عند تأمين بوابة ArcGIS Enterprise الإلكترونية، من الضروري أن تكون بيئة تشغيل البوابة آمنة أيضًا. تتوفر العديد من أفضل الممارسات التي يمكنك اتباعها لضمان الوصول إلى أقوى مستوى من الأمان.
تقييد إمكانية وكيل البوابة الإلكترونية
يتم استخدام البوابة الإلكترونية كخادم وكيل في العديد من السيناريوهات. كنتيجة، يُمكن أن تُخطئ إمكانات وكيل البوابة الإلكترونية لتشغيل هجمات(DoS) أو (SSRF) ضد أي كمبيوتر يُمكن لجهاز البوابة الإلكترونية الوصول إليه. لتقليل الثغرة الأمنية المُحتملة، يُوصَى بشدة تقييد إمكانات وكيل البوابة الإلكترونية لعناوين الويب المعتمدة. فيما يتعلق بالتفاصيل الإضافية، راجع موضوع "تقييد إمكانات وكيل البوابة الإلكترونية".
تعطيل الوصول المجهول
لمنع أي مستخدم من الدخول إلى المحتوى بدون تزويد البوابة بالاعتمادات، يُوصى بتكوين البوابة لتعطيل الوصول المجهول. يُساعد تعطيل الوصول المجهول على ضمان أن المستخدم العام لن يتمكن من الدخول مجددًا إلى الموارد المتوفرة على البوابة.
لمعرفة كيفية تعطيل الوصول المجهول في بوابة ArcGIS Enterprise الإلكترونية، راجع موضوع تعطيل الوصول المجهول. في حالة استخدام تخويل طبقة الويب (أي التخويل من خلال ArcGIS Web Adaptor)، يتعين عليك أيضًا تعطيل الوصول المجهول إلى خادم الويب. للتعليمات، راجع وثائق منتجات خادم الويب.
تكوين شهادات الخادم المُوقعة من المرجع المُصدق
يتم تكوين ArcGIS Enterprise مسبقًا مع شهادة خادم موقعة ذاتياً بشكل افتراضي، وهو ما يسمح للبوابة الإلكترونية بالاختبار المبدئي والمساعدة في التحقق من نجاح التثبيت. مع ذلك، في معظم الحالات، ينبغي أن تطلب المنظمة شهادة من مرجع الشهادة المصدق (CA) وتكوين المدخل لاستخدامه. يُمكن توقيع الشهادة من قبل المرجع المُصدق التجاري (الداخلي).
ينبغي تكوين جميع مكونات ArcGIS التي يُمكن تكوينها داخل المؤسسة مع الشهادة من المرجع المُصدق التجاري CA. الأمثلة الشائعة تتضمن ArcGIS Web Adaptor و ArcGIS Server. مثال، يأتي ArcGIS Server مع الشهادة التي تم تكوينها مُسبقًا والمُوقعة ذاتيًا. إذا كنت ستقوم بتوحيد موقع ArcGIS Server مع البوابة الإلكترونية، من الضروري طلب شهادة مُوقعة من المرجع المُصدق وكذلك تكوين الخادم وWeb Adaptor لاستخدامه.
يُعد تكوين شهادة من الهيئة الموثوقة هي الممارسة الآمنة للأنظمة التي ترتكز على الويب كما يمنع المستخدمين من مواجهة أية تحذيرات بالمتصفح أو سلوك غير متوقع آخر. إذا اخترت استخدام الشهادة الموقعة ذاتيًا المضمنة مع ArcGIS Enterprise أثناء الاختبار، ستواجه التالي:
- تحذيرات من مستعرض الويب وArcGIS for Desktop وArcGIS Pro حول الموقع غير الموثوق به. عندما يواجه متصفح الويب شهادة موقعة ذاتياً، ستعرض رسالة تحذير وتطلب منك التأكيد على أنك تريد المتابعة إلى الموقع. تعرض العديد من المتصفحات رموز تحذير أو لون أحمر في شريط العنوان طالما أنك تستخدم الشهادة الموقعة ذاتياً.
- عدم القدرة على فتح خدمة متحدة في Map Viewer الخاص بالبوابة الإلكترونية، وإضافة عنصر خدمة مؤمن إلى البوابة الإلكترونية، وتسجيل الدخول إلى ArcGIS Server Manager على خادم موحد، أو الاتصال بالبوابة الإلكترونية من ArcGIS Maps for Office.
- سلوك غير متوقع عند تكوين خدمات الأداة المساعدة وطباعة الخدمات المستضافة والوصول إلى البوابة الإلكترونية من تطبيقات العميل.
تنبيه:
تكون قائمة المسائل أعلاه التي تمر بها عند استخدام شهادة موقعة ذاتيًا غير شاملة. يوصى باستخدام شهادة مجال أو شهادة موقعة من المرجع المصدق CA لاختبار ونشر بوابتك الإلكترونية بالكامل.
للحصول على تعليمات بشأن كيفية تكوين ArcGIS Enterprise مع شهادة مرجع مصدقة موقعة، راجع الموضوعات التالية:
تكوين HTTPS
عند تكوين نشر ArcGIS Enterprise بشكل أولي، يتم إرسال اسم المستخدم وكلمة المرور باستخدام HTTPS في كل مرة تُطلب منك بيانات الاعتماد الخاصة بك. ويعني ذلك أنه يتم تشفير بيانات الاعتماد المُرسلة عبر شبكة داخلية أو عبر الإنترنت، ويتعذر فك تشفيرها. بشكل افتراضي، يتم إرسال جميع الاتصالات داخل البوابة باستخدام HTTPS. لمنع تشفير أي اتصال، يُوصى بتكوين خادم الويب الذي يستضيف ArcGIS Web Adaptor لتطبيق HTTPS أيضًا.
من خلال تطبيق اتصالات HTTPS فقط، يتم تأمين جميع الاتصالات الخارجية خارج بوابة Enterprise الإلكترونية الخاصة بك، مثل خدمات ArcGIS Server وخدمات الاتحاد الجغرافية المكانية المفتوحة (OGC) نظرًا لأن بوابتك الإلكترونية ستصل فقط إلى محتوى الويب الخارجي في حالة توفر اتصال HTTPS. بخلاف ذلك، يتم حظر المحتوى الخارجي.
ومع ذلك، قد تكون هناك حالات تريد فيها تمكين كل من اتصال HTTP و HTTPS داخل البوابة الإلكترونية. للتعرف على كيفية تطبيق HTTP وHTTPS لجميع الاتصالات في ArcGIS Enterprise، راجع موضوع تكوين HTTPS.
تعطيل دليل Portal for ArcGIS
يُمكنك تعطيل دليل Portal for ArcGIS لتقليل فرص استعراض عناصر البوابة والخدمات وخرائط الويب والمجموعات والموارد الأخرى والعثور عليها في بحث الويب أو الاستعلام عنها في نماذج HTML. يعمل تعطيل دليل Portal for ArcGIS على توفير حماية أكبر ضد هجمات البرمجة عبر الموقع (XSS).
يعتمد قرار تعطيل دليل Portal for ArcGIS على الغرض المطلوب منها والدرجة المطلوبة ليقوم المستخدمون والمطورون باستعراضها. عند تعطيل دليل Portal for ArcGIS، قد يتعين عليك الاستعداد لإنشاء قوائم أخرى أو بيانات وصفية عن العناصر المتوفرة على البوابة الإلكترونية.
للحصول على التعليمات الكاملة، راجع موضوع تعطيل دليل Portal for ArcGIS.
تكوين جدار الحماية للتعامل مع البوابة الإلكترونية
يحتوي كل كمبيوتر على آلاف من المنافذ التي يمكن من خلالها إرسال أجهزة الكمبيوتر الأخرى إرسال المعلومات. جدار الحماية هو آلية أمان تعمل على الحد من عدد المنافذ على الجهاز الذي يُمكن لأجهزة الكمبيوتر الأخرى الاتصال من خلاله. عند استخدام جدار الحماية لتقييد الاتصال إلى عدد أصغر من المنافذ، يُمكنك مراقبة هذه المنافذ عن قرب لمنع أي هجوم.
تستخدم بوابة ArcGIS Enterprise الإلكترونية منافذ محددة للتواصل، مثل 7005 و7080 و7099 و7443 و7654. لأفضل ممارسات التأمين، ويُوصى بفتح جدار الحماية للسماح للاتصال بهذه المنافذ كأحد أفضل الممارسات، وإلا لن تعمل وظائف البوابة بشكل صحيح. لمزيد من المعلومات، راجع موضوع المنافذ المستخدمة عن طريق Portal for ArcGIS.
حدد انتهاء صلاحية الرمز المميز الافتراضي.
إذا كنت تستخدم مخزن هوية البوابة المضمن، يستخدم الرمز المميز لمصادقة الأعضاء. عند طلب المستخدم الوصول للبوابة الإلكترونية، يقومون بتوفير اسم المستخدم وكلمة المرور. يتحققPortal for ArcGIS من بيانات الاعتماد الموفرة، ويقوم بإنشاء الرمز المميز وموضوعات الرمز المميز للعضو.
يعتبر رمز ArcGIS المميز هو سلسلة معلومات مشفرة تحتوي على اسم المستخدم ووقت انتهاء صلاحية الرمز المميز والمعلومات الخاصة الأخرى. عند إصدار الرمز المميز، يمكنهم الوصول للبوابة الإلكترونية حتى انتهاء صلاحية الرمز المميز. عند انتهاء الصلاحية، يقوم العضو بتوفير اسم المستخدم وكلمة المرور مرة أخرى.
يكون انتهاء صلاحية الرمز المميز الافتراضي أسبوعين (20،160 دقيقة). على الرغم من ذلك قد يكون ذلك مناسب للمؤسسة، حيث أن الرمز المميز مع وقت انتهاء الصلاحية الأطول هو أقل تأمين. على سبيل المثال، يتم تشفير الرمز المميز بواسطة مستخدم مجهول يمكن استخدامه حتى انتهاء صلاحية الرمز المميز. وبشكل مُعاكس، يكون وقت انتهاء الصلاحية القصير أكثر أمنًا، ولكن يحتاج الأعضاء إدخال اسم المستخدم وكلمة المرور بشكل أكثر تكرارًا.
لتغيير وقت انتهاء صلاحية الرمز المميز التلقائي، اتبع الخطوات في تحديد وقت انتهاء صلاحية الرمز المميز الافتراضي.
تقييد تصاريح الملف
يُوصى بتعيين أذونات الملف حتى لا يتم منح إلا الدخول الضروري دليل تثبيت ودليل محتوى Portal for ArcGIS. يعد الحساب الوحيد الذي يتطلبه برنامج Portal for ArcGIS الوصول إلى حساب Portal for ArcGIS. الحساب المُستخدَم لتشغيل البرنامج. قد تتطلب المنظمة منح حسابات إضافية. يُرجى العلم أن حساب البوابة الإلكترونية بحاجة إلى وصول كامل إلى دلائل التثبيت والمحتوى لموقعك للعمل بشكل صحيح.
يكتسب Portal for ArcGIS أذونات الملف من المجلد الرئيسي حيث تم التثبيت. وإضافة إلى ذلك، فإنه يمنح إذنًا لحساب البوابة الإلكترونية حتى يمكنه الوصول إلى الدليل حيث تم التثبيت. ترث الملفات التي يتم إنشاؤها على أنها بوابة الأذونات من المجلد الرئيسي. إذا أردت تأمين دليل المحتوى، قم بتعيين الأذونات المُقيدة على المجلد الرئيسي.
يُمكن لأي حساب لديه إذن للكتابة في دليل المحتوى تغيير إعدادات البوابة الإلكترونية التي يمكن لأحد مسؤولي النظام تعديلها بشكل عادي. عند استخدام مخزن أمان مُدمج للاحتفاظ بالمستخدمين، فإن دليل المحتوى سيتضمن كلمات مرور مشفرة لهؤلاء المستخدمين. وفي هذه الحالة، يجب تقييد وصول القراءة إلى دليل المحتوى.