Skip To Content

포털 스캔 (보안 모범 사례)

Portal for ArcGIS에는 몇 가지 일반적인 보안 문제를 검사하는 Python 스크립트 도구(portalScan.py)가 함께 제공됩니다. 이 도구는 포털의 보안 환경 구성을 위한 몇 가지 모범 사례를 기반으로 문제를 검사합니다. 이 도구는 6개의 조건 또는 구성 등록정보를 분석하여 3가지 단계의 심각도(Critical, Important, Recommended)로 나눕니다. 이러한 조건에 대한 설명은 다음과 같습니다.

ID심각도등록정보설명

PS01

Critical

프록시 제한

포털의 프록시 기능이 제한되는지를 결정합니다. 기본 설정에 따라 포털 프록시 서버는 모든 URL에 열립니다. 잠재적인 DoS(Denial of Service) 또는 SSRF(Server Side Request Forgery) 공격 가능성을 완화하기 위해서는 포털의 프록시 기능이 승인된 웹 주소로 제한해야 합니다.

PS02

Critical

토큰 요청

쿼리 매개변수에 자격 증명이 포함된 토큰 생성 요청이 지원되는지를 결정합니다. 지원되는 경우 토큰 생성 시 사용자의 자격 증명을 URL의 일부로 제공할 수 있으며 이러한 자격 증명은 브라우저 기록이나 네트워크 로그를 통해 노출될 수 있습니다. 다른 응용프로그램에서 필요하지 않는 한 이 옵션을 비활성화해야 합니다.

PS03

Important

포털 서비스 디렉터리

웹 브라우저를 통해 포털 서비스 디렉터리에 접근할 수 있는지를 결정합니다. 포털 항목, 서비스, 웹 맵, 그룹, 기타 리소스가 탐색되거나 웹 검색에서 찾아지거나 HTML 양식을 통해 쿼리될 수 있는 가능성을 줄이려면 이 옵션을 비활성화해야 합니다.

PS04

Important

보안 통신

포털이 HTTPS를 통해서만 통신하는지를 확인합니다. 포털 내부 통신의 가로채기를 방지하려면 Web Adaptor를 호스팅하는 웹 서버와 포털을 SSL을 적용하도록 구성하는 것이 좋습니다.

PS05

Recommended

빌트인 계정 등록

사용자가 포털 등록 페이지의 계정 생성 버튼을 클릭하여 빌트인 포털 계정을 생성할 수 있는지를 결정합니다. 엔터프라이즈 계정을 사용하거나 모든 계정을 수동으로 생성하려면 이 옵션을 비활성화합니다.

PS06

Recommended

익명 접근

익명 접근이 허용되는지를 결정합니다. 사용자가 포털에 자격 증명을 제공하지 않고는 콘텐츠에 접근하지 못하도록 하려면 익명 접근을 금지하도록 포털을 구성하는 것이 좋습니다.

portalScan.py 스크립트는 <Portal for ArcGIS installation location>\tools\security 디렉터리에 있습니다. 커맨드 라인이나 셸에서 스크립트를 실행합니다. 스크립트를 실행할 때는 매개변수를 하나 이상 지정할 수 있습니다.

portalScan.py 매개변수

매개변수설명

-n

포털에 설치되어 있는 머신의 정규화된 도메인 이름(예: gisportal.domain.com). 기본값은 스크립트를 실행하는 머신의 호스트 이름입니다.

-u

관리자 계정의 사용자 이름입니다.

-p

관리자 계정의 비밀번호입니다.

-o

보안 스캔 보고서가 저장되는 디렉터리입니다. 기본 디렉터리는 스크립트를 실행하는 폴더입니다.

-t

사용자 이름과 비밀번호 대신 토큰을 생성하여 사용할 수 있습니다. 토큰을 생성할 때는 스캔 중인 포털의 정규화된 도메인 이름을 '웹 앱 URL' 필드에 입력해야 합니다. 토큰을 제공하면 입력된 사용자 이름이나 비밀번호는 무시됩니다.

-h 또는 -?

스크립트를 실행할 때 지정할 수 있는 매개변수 목록을 출력합니다.

예: python portalScan.py -n portal.domain.com -u admin -p my.password -o C:\Temp

매개변수를 지정하지 않고 portalScan.py 스크립트를 실행하면 매개변수를 수동으로 입력하거나 기본값을 선택하라는 메시지가 표시됩니다. 토큰을 사용하려는 경우 스크립트를 실행할 때 매개변수로 제공해야 합니다.

검사를 통해 HTML 형식의 보고서가 생성되는데 이 보고서에는 지정된 포털에서 발견된 위의 문제가 나와 있습니다.

기본 설정에 따라 보고서는 스크립트를 실행하는 폴더에 portalScanReport_[hostname]_[date].html(이)라는 이름으로 저장됩니다.