يتحققPortal for ArcGIS من بيانات الاعتماد الموفرة، ويقوم بإنشاء الرمز المميز وموضوعات الرمز المميز للعضو.
يعتبر رمز ArcGIS المميز هو سلسلة معلومات مشفرة تحتوي على اسم المستخدم ووقت انتهاء صلاحية الرمز المميز والمعلومات الخاصة الأخرى. عند إصدار الرمز المميز، يمكنهم الوصول للبوابة الإلكترونية حتى انتهاء صلاحية الرمز المميز. عند انتهاء الصلاحية، يقوم العضو بتوفير اسم المستخدم وكلمة المرور مرة أخرى.
يكون انتهاء صلاحية الرمز المميز الافتراضي أسبوعين (20،160 دقيقة). على الرغم من ذلك قد يكون ذلك مناسب للمؤسسة، حيث أن الرمز المميز مع وقت انتهاء الصلاحية الأطول هو أقل تأمين. على سبيل المثال، يتم تشفير الرمز المميز بواسطة مستخدم مجهول يمكن استخدامه حتى انتهاء صلاحية الرمز المميز. وبشكل مُعاكس، يكون وقت انتهاء الصلاحية القصير أكثر أمنًا، ولكن يحتاج الأعضاء إدخال اسم المستخدم وكلمة المرور بشكل أكثر تكرارًا.
لتغيير وقت انتهاء صلاحية الرمز المميز التلقائي، اتبع الخطوات في تحديد وقت انتهاء صلاحية الرمز المميز الافتراضي.
تقييد تصاريح الملف
يُوصى بتعيين أذونات الملف حتى لا يتم منح إلا الدخول الضروري دليل تثبيت ودليل محتوى Portal for ArcGIS. يتطلب الحساب الوحيد اللازم لبرنامج Portal for ArcGIS وجود وصول لحساب Portal for ArcGIS. الحساب المُستخدَم لتشغيل البرنامج. قد تتطلب المنظمة منح حسابات إضافية. يُرجى العلم أن حساب Portal for ArcGIS يلزمه الدخول الكامل إلى دليلي التثبيت والمحتوى حتى يعمل لموقع بشكل صحيح.
يرثPortal for ArcGIS أذونات الملف من المجلد الرئيسي حيث تم التثبيت. إضافة إلى ذلك، يمنح Portal for ArcGIS إذنًا لحساب Portal for ArcGIS حتى يمكنه الدخول إلى الدليل حيث تم التثبيت. ترث الملفات التي يتم إنشاؤها على أنها بوابة الأذونات من المجلد الرئيسي. عند الرغبة في تأمين دليل المحتوى، قم بتعيين الأذونات المُقيدة على المجلد الرئيسي.
يُمكن لأي حساب لديه إذن للكتابة في دليل المحتوى تغيير إعدادات Portal for ArcGIS التي يمكن لأحد مسئولي النظام تعديلها بشكل عادي. عند استخدام مخزن أمان مُدمج للاحتفاظ بالمستخدمين، فإن دليل المحتوى سيتضمن كلمات مرور مشفرة لهؤلاء المستخدمين. وفي هذه الحالة، يجب تقييد وصول القراءة إلى دليل المحتوى.