Podczas konfigurowania zabezpieczeń portalu ArcGIS Enterprise ważne jest zadbanie również o bezpieczeństwo środowiska, w którym działa system. Istnieje klika dobrych praktyk, których przestrzeganie gwarantuje najwyższy poziom bezpieczeństwa.
Konfigurowanie ustawień poczty e-mail
Istnieje możliwość skonfigurowania wysyłania przez instytucję powiadomień e-mail do członków i administratorów w wypadku zgubienia hasła, aktualizacji zasad haseł itp. Przejrzyj Ustawienia poczty e-mail, aby uzyskać instrukcje dotyczące czynności do wykonania i szczegółowe informacje.
Ograniczanie możliwości serwera proxy portalu
Istnieje kilka scenariuszy wykorzystania portalu jako serwera proxy. Ich zastosowanie może prowadzić do nieprawidłowego wykorzystania funkcji serwera proxy w celu przeprowadzenia ataku typu odmowa usług (DoS) lub złośliwe żądania po stronie serwera (SSRF) względem każdego komputera, do którego komputer portalu ma dostęp. Aby uchronić się przed tym potencjalnym zagrożeniem, zdecydowanie zaleca się ograniczenie możliwości serwera proxy portalu do obsługi jedynie zatwierdzonych adresów internetowych. Dodatkowe szczegółowe informacje i wyczerpujące wskazówki znajdują się w temacie Ograniczanie funkcji serwera proxy portalu.
Wyłączanie dostępu anonimowego
Aby zapobiec uzyskiwaniu dostępu do zasobów przez użytkowników bez podawania poświadczeń portalu, zalecane jest skonfigurowanie portalu tak, aby nie zezwalał na dostęp anonimowy. Wyłączenie dostępu anonimowego pomaga zagwarantować, że użytkownicy publiczni nie będą mogli uzyskiwać dostępu do zasobów portalu.
Aby dowiedzieć się, jak wyłączyć dostęp anonimowy w portalu ArcGIS Enterprise, zapoznaj się z tematem Wyłączanie dostępu anonimowego. Jeśli korzystasz z uwierzytelniania w warstwie internetowej (tzn. przeprowadzasz uwierzytelnianie za pośrednictwem aplikacji ArcGIS Web Adaptor), konieczne będzie także wyłączenie dostępu anonimowego na serwerze internetowym. Instrukcje znajdują się w dokumentacji serwera WWW.
Konfiguracja certyfikatów serwera z podpisem urzędu certyfikacji
Portal ArcGIS Enterprise został wstępnie skonfigurowany z certyfikatem z podpisem własnym, który umożliwia przeprowadzenie wstępnego testowania portalu i ułatwia szybką weryfikację poprawności instalacji. Jednak w większości przypadków instytucja powinna zgłosić żądanie przyznania certyfikatu od zaufanego urzędu certyfikacji (CA) i skonfigurować portal tak, aby z niego korzystał. Certyfikat może być podpisany przez firmę (wewnętrznie) lub przez komercyjny urząd certyfikacji (CA).
Każdy stosowany komponent systemu ArcGIS musi zostać skonfigurowany w instytucji przy użyciu certyfikatu pochodzącego od firmowego lub komercyjnego urzędu certyfikacji. Typowe przykłady to aplikacja ArcGIS Web Adaptor i serwer ArcGIS Server. Na przykład serwer ArcGIS Server ma również wstępnie skonfigurowany certyfikat z podpisem własnym. W przypadku federowania serwera ArcGIS Server z portalem ważne jest wymaganie certyfikatu podpisanego przez urząd certyfikacji i skonfigurowanie serwera oraz aplikacji Web Adaptor tak, aby z niego korzystały.
Konfigurowanie certyfikatu z zaufanego urzędu certyfikacji zapewnia bezpieczeństwo systemów internetowych, a ponadto zapobiega wyświetlaniu ostrzeżeń przez przeglądarki i występowaniu nieoczekiwanych zachowań. Jeżeli podczas testowania będzie używany certyfikat z podpisem własnym zawarty w portalu ArcGIS Enterprise, mogą występować następujące problemy:
- W przeglądarce internetowej, aplikacji ArcGIS Desktop lub aplikacji ArcGIS Pro wyświetlane są ostrzeżenia o niezaufanej witrynie. W przypadku certyfikatu z podpisem własnym w przeglądarce wyświetlane jest ostrzeżenie i monit o potwierdzenie chęci przejścia do danej witryny. W wielu przeglądarkach, jeżeli używany jest certyfikat z podpisem własnym, wyświetlana jest ikona ostrzegawcza lub używany jest czerwony kolor na pasku adresu.
- Niezdolność do otwarcia sfederowanej usługi w przeglądarce map Map Viewer lub Map Viewer Classic portalu, dodania elementu usługi zabezpieczonej do portalu, zalogowania się do aplikacji ArcGIS Server Manager na serwerze sfederowanym oraz połączenia się z portalem z poziomu aplikacji ArcGIS for Office.
- Podczas konfigurowania usług narzędziowych, drukowania hostowanych usług i uzyskiwania dostępu do portalu z aplikacji klienckich mają miejsce nieoczekiwane zachowania.
Uwaga:
Powyższa lista problemów występujących w przypadku używania certyfikatu z podpisem własnym nie jest wyczerpująca. Bezwzględnie należy użyć certyfikatu podpisanego przez urząd certyfikacji w celu pełnego przetestowania i wdrożenia swojego portalu.
Aby uzyskać instrukcje dotyczące sposobu konfigurowania portalu ArcGIS Enterprise za pomocą certyfikatu podpisanego przez urząd certyfikacji, należy zapoznać się z następującymi tematami:
Konfiguracja protokołu HTTPS
Podczas wstępnej konfiguracji wdrożenia portalu ArcGIS Enterprise, za każdym razem, gdy zgłaszane jest żądanie podania poświadczeń, nazwa użytkownika i hasło są wysyłane za pomocą protokołu HTTPS. Oznacza to, że Twoje poświadczenia przesyłane w sieci wewnętrznej lub przez Internet są zaszyfrowane i nie mogą zostać przechwycone. Domyślnie cała komunikacja z portalem jest wysyłana przy użyciu protokołu HTTPS. Aby zapobiec przechwyceniu jakiejkolwiek komunikacji, zalecane jest skonfigurowanie serwera internetowego hostującego aplikację ArcGIS Web Adaptor tak, aby również wymuszał użycie protokołu HTTPS.
Wymuszenie komunikacji tylko przy użyciu protokołu HTTPS spowoduje zabezpieczenie całej komunikacji zewnętrznej poza portalem Enterprise, na przykład z usługami ArcGIS Server i usługami Open Geospatial Consortium (OGC), ponieważ portal będzie uzyskiwać dostęp do zewnętrznych zasobów internetowych tylko w przypadku, gdy protokół HTTPS jest dostępny. W przeciwnym razie zasoby zewnętrzne będą blokowane.
Mogą jednak zdarzyć się sytuacje, w których konieczne jest włączenie zarówno komunikacji HTTP, jak i HTTPS w obrębie portalu. Aby dowiedzieć się, jak wymusić protokół HTTP i HTTPS dla całej komunikacji w portalu ArcGIS Enterprise, zapoznaj się z tematem Konfiguracja protokołu HTTPS.
Korzystanie z grupowego konta usługi zarządzanej
Podczas instalowania portalu zaleca się użycie grupowego konta usługi zarządzanej (group Managed Service Account - gMSA) jako konta, na którym działa usługa portalu. Dzięki kontu gMSA można korzystać z zalet konta domenowego Active Directory, przy czym konto pozostaje zabezpieczone, ponieważ jego hasło jest okresowo aktualizowane.
Wyłączanie aplikacji ArcGIS Portal Directory
Możesz wyłączyć ArcGIS Portal Directory, aby zmniejszyć prawdopodobieństwo przeglądania elementów, usług, map internetowych, grup i innych zasobów portalu, ich odnalezienia podczas wyszukiwania sieciowego lub tworzenia zapytań za pomocą formularza HTML. Wyłączenie aplikacji ArcGIS Portal Directory zapewnia również ochronę przed atakami skryptowymi między witrynami (XSS).
Decyzja o wyłączeniu aplikacji ArcGIS Portal Directory jest zależna od przeznaczenia portalu i od intensywności nawigowania w jego obrębie przez użytkowników i programistów. W przypadku wyłączenia aplikacji ArcGIS Portal Directory użytkownik musi być przygotowany na konieczność utworzenia innych list oraz metadanych dotyczących elementów dostępnych w portalu.
Wyczerpujące instrukcje można znaleźć w temacie Wyłączanie aplikacji ArcGIS Portal Directory.
Konfiguracja zapory systemowej do współpracy z portalem
Każdy komputer ma tysiące portów, którymi inne komputery mogą przesyłać informacje. Zapora systemowa jest mechanizmem zabezpieczeń ograniczającym liczbę portali na komputerze, za pomocą których mogą komunikować się inne komputery. Gdy zapora systemowa zostaje użyta do ograniczenia komunikacji do niewielkiej liczby portów, możliwe jest ich uważne monitorowanie w celu zapobiegania atakom.
Portal ArcGIS Enterprise na potrzeby komunikacji korzysta z określonych portów, takich jak 7005, 7080, 7099, 7443 i 7654. Z uwagi na dobre praktyki w zakresie bezpieczeństwa zaleca się otwarcie zapory, aby umożliwić komunikację przez te porty. W przeciwnym razie poprawne funkcjonowanie portalu może być niemożliwe. Aby uzyskać więcej informacji, zapoznaj się z tematem Porty używane przez Witryna Portal for ArcGIS.
Konfigurowanie czasu ważności tokena
Token jest zaszyfrowanym ciągiem znakowym zawierającym nazwę użytkownika, czas ważności tokena oraz inne zastrzeżone dane. Użytkownik po otrzymaniu tokena ma dostęp do portalu do czasu wygaśnięcia ważności tokena. Po upływie tego czasu użytkownik musi ponownie podać nazwę użytkownika i hasło.
Za każdym razem, gdy zostanie wygenerowany nowy token podczas korzystania z oprogramowania ArcGIS Enterprise, należy podać czas ważności. W przeciwnym razie zostanie użyty domyślny czas ważności.
Portal używa trzech typów tokenów. Są to tokeny ArcGIS, tokeny OAuth access i tokeny OAuth refresh. Każdy typ ma własny domyślny czas ważności.
Tych wartości maksymalnych i domyślnych nie można wydłużyć, a jedynie skrócić, konfigurując właściwość maxTokenExpirationMinutes w aplikacji ArcGIS Portal Administrator Directory. Wartość właściwości maxTokenExpirationMinutes dotyczy każdego typu tokena. Jeśli ta wartość nie przekroczy wartości maksymalnej, ale przekroczy wartość domyślną, wpłynie to tylko na wartość maksymalną, a wartość domyślna zostanie taka sama. Jeśli ta wartość nie przekroczy obu wartości, maksymalnej i domyślnej, wpłynie to na obie wartości. Wartości maksymalne i domyślne będą wówczas zgodne z definicją podaną we właściwości maxTokenExpirationMinutes.
Aby zmienić domyślny czas ważności tokena, wykonaj czynności opisane w temacie Określanie domyślnego czasu ważności tokena.
Ograniczanie uprawnień do plików
Zalecane jest skonfigurowanie uprawnień do plików tak, aby udzielany był jedynie niezbędny dostęp do katalogu instalacyjnego i katalogu zasobów oprogramowania Witryna Portal for ArcGIS. Jedyne konto, do którego oprogramowanie Witryna Portal for ArcGIS wymaga dostępu, to konto Witryna Portal for ArcGIS. Jest to konto używane do uruchamiania oprogramowania. Twoja instytucja może wymagać przyznania dostępu także z poziomu innych kont. Należy pamiętać, że aby zapewnić poprawne działanie witryny, niezbędny jest pełny dostęp do katalogów instalacyjnych i katalogów zasobów z poziomu konta portalu.
Oprogramowanie Witryna Portal for ArcGIS dziedziczy uprawnienia do plików z folderu nadrzędnego, w którym jest zainstalowane. Dodatkowo nadaje ona uprawnienia do konta portalu, dzięki czemu ma ona dostęp do katalogu, w którym jest zainstalowana. Pliki utworzone w czasie działania portalu dziedziczą uprawnienia folderów nadrzędnych. Jeśli chcesz zabezpieczyć katalog zasobów, skonfiguruj ograniczone uprawnienia dla folderu nadrzędnego.
Z poziomu każdego konta z uprawnieniami do zapisu w katalogu zasobów można zmienić ustawienia portalu, które standardowo mogą być modyfikowane jedynie przez administratora systemu. Jeśli do zarządzania użytkownikami używany jest wbudowany magazyn, katalog zasobów zawiera zaszyfrowane hasła tych użytkowników. W tym przypadku należy również ograniczyć uprawnienia do odczytu katalogu zasobów.