Concevoir une stratégie de sécurité complète sur Amazon Elastic Compute Cloud (EC2) nécessite de planifier la sécurité à différents niveaux.
L'accès à vos services et applications web est géré par l'intermédiaire des mêmes mécanismes de sécurité que ceux que vous utilisez avec ArcGIS Enterprise en dehors d’Amazon Elastic Compute Cloud. Ce cas est décrit dans l'aide ArcGIS Server et Portal for ArcGIS.
En outre, il y a des considérations de sécurité propres au déploiement dans le cloud. Les sections suivantes décrivent certaines considérations de sécurité et approches spécifiques au déploiement sur Amazon Web Services (AWS).
Sécuriser l'environnement d'administration du cloud
Vous utilisez des outils AWS tels que la console de gestion AWS ou l’interface de ligne de commande AWS pour effectuer l’administration avancée de votre déploiement ArcGIS sur AWS. Ces tâches d’administration incluent, sans s’y limiter, la configuration des équilibreurs de charges élastiques Amazon et des adresses IP élastiques, la création de paquets Amazon Simple Storage Service (S3), et la consultation de l’activité de votre compte et des informations de facturation.
Amazon recommande d’utiliser les rôles de gestion des identités et des accès Amazon (Identity and Access Management, ou IAM) pour gérer les groupes d'utilisateurs ayant différents niveaux d'autorisations sur votre compte AWS. Utilisez les rôles IAM pour créer au moins un utilisateur autorisé à accéder à votre compte AWS et téléchargez la clé d'accès et la clé d'accès secrète associées à cet utilisateur. Les rôles IAM sont utilisés dans les processus ArcGIS Enterprise suivants :
- Configurer un site ArcGIS Server haute disponibilité.
- Configurer un portail haute disponibilité.
- Stocker des caches de services de carte et d'imagerie dans S3.
Ne partagez votre nom de compte, mot de passe, clés d'accès et clés d'accès secrètes Amazon dans votre organisation qu'avec un petit nombre de personnes capables de lancer, mettre à jour et résilier les ressources correctement à l’aide des outils AWS tels que la console de gestion, les outils de ligne de commande ou les API. Autoriser un large accès à un personnel non formé rend votre déploiement vulnérable aux interruptions système graves et surcharge votre compte. Ces types de problèmes peuvent finalement entraîner plus de dommages qu'une attaque menée par un pirate informatique externe.
Amazon offre une couche de protection supplémentaire au-delà du nom et du mot de passe du compte. Cete option d’authentification multifacteur AWS nécessite l’utilisation d’un code à six chiffres généré par un petit périphérique matériel en votre possession. Le code change fréquemment, de sorte que si un utilisateur malveillant réussissait à obtenir votre nom de compte et votre mot de passe, il ne parviendrait pas à se connecter à votre compte via la console de gestion AWS.
Sécuriser l'administration d'une instance
La gestion de votre compte et des instances EC2 à l’aide des outils AWS n’est qu’un aspect de l’administration ArcGIS sur AWS. La connexion à vos instances EC2 pour autoriser ou mettre à niveau le logiciel, exécuter des outils installés avec ArcGIS Enterprise, transférer des données, configurer des applications et ajouter des connexions constitue une autre partie de la configuration de votre déploiement sur le cloud.
Vous vous connectez initialement à votre instance Microsoft Windows EC2 en tant qu'administrateur de l'ordinateur, à l'aide d'un mot de passe généré de manière aléatoire que vous récupérez avec votre fichier de paire de clés. Conservez votre fichier de paire de clés dans un emplacement sécurisé. Ensuite, lors de votre première connexion à l'instance, vous devez modifier le mot de passe en un mot de passe facilement mémorisable. Il n'est pas sûr d'écrire le mot de passe ou de le stocker en texte clair quelque part sur votre machine locale.
Conseil :
Choisissez un mot de passe répondant aux conditions de complexité requises par Microsoft Windows Server, lesquelles incluent les éléments suivants :
- Les mots de passe ne doivent pas contenir le nom de compte de l'utilisateur ou des parties du nom complet de l'utilisateur de plus de deux caractères consécutifs.
- Les mots de passe doivent comporter huit caractères au moins.
- Les mots de passe doivent contenir des caractères issus des quatre catégories suivantes :
- Des lettres majuscules (A à Z)
- Des lettres minuscules (a à z)
- Des chiffres en base 10 (0 à 9)
- Des caractères non alphanumériques (par exemple !, $, #, %)
Une fois connecté à votre instance, vous pouvez utiliser les outils Windows pour définir les utilisateurs non-administrateurs pouvant se connecter.
Sécuriser les instances par rapport aux attaques extérieures
Toutes les instances EC2 utilisent des groupes de sécurité pour se protéger de tout accès extérieur inconnu ou inapproprié. Vous devez configurer les groupes de sécurité pour autoriser l’accès à une plage d’adresses IP, ports, et protocoles. Chaque fois que vous lancez une nouvelle instance EC2, vous devez spécifier à quel groupe de sécurité l'instance appartiendra, ce qui déterminera qui pourra y accéder.
Par défaut, aucun accès n'est autorisé sur les nouveaux groupes de sécurité. Au minimum, vous devez autoriser l'accès à distance et l'accès HTTP pour vous connecter à votre instance EC2 et tester votre déploiement. Pour obtenir des instructions, reportez-vous à la rubrique Ouvrir un groupe de sécurité Amazon Elastic Compute Cloud pour ArcGIS. Reportez-vous à la rubrique Configurations courantes des groupes de sécurité pour connaître les paramètres du groupe de sécurité adaptés pour ArcGIS Enterprise on Amazon Web Services.
Lorsque vous utilisez les outils Esri pour déployer votre site, un groupe de sécurité est créé et configuré pour vous. Les ports nécessaires sont ouverts sur le groupe de sécurité pour permettre au site de fonctionner, mais si cela est nécessaire, vous pouvez utiliser les outils AWS pour ajuster les paramètres de ce groupe de sécurité. Par exemple, si vous souhaitez vous connecter à l'une des instances à l’aide du Bureau à distance Windows, vous devez ouvrir le port 3389.
AWS Cloud Security contient des livres blancs et des bonnes pratiques pour désigner une architecture sécurisée pour EC2. Ces instructions s'appliquent à ArcGIS Enterprise on Amazon Web Services.
Vous avez un commentaire à formuler concernant cette rubrique ?