Pratiques conseillées pour configurer un environnement sécurisé
Dans cette rubrique
- Configuration de HTTPS
- Demande et configuration de votre propre certificat SSL
- Restriction des autorisations d'accès aux fichiers
- Désactivation du compte d'administrateur de site principal
- Définition de la clé partagée utilisée pour générer un jeton ArcGIS
- Transmission sécurisée des jetons ArcGIS
- Utilisation de requêtes standardisées
- Désactivation du répertoire des services
- Restriction des requêtes interdomaines
Lorsque vous sécurisez ArcGIS for Server, il est essentiel que l'environnement dans lequel il s'exécute soit également sécurisé. Vous pouvez appliquer plusieurs pratiques conseillées pour bénéficier d'un niveau de sécurité optimal.
Configuration de HTTPS
Lorsque vous créez votre site ArcGIS Server, toutes les communications de ce site sont envoyées par HTTP, qui n'est pas sécurisé. Cela signifie que vos informations d'identification transmises sur un réseau interne ou sur Internet ne sont pas chiffrées et peuvent être interceptées. Afin d'empêcher l'interception de communications, nous vous recommandons de configurer ArcGIS Server et ArcGIS Web Adaptor (le cas échéant) pour la mise en place du chiffrement SSL (Secure Sockets Layer). Lorsque vous créez votre site, un message d'avertissement s'affiche dans les journaux, qui vous recommande de mettre à jour le protocole de communication de votre site afin d'utiliser SSL.
Il existe deux méthodes de mise en œuvre de SSL :
- HTTP et HTTPS - Cette méthode implique de configurer ArcGIS Server pour utiliser une association de HTTP et HTTPS pour les communications. Lorsque vous configurez le serveur de cette manière, votre nom d'utilisateur et votre mot de passe sont envoyés via HTTPS chaque fois que vous êtes invité à saisir vos informations d'identification. Cela signifie que vos informations transmises sur un réseau interne ou sur Internet sont chiffrées et ne peuvent pas être interceptées. Cependant, toutes les autres communications au sein de votre site sont envoyées par HTTP, qui n'est pas sécurisé.
- HTTPS uniquement - Cette méthode implique de configurer ArcGIS Server pour utiliser exclusivement HTTPS pour toutes les communications. Les noms d'utilisateur, mots de passes et autres éléments de communication sont envoyés via HTTPS. Le fait de requérir SSL pour toutes les communications risque d'affecter les performances de votre serveur. De plus, si vous disposez de raccourcis ou de géosignets vers ArcGIS Server Manager ou le répertoire administrateur, qui utilisent HTTP, vous devez les mettre à jour afin d'utiliser HTTPS.
Si vous prévoyez de fédérer votre site avec Portal for ArcGIS, l'utilisation de SSL est obligatoire (HTTP et HTTPS ou HTTPS uniquement). Pour savoir comment configurer votre site pour utiliser SSL, reportez-vous à la rubrique Activation de SSL sur ArcGIS Server. Pour configurer SSL pour votre site, vous devez utiliser le Répertoire d'administrateur d'ArcGIS Server.
Demande et configuration de votre propre certificat SSL
ArcGIS Server est préconfiguré avec un certificat SSL auto-signé, ce qui permet de tester initialement le serveur et de vérifier rapidement que votre installation a réussi. Cependant, dans presque tous les cas, une organisation doit demander un certificat SSL à une autorité de certification approuvée et configurer le serveur pour qu'il l'utilise. Il peut s'agir d'un certificat de domaine émis par votre organisation ou d'un certificat signé par une autorité de certification.
Tout comme ArcGIS server, Portal for ArcGIS est livré avec un certificat auto-signé préconfiguré. Si vous prévoyez de fédérer votre site avec Portal for ArcGIS, vous devez demander un certificat SSL à une autorité de certification fiable et configurer le portail pour qu'il l'utilise.
La configuration d'un certificat émanant d'une autorité fiable est une pratique sûre pour les systèmes basés sur le Web, qui prévient également l'émission d'avertissements du navigateur ou tout autre comportement inattendu. Si vous choisissez d'utiliser le certificat auto-signé inclus avec ArcGIS server et Portal for ArcGIS lors du test, vous vous trouverez dans les cas de figure suivants :
- Avertissements du navigateur Web et d'ArcGIS for Desktop concernant le manque de fiabilité du site. Lorsqu'un navigateur Web rencontre un certificat auto-signé, il affiche généralement un avertissement et vous demande de confirmer votre souhait d'accéder au site. De nombreux navigateurs affichent des icônes d'avertissement ou une couleur rouge dans la barre d'adresse tant que vous utilisez le certificat auto-signé. Vous devez vous attendre à voir ces types d'avertissements si vous utilisez un certificat auto-signé.
- Impossibilité d'ouvrir un service fédéré dans la visionneuse de carte du portail, d'ajouter un élément de service sécurisé au portail, de se connecter au gestionnaire ArcGIS Server sur un serveur fédéré et de se connecter au portail à partir d'Esri Maps for Office.
- Comportement inattendu en cas de configuration de services utilitaires, d'impression de services hébergés et d'accès au portail à partir d'applications clientes.
Attention :
La liste ci-dessus des problèmes que vous risquez de rencontrer avec un certificat auto-signé n'est pas exhaustive. Il est impératif d'utiliser un certificat signé par une autorité de certification pour tester et déployer entièrement votre portail.
Pour savoir comment configurer Portal for ArcGIS, ArcGIS Server et ArcGIS Web Adaptor avec un certificat signé par une autorité de certification, reportez-vous aux rubriques suivantes :
Restriction des autorisations d'accès aux fichiers
Il est conseillé de définir les autorisations d'accès aux fichiers de telle sorte que seul l'accès nécessaire soit accordé au répertoire d'installation d'ArcGIS for Server, au magasin de configuration et aux répertoires du serveur. Le compte ArcGIS server est le seul auquel le logiciel ArcGIS server doit obligatoirement avoir accès. Il s'agit, en effet, du compte utilisé pour l'exécution du logiciel. Votre organisation peut exiger que l'accès à d'autres comptes soit également accordé. N'oubliez pas que, pour que votre site fonctionne correctement, le compte ArcGIS server doit disposer d'un accès total au répertoire d'installation, au magasin de configuration et aux répertoires du serveur.
ArcGIS for Server hérite des autorisations d'accès aux fichiers du dossier parent dans lequel il est installé. De plus, ArcGIS for Server accorde l'autorisation d'accès au compte ArcGIS for Server, de telle sorte qu'il puisse accéder au répertoire où il réside. Les fichiers créés en tant qu'exécutions ArcGIS for Server (tels que des journaux) héritent des autorisations du dossier parent. Si vous souhaitez sécuriser le magasin de configuration et les répertoires du serveur, définissez des autorisations limitées sur le dossier parent.
Tout compte disposant d'un accès en écriture au magasin de configuration peut changer les paramètres d'ArcGIS Server qui, normalement, ne peuvent être modifiés que par un administrateur du système. Si un magasin de sécurité est utilisé pour gérer des utilisateurs, le magasin de configuration contient les mots de passe chiffrés qui leur sont associés. Dans ce cas, l'accès en lecture au magasin de configuration doit également être limité.
Si vous utilisez des services de carte ou de géotraitement sécurisés, il est important de verrouiller les autorisations d'accès aux fichiers sur les répertoires de serveur afin de s'assurer que les comptes non autorisés ne puissent pas accéder aux cartes et résultats des tâches de géotraitement.
Désactivation du compte d'administrateur de site principal
Le compte d'administrateur de site principal est celui que vous spécifiez lors de la création d'un site dans ArcGIS Server Manager. Son nom et son mot de passe sont reconnus uniquement par ArcGIS Server. Il ne s'agit pas d'un compte de système d'exploitation et il est géré indépendamment des comptes utilisateur de votre magasin d'identifiants.
Il est conseillé de désactiver le compte d'administrateur de site principal. De cette manière, vous avez la garantie que le groupe ou rôle que vous avez indiqué dans votre magasin d'identifiants constitue la seule et unique méthode pour administrer ArcGIS for Server. Pour plus d'informations, reportez-vous à la rubrique Désactivation du compte d'administrateur de site principal.
Définition de la clé partagée utilisée pour générer un jeton ArcGIS
Un jeton ArcGIS est une chaîne d'informations chiffrées. La clé partagée correspond à la clé cryptographique permettant de générer cette chaîne chiffrée. Plus la clé partagée sera complexe, plus il sera difficile pour un utilisateur malveillant de casser le code de chiffrement et de la déchiffrer. Si un utilisateur parvient à déchiffrer la clé partagée, à répliquer l'algorithme de chiffrement d'ArcGIS Server et à obtenir la liste des utilisateurs autorisés, il pourra générer des jetons et exploiter toutes les ressources sécurisées résidant sur cet ArcGIS Server.
Avant de définir une clé partagée, tenez compte des éléments ci-après :
- La clé partagée doit comporter 16 caractères (les caractères spécifiés après les 16 premiers ne sont pas utilisés). Il est recommandé d'utiliser une suite de caractères aléatoires pour la clé. Tous les caractères peuvent être utilisés, y compris les caractères non alphanumériques.
- La clé ne peut pas être un mot du dictionnaire, ni une valeur courante qui est facile à deviner. Dans la mesure où les utilisateurs ne doivent pas mémoriser la clé, ni l'utiliser, sa complexité ne constitue pas un problème (contrairement aux mots de passe).
- Le jeton est chiffré avec la clé partagée à l'aide de la méthode de chiffrement AES (Advanced Encryption Standard), également connue sous le nom de Rijndael. Les 16 caractères de la clé correspondent aux 128 bits utilisés pour le chiffrement. Pour plus d'informations sur le chiffrement et AES, reportez-vous à des références sur la sécurité ou à quelqu'un dans votre organisation qui est compétent dans les domaines de la sécurité et du chiffrement.
- Dans les environnements hautement sécurisés, il est conseillé de modifier régulièrement la clé partagée. N'oubliez pas que si vous modifiez la clé partagée, vous devrez peut-être mettre à jour vos applications pour qu'elles utilisent la nouvelle clé partagée. Tous les jetons intégrés existants deviendront invalides après la modification de la clé partagée.
Pour en savoir plus, reportez-vous à la rubrique A propos des jetons ArcGIS.
Transmission sécurisée des jetons ArcGIS
Pour éviter que les jetons ne soient interceptés et utilisés à mauvais escient, il est recommandé d'utiliser une connexion sécurisée HTTPS (Secure Sockets Layer ou SSL). L'utilisation d'une connexion HTTPS/SSL permet de s'assurer que le nom d'utilisateur et le mot de passe envoyé par le client ainsi que le jeton renvoyé par ArcGIS for Server ne sont pas interceptés. Pour en savoir plus, reportez-vous à la rubrique Activation de SSL sur ArcGIS Server.
Utilisation de requêtes standardisées
ArcGIS Server propose une option de sécurité, appelée requêtes standardisées, qui garantit une protection accrue contre les attaques par injection de code SQL. Cette option est activée par défaut.
Si vous êtes un administrateur de serveur, nous vous conseillons de garder cette option de sécurité activée et de demander aux développeurs de l'application de créer des instructions de clause WHERE qui utilisent une syntaxe indépendante de la base de données. En désactivant cette option, vous risquez d'exposer davantage votre système aux attaques par injection de code SQL.
Pour en savoir plus, reportez-vous à la rubrique A propos des requêtes standardisées.
Désactivation du répertoire des services
Vous pouvez désactiver le répertoire des services pour limiter le risque que vos services soient explorés, repérés dans une recherche Web ou interrogés via des formulaires HTML. En désactivant le répertoire des services, vous renforcez également la protection contre les attaques par exécution de scripts de site à site (XSS).
La décision de désactiver le répertoire des services dépend de la fonction de votre site et du degré de fréquentation de votre site par les utilisateurs et les développeurs. Si vous désactivez le répertoire des services, vous devrez sans doute au préalable créer d'autres listes ou métadonnées sur les services disponibles sur votre site.
Pour savoir comment désactiver le répertoire des services, reportez-vous à la rubrique Désactivation du répertoire des services.
Restriction des requêtes interdomaines
Les requêtes inter-domaines sont utilisées dans de nombreuses attaques menaçant les systèmes. Nous vous recommandons de limiter l'utilisation des services ArcGIS Server à des applications hébergées uniquement par des domaines que vous approuvez. Pour en savoir plus, reportez-vous à la rubrique Limitation des requêtes de plusieurs domaines destinées à ArcGIS Server.
Vous avez un commentaire à formuler concernant cette rubrique ?