Skip To Content

Melhores práticas de segurança

Para a segurança do Portal for ArcGIS, é importante que o ambiente em que executa seu portal também esteja seguro. Há várias práticas de segurança que você pode seguir para garantir uma maior segurança.

Restringir o recurso de proxy do portal

O portal é utilizado como um servidor proxy em diversos cenários. Como resultado, o recurso de proxy do portal pode fazer uso errado para iniciar ataques de Denial of Service (DoS) ou Server Side Request Forgery (SSRF) em qualquer computador que a máquina do portal pode acessar. Para mitigar esta vulnerabilidade potencial, é fortemente recomendado que você restrinja o recurso de proxy do portal para endereços da web aprovados. Para detalhes adicionais e instruções completas, consulte Restringindo o recurso de proxy do portal.

Desabilitar o acesso anônimo

Para prevenir qualquer usuário de acessar o conteúdo sem primeiro fornecer as credenciais para o portal, é recomendado que você configure seu portal para desabilitar acesso anônimo. Desabilitar o acesso anônimo ajuda a garantir que um usuário público não possa ter acesso aos recursos no seu portal.

Para informações sobre como desabilitar o acesso anônimo no Portal for ArcGIS, consulte Desabilitando acesso anônimo. Se você estiver utilizando uma autenticação em série da web (isto é, você está executando uma autenticação pelo ArcGIS Web Adaptor), você também precisará desabilitar o acesso anônimo no seu servidor da web. Para instruções, consulte a documentação do produto do seu servidor da web.

Configurar certificados de servidor CA assinado

O Portal for ArcGIS apresenta um certificado de servidor auto assinado pré-configurado, que permite ao portal ser inicialmente testado e o ajuda a verificar rapidamente que sua instalação foi bem sucedida. Entretanto, em quase todos os casos, uma organização deve solicitar um certificado de uma autoridade de certificação confiável (CA) e configurar o portal para utilizá-lo. O certificado pode ser assinado por um CA corporativo (interno) ou comercial.

Você deve configurar cada componente ArcGIS aplicável na sua organização com um certificado CA corporativo ou comercial. Os exemplos comuns incluem o ArcGIS Web Adaptor e ArcGIS Server. Por exemplo, o ArcGIS Server também apresenta um certificado auto assinado pré-configurado. Se você for federar um site do ArcGIS Server com seu portal, é muito importante você solicitar um certificado CA assinado e configurar o servidor e Web Adaptor para utilizá-lo.

Configurar um certificado a partir de uma autoridade confiável é uma prática segura para sistemas baseados na web e também prevenirá usuários de encontrar quaisquer avisos do navegador ou outro comportamento inesperado. Se você optar por utilizar o certificado auto assinado incluído com Portal for ArcGIS e ArcGIS Server durante o teste, você experimentará o seguinte:

  • O avisos do navegador da web e ArcGIS Desktop sobre o site sendo não confiável. Quando um navegador da web encontrar um certificado auto assinado, ele normalmente exibirá um aviso e pedirá a você para confirmar que deseja prosseguir no site. Muitos navegadores exibem ícones de aviso ou uma cor vermelha na barra de endereço já que você está utilizando o certificado auto assinado. Você deve esperar estes tipos de avisos se você utilizar um certificado auto assinado.
  • Inabilidade para abrir um serviço federado no visualizador de mapa do portal, adicionar um item de serviço seguro no portal, entrar no ArcGIS Server Manager em um servidor federado e conectar ao portal do ArcGIS Maps for Office.
  • Comportamento inesperado ao configurar serviços do utilitário, serviços de impressão hospedados e acessar o portal de aplicativos cliente.
Aviso:

A lista de problemas acima, você experimentará ao utilizar um certificado auto assinado que não é exaustivo. É imperativo que você utilize um certificado CA assinado para implantar e testar completamente seu portal.

Para instruções sobre como configurar o Portal for ArcGIS, ArcGIS Server e ArcGIS Web Adaptor com um certificado CA assinado, consulte os seguintes tópicos:

Configurar HTTPS

Quando você configura inicialmente sua implantação do portal, toda vez que você é desafiado para suas credenciais, o nome de usuário e senha são enviados utilizando HTTPS. Isto significa que suas credenciais enviadas por uma rede interna ou a Internet estão codificadas e não podem ser interceptadas. Porém, toda outra comunicação no seu portal é enviada por HTTP, que não é seguro. Para prevenir a interceptação de qualquer comunicação dentro do portal, é recomendado que você configure seu portal e o servidor da web hospedando o ArcGIS Web Adaptor para forçar o HTTPS.

A exigência do HTTPS para toda comunicação pode afetar o desempenho do seu portal. Além disso, se você tiver atalhos ou marcadores no site da web do portal que utilizam HTTP, você precisará atualizá-los para utilizar HTTPS.

Aplicar o HTTPS no seu portal também controla a comunicação com conteúdo da web externo, por exemplo, serviços do ArcGIS Server, serviços Open Geospatial Consortium (OGC), e assim por diante. Ao aplicar o HTTPS, o Portal for ArcGIS acessará somente o conteúdo da web externo utilizando HTTPS. Se o HTTPS estiver indisponível, o conteúdo externo será bloqueado.

Para informações sobre como forçar o HTTPS para toda comunicação no Portal for ArcGIS, consulte Configurar HTTPS.

Desabilitar o ArcGIS Portal Directory

Você pode desabilitar o ArcGIS Portal Directory para reduzir a chance dos seus itens, serviços, mapas da web, grupos e outros recursos do portal de serem procurados, encontrados em uma pesquisa da web ou consultados por formulários HTML. Desabilitar o ArcGIS Portal Directory também fornece proteção adicional contra ataques do script de site cruzado (XSS).

A decisão para desabilitar o ArcGIS Portal Directory depende do propósito do seu portal e o grau de necessidade para ser pesquisado por usuários e desenvolvedores. Se você desabilitar o ArcGIS Portal Directory, talvez seja necessário se preparar para criar outras listas ou metadados sobre os itens disponíveis no seu portal.

Para instruções completas, consulte Desabilitar o ArcGIS Portal Directory.

Configurar seu firewall para funcionar com portal

Todo computador tem milhares de portas pelas quais outros computadores podem enviar informações. O firewall é um mecanismo de segurança que limita o número de portas em sua máquina pelas quais outros computadores podem se comunicar. Quando você utiliza um firewall para restringir a comunicação para um número pequeno de portas, é possível monitorar de perto estas portas para prevenir um ataque.

O Portal for ArcGIS utiliza certas portas para comunicar, como 7080, 7443, 7005, 7099, 7199 e 7654. Como uma melhor prática de segurança, é recomendado que você abra seu firewall para permitir a comunicação nestas portas; caso contrário, seu portal poderá não funcionar corretamente. Para mais informações, consulte Portas utilizadas pelo Portal for ArcGIS.

Especifique o tempo de vencimento do token padrão

Se você estiver utilizando o armazenamento de identidade embutida do portal, um token é utilizado para autenticar membros. Quando um usuário tentar acessar o portal, eles fornecem seu nome do usuário e senha. O Portal for ArcGIS verifica as credenciais fornecidas, gera um token, e emite um token para o membro.

Um token é uma string de informações codificadas que contém o nome do usuário, o tempo de vencimento do token e outras informações proprietárias. Quando um token é emitido para o membro, eles podem acessar o portal até que o token expire. Quando ele expirar, o membro deve fornecer seu nome do usuário e senha novamente.

O tempo de vencimento padrão é de duas semanas (20,160 minutos). Embora isto possa ser apropriado para sua organização, um token com um tempo de vencimento mais longo é menos seguro. Por exemplo, um token interceptado por um usuário malicioso pode ser utilizado até o token expirar. Reciprocamente, um tempo de vencimento menor é mais seguro, mas os membros precisarão inserir seu nome do usuário e senha com mais frequência.

Para alterar o tempo de vencimento do token padrão, siga as etapas em Especificar o tempo de vencimento do token padrão.

Restringir permissões do arquivo

É recomendado que as permissões do arquivo sejam configuradas de forma que somente o acesso necessário seja concedido no diretório da instalação e diretório de conteúdo do Portal for ArcGIS. A única conta que o software do Portal for ArcGIS exige ter acesso é a conta do Portal for ArcGIS. Esta é a conta que está sendo utilizada para executar o software. Sua organização também pode exigir acesso para estas contas adicionais. Tenha em mente que a conta do Portal for ArcGIS precisa de acesso completo aos diretórios da instalação e diretórios de conteúdo para que o site funcione corretamente.

O Portal for ArcGIS herda as permissões do arquivo da principal pasta onde está instalado. Adicionalmente, o Portal for ArcGIS concede permissão para a conta do Portal for ArcGIS de forma que possa acessar o diretório onde está instalado. Os arquivos criados para executar no portal herdam suas permissões da principal pasta. Se você desejar a segurança do diretório de conteúdo, então configure as permissões restringidas na principal pasta.

Qualquer conta que tem acesso de escrita no diretório de conteúdo pode alterar as configurações do Portal for ArcGIS que normalmente podem ser modificadas somente por um administrador do sistema. Se um armazenamento de segurança embutido estiver sendo utilizado para manter usuários, o diretório de conteúdo terá senhas codificadas para estes usuários. Neste caso, o acesso de leitura no diretório de conteúdo também deverá ser restrito.