عند تأمين بوابة ArcGIS Enterprise، من الضروري أن تكون بيئة تشغيل البوابة آمنة أيضًا. تتوفر العديد من أفضل الممارسات التي يمكنك اتباعها لضمان الوصول إلى أقوى مستوى من الأمان.
تكوين إعدادات البريد الإلكتروني
يمكنك تكوين مؤسستك لإرسال إخطارات بالبريد الإلكتروني إلى الأعضاء والمسؤولين في حالة نسيان كلمة المرور وسياسة كلمة المرور المحدثة والمزيد. راجع إعدادات البريد الإلكتروني لمعرفة الخطوات والتفاصيل.
تقييد إمكانية وكيل البوابة الإلكترونية
يتم استخدام البوابة الإلكترونية كخادم وكيل في العديد من السيناريوهات. كنتيجة، يُمكن أن تُخطئ إمكانات وكيل البوابة الإلكترونية لتشغيل هجمات(DoS) أو (SSRF) ضد أي كمبيوتر يُمكن لجهاز البوابة الإلكترونية الوصول إليه. لتقليل الثغرة الأمنية المُحتملة، يُوصَى بشدة تقييد إمكانات وكيل البوابة الإلكترونية لعناوين الويب المعتمدة. فيما يتعلق بالتفاصيل الإضافية، راجع موضوع "تقييد إمكانات وكيل البوابة الإلكترونية".
تعطيل الوصول المجهول
لمنع أي مستخدم من الدخول إلى المحتوى بدون تزويد البوابة بالاعتمادات، يُوصى بتكوين البوابة لتعطيل الوصول المجهول. يُساعد تعطيل الوصول المجهول على ضمان أن المستخدم العام لن يتمكن من الدخول مجددًا إلى الموارد المتوفرة على البوابة.
لمعرفة كيفية تعطيل الوصول المجهول في بوابة ArcGIS Enterprise الإلكترونية، راجع تعطيل الوصول المجهول. في حالة استخدام تخويل طبقة الويب (أي التخويل من خلال ArcGIS Web Adaptor)، يتعين عليك أيضًا تعطيل الوصول المجهول إلى خادم الويب. للتعليمات، راجع وثائق منتجات خادم الويب.
تكوين شهادات الخادم المُوقعة من المرجع المُصدق
يتم تكوين ArcGIS Enterprise مسبقًا مع شهادة خادم موقعة ذاتياً بشكل افتراضي، وهو ما يسمح للبوابة الإلكترونية بالاختبار المبدئي والمساعدة في التحقق من نجاح التثبيت. مع ذلك، في معظم الحالات، ينبغي أن تطلب المنظمة شهادة من مرجع الشهادة المصدق (CA) وتكوين المدخل لاستخدامه. يُمكن توقيع الشهادة من قبل المرجع المُصدق التجاري (الداخلي).
ينبغي تكوين كل مكون ArcGIS قابل للتطبيق في مؤسستك بشهادة من شركة أو CA تجارية. تشمل الأمثلة الشائعة ArcGIS Web Adaptor وArcGIS Server. على سبيل المثال، يأتي ArcGIS Server مع الشهادة التي تم تكوينها مُسبقًا والمُوقعة ذاتيًا. إذا كنت ستقوم بتوحيد موقع ArcGIS Server مع البوابة الإلكترونية، من الضروري طلب شهادة مُوقعة من المرجع المُصدق وكذلك تكوين الخادم وWeb Adaptor لاستخدامه.
يُعد تكوين شهادة من الهيئة الموثوقة هي الممارسة الآمنة للأنظمة التي ترتكز على الويب كما يمنع المستخدمين من مواجهة أي تحذيرات بالمستعرض أو سلوك غير متوقع آخر. إذا اخترت استخدام الشهادة الموقعة ذاتيًا المضمنة مع ArcGIS Enterprise أثناء الاختبار، فستواجه التالي:
- تحذيرات من مستعرض الويب من ArcGIS Desktop أو من ArcGIS Pro حول كون الموقع غير الموثوق به. عندما يواجه متصفح الويب شهادة موقعة ذاتياً، تعرض رسالة تحذير وتطلب منك التأكيد على أنك تريد المتابعة إلى الموقع. تعرض العديد من المتصفحات رموز تحذير أو لون أحمر في شريط العنوان طالما أنك تستخدم الشهادة الموقعة ذاتياً.
- عدم القدرة على فتح خدمة موحدة في Map Viewer الخاص بالبوابة الإلكترونية، وإضافة عنصر خدمة مؤمن إلى البوابة الإلكترونية، وتسجيل الدخول إلى ArcGIS Server Manager على خادم موحد، أو الاتصال بالبوابة الإلكترونية من ArcGIS for Office.
- سلوك غير متوقع عند تكوين خدمات الأداة المساعدة وطباعة الخدمات المستضافة والوصول إلى البوابة الإلكترونية من تطبيقات العميل.
تنبيه:
تكون قائمة المسائل أعلاه التي تمر بها عند استخدام شهادة موقعة ذاتيًا غير شاملة. يوصى باستخدام شهادة موقعة من المرجع المصدق CA لاختبار ونشر بوابتك الإلكترونية بالكامل.
للحصول على تعليمات بشأن كيفية تكوين ArcGIS Enterprise مع شهادة مرجع مصدقة موقعة، راجع الموضوعات التالية:
تكوين HTTPS
عند تكوين نشر ArcGIS Enterprise بشكل أولي، يتم إرسال اسم المستخدم وكلمة المرور باستخدام HTTPS في كل مرة تُطلب منك بيانات الاعتماد الخاصة بك. ويعني ذلك أنه يتم تشفير بيانات الاعتماد المُرسلة عبر شبكة داخلية أو عبر الإنترنت، ويتعذر فك تشفيرها. بشكل افتراضي، يتم إرسال جميع الاتصالات داخل البوابة باستخدام HTTPS. لمنع تشفير أي اتصال، يُوصى بتكوين خادم الويب الذي يستضيف ArcGIS Web Adaptor لفرض HTTPS أيضًا.
من خلال تطبيق اتصالات HTTPS فقط، يتم تأمين جميع الاتصالات الخارجية خارج بوابة Enterprise الإلكترونية الخاصة بك، مثل خدمات ArcGIS Server وخدمات الاتحاد الجغرافية المكانية المفتوحة (OGC) نظرًا لأن بوابتك الإلكترونية ستصل فقط إلى محتوى الويب الخارجي في حالة توفر اتصال HTTPS. بخلاف ذلك، يتم حظر المحتوى الخارجي.
ومع ذلك، قد تكون هناك حالات تريد فيها تمكين كل من اتصال HTTP و HTTPS داخل البوابة الإلكترونية. للتعرف على كيفية تطبيق HTTP وHTTPS لجميع الاتصالات في ArcGIS Enterprise، راجع موضوع تكوين HTTPS.
استخدام حساب خدمة مدار لمجموعة
عند تثبيت البوابة، يوصى باستخدام حساب الخدمة المدار لمجموعة (gMSA)، كحساب يدير خدمة البوابة الإلكترونية. يوفر استخدام gMSA مزايا حسب مجال الدليل النشط (Active Directory) مع الإبقاء على هذا الحساب آمنًا أثناء تحديثات كلمة المرور الدورية.
تعطيل دليل Portal for ArcGIS
يُمكنك تعطيل دليل Portal for ArcGIS لتقليل فرص استعراض عناصر البوابة والخدمات وخرائط الويب والمجموعات والموارد الأخرى والعثور عليها في بحث الويب أو الاستعلام عنها في نماذج HTML. يعمل تعطيل دليل Portal for ArcGIS على توفير حماية أكبر ضد هجمات البرمجة عبر الموقع (XSS).
يعتمد قرار تعطيل دليل Portal for ArcGIS على الغرض المطلوب منها والدرجة المطلوبة ليقوم المستخدمون والمطورون باستعراضها. عند تعطيل دليل Portal for ArcGIS، قد يتعين عليك الاستعداد لإنشاء قوائم أخرى أو بيانات وصفية عن العناصر المتوفرة على البوابة الإلكترونية.
للحصول على التعليمات الكاملة، راجع موضوع تعطيل دليل Portal for ArcGIS.
تكوين جدار الحماية للتعامل مع البوابة الإلكترونية
يحتوي كل كمبيوتر على آلاف من المنافذ التي يمكن من خلالها إرسال أجهزة الكمبيوتر الأخرى إرسال المعلومات. جدار الحماية هو آلية أمان تعمل على الحد من عدد المنافذ على الجهاز الذي يُمكن لأجهزة الكمبيوتر الأخرى الاتصال من خلاله. عند استخدام جدار الحماية لتقييد الاتصال إلى عدد أصغر من المنافذ، يُمكنك مراقبة هذه المنافذ عن قرب لمنع أي هجوم.
تستخدم بوابة ArcGIS Enterprise الإلكترونية منافذ محددة للتواصل، مثل 7005 و7080 و7099 و7443 و7654. من أجل أفضل ممارسات التأمين، يُوصى بفتح جدار الحماية للسماح للاتصال بهذه المنافذ كأحد أفضل الممارسات، وإلا لن تعمل وظائف البوابة بشكل صحيح. لمزيد من المعلومات، راجع المنافذ المستخدمة بواسطة Portal for ArcGIS.
حدد وقت انتهاء صلاحية الرمز المميز
يعتبر رمز ArcGIS المميز هو سلسلة معلومات مشفرة تحتوي على اسم المستخدم ووقت انتهاء صلاحية الرمز المميز والمعلومات الخاصة الأخرى. عند إصدار الرمز المميز، يمكنهم الوصول للبوابة الإلكترونية حتى انتهاء صلاحية الرمز المميز. عند انتهاء الصلاحية، يقوم العضو بتوفير اسم المستخدم وكلمة المرور مرة أخرى.
في كل مرة تنشئ فيها رمزًا جديدًا أثناء استخدام ArcGIS Enterprise، يجب عليك تحديد وقت انتهاء الصلاحية. إذا لم تقم بذلك، فسيتم استخدام قيمة انتهاء صلاحية افتراضية.
هناك ثلاثة أنواع من الرموز المميزة التي تستخدمها البوابة: الرموز المميزة لـ ArcGIS، الرموز المميزة access OAuth، الرموز المميزة refresh OAuth. لكل نوع قيمة انتهاء الصلاحية الافتراضية الخاصة به.
لا يمكن زيادة هذه القيم الافتراضية ويمكن تخفيضها فقط عن طريق تعيين خاصية maxTokenExpirationMinutes في ArcGIS Portal Administrator Directory إلى قيمة أقل من القيمة الافتراضية. على الرغم من أن هذه القيم قد تكون مناسبة لمؤسستك، فمن المهم مراعاة الآثار الأمنية الكامنة وراء رمز مميز. الرمز المميز مع مدة صلاحية أطول أمانًا. على سبيل المثال، يتم تشفير الرمز المميز بواسطة مستخدم مجهول يمكن استخدامه حتى انتهاء صلاحية الرمز المميز. وبشكل مُعاكس، يكون وقت انتهاء الصلاحية القصير أكثر أمنًا لكن أقل ملاءمة، ولكن يحتاج الأعضاء إدخال اسم المستخدم وكلمة المرور بشكل أكثر تكرارًا.
لتغيير وقت انتهاء صلاحية الرمز المميز التلقائي، اتبع الخطوات في تحديد وقت انتهاء صلاحية الرمز المميز الافتراضي.
تقييد تصاريح الملف
يُوصى بتعيين أذونات الملف حتى لا يتم منح إلا الدخول الضروري دليل تثبيت ودليل محتوى Portal for ArcGIS. يعد الحساب الوحيد الذي يتطلبه برنامج Portal for ArcGIS الوصول إلى حساب Portal for ArcGIS. الحساب المُستخدَم لتشغيل البرنامج. قد تتطلب المنظمة منح حسابات إضافية. يُرجى العلم أن حساب البوابة الإلكترونية بحاجة إلى وصول كامل إلى دلائل التثبيت والمحتوى لموقعك للعمل بشكل صحيح.
يكتسب Portal for ArcGIS أذونات الملف من المجلد الرئيسي الذي تم تثبيته فيه. وإضافة إلى ذلك، فإنه يمنح إذنًا لحساب البوابة الإلكترونية حتى يمكنه الوصول إلى الدليل حيث تم التثبيت. ترث الملفات التي يتم إنشاؤها على أنها بوابة الأذونات من المجلد الرئيسي. إذا أردت تأمين دليل المحتوى، قم بتعيين الأذونات المُقيدة على المجلد الرئيسي.
يُمكن لأي حساب لديه إذن للكتابة في دليل المحتوى تغيير إعدادات البوابة الإلكترونية التي يمكن لأحد مسؤولي النظام تعديلها بشكل عادي. عند استخدام مخزن أمان مُدمج للاحتفاظ بالمستخدمين، فإن دليل المحتوى سيتضمن كلمات مرور مشفرة لهؤلاء المستخدمين. وفي هذه الحالة، يجب تقييد وصول القراءة إلى دليل المحتوى.