При защите Portal for ArcGIS важно, чтобы среда, в которой запускается ваш портал, тоже была защищена. Существует несколько оптимальных методов защиты, которые можно использовать, чтобы гарантировать наивысшую защищенность.
Ограничение прокси-функциональных возможностей портала
Портал используется в качестве прокси-сервера в нескольких сценариях. В результате, прокси-функциональные возможности портала могут быть неправильно применены для запуска атак Отказа в обслуживании (DoS) или Подделки запроса на стороне сервера (SSRF) против любого компьютера, к которому компьютер портала может получить доступ. Чтобы смягчить эту потенциальную уязвимость, настоятельно рекомендуется ограничить прокси-функциональные возможности портала использованием только подтвержденных веб-адресов. Для дополнительной информации и полных инструкций см. Ограничение прокси-функциональных возможностей портала.
Отключение анонимного доступа
Чтобы предотвратить доступ к ресурсам для любого пользователя без предварительного ввода учетных данных на портале, рекомендуется настроить портал таким образом, чтобы отключить возможность анонимного доступа. Отключение анонимного доступа помогает гарантированно исключить доступ постороннего пользователя к ресурсам вашего портала.
Более подробно об отключении анонимного доступа в Portal for ArcGIS, см. раздел Отключение анонимного доступа. Если вы используете аутентификацию на веб-уровне (то есть выполняете аутентификацию с помощью ArcGIS Web Adaptor), вам также может понадобится отключение возможности анонимного доступа на веб-сервер. Инструкции можно найти в документации к вашему веб-серверу.
Настройка подписанного центром сертификации (CA) сертификата
Portal for ArcGIS поставляется с готовым самоподписанным сертификатом сервера, который позволяет сразу тестировать портал и помогает вам быстро убедиться, что установка прошла успешно. Однако почти во всех случаях, организации следует запросить сертификат у доверенного центра сертификации (CA) и настроить портал на работу с ним. Сертификат может быть подписан корпоративным (внутренним) или коммерческим центром сертификации CA.
Следует настроить каждый применимый компонент ArcGIS в вашей организации с использованием сертификата от корпоративного или коммерческого центра сертификации CA. Общие примеры включают ArcGIS Web Adaptor и ArcGIS Server. Например, ArcGIS Server поставляется с предварительно настроенным самозаверяющимся сертификатом. Если вы собираетесь интегрировать сайт ArcGIS Server с вашим порталом, то очень важно запросить сертификат у центра сертификации (CA) и настроить сервер и Web Adaptor на его использование.
Настройка сертификата от доверенного центра авторизации – это обычная мера безопасности для веб-систем, также избавляющая пользователей от получения предупреждений браузера или непредвиденного поведения. Если вы выбираете использование самоподписанного сертификата, включенного в Portal for ArcGIS и ArcGIS Server во время тестирования, вы увидите следующее:
- Предупреждения от веб-браузера и ArcGIS Desktop о сомнительном содержании сайта. При обнаружении самозаверяющегося сертификата веб-браузер обычно выдает предупреждение и просит подтвердить переход на сайт. Если вы используете самозаверяющийся сертификат, многие браузеры предупреждают об этом с помощью значков или красного цвета в адресной строке. Будьте готовы увидеть такие предупреждения, если вы используете самозаверяющийся сертификат.
- Невозможно открыть интегрированный сервис во вьюере карт портала, добавить элемент защищенного сервиса к порталу, войти в ArcGIS Server Manager на интегрированном сервере и подключиться к порталу из ArcGIS Maps for Office.
- Непредвиденное поведение при настройке служебных сервисов, печати размещённых сервисов и доступе к порталу из клиентских приложений.
Внимание:
Выше приведен частичный список проблем, которые могут возникнуть при использовании самозаверяющегося сертификата. Неукоснительно требуется использовать сертификат, подписанный центром сертификации (CA) для полного тестирования и развертывания вашего портала.
В следующих разделах приведены инструкции по настройке Portal for ArcGIS, ArcGIS Server и ArcGIS Web Adaptor с подписанным центром сертификации (CA) сертификатом:
Настройка HTTPS
При такой начальной настройке развертывания портала ваше имя пользователя и пароль посылаются через HTTPS при любом запросе учетных данных. Это означает, что ваши учетные данные, отправляемые по внутренней сети или через Интернет, закодированы и не могут быть перехвачены. Однако любой другой обмен сообщениями с вашим порталом отправляется через протокол HTTP, а это небезопасно. Чтобы предотвратить перехват любого обмена сообщений с порталом, рекомендуется настроить портал и веб-сервер, на котором размещается ArcGIS Web Adaptor, с принудительным использованием HTTPS.
Обмен сообщениями исключительно по протоколу HTTPS может замедлить работу вашего портала. Кроме того, если у вас есть ярлыки или закладки на веб-сайте портала, которые используют HTTP, то вам следует обновить их для использования HTTPS.
Использование HTTPS на портале также управляет обменом данных с внешними веб-ресурсами, например, с сервисами ArcGIS Server, Open Geospatial Consortium (OGC) и т.д. При включении HTTPS Portal for ArcGIS будет подключаться к внешним веб-ресурсам только с использованием HTTPS. Если HTTPS недоступен, внешние ресурсы блокируются.
Более подробно об использовании HTTPS для обмена сообщениями в Portal for ArcGIS, см. раздел Настройка HTTPS.
Отключение ArcGIS Portal Directory
Вы можете отключить ArcGIS Portal Directory, чтобы уменьшить возможность поиска элементов вашего портала, веб-карт, групп и других ресурсов в Интернет и осуществления запроса к ним через формы HTML. Отключение ArcGIS Portal Directory также приведет к более качественной защите от межсайтовых атак (XSS).
Решение об отключении ArcGIS Portal Directory необходимо принимать с учетом назначения портала и потребности пользователей и разработчиков в навигации по нему. При отключении ArcGIS Portal Directory вам, возможно, придется создавать другие списки или метаданные для элементов, доступных на вашем портале.
Подробные инструкции см. в разделе Отключение ArcGIS Portal Directory.
Настройка вашего брандмауэра для работы с порталом
Каждый компьютер содержит несколько тысяч портов, через которые другие компьютеры могут отправлять данные. Брандмауэр представляет собой инструмент безопасности, ограничивающий на вашем компьютере количество портов, через которые осуществляется обмен данными с другими компьютерами. Если брандмауэр используется в целях ограничения количества портов для обмена данными, вы сможете внимательно отслеживать эти порты, чтобы предотвратить атаку злоумышленников.
Portal for ArcGIS использует определенные порты связи, например, 7080, 7443, 7005, 7099, 7199 и 7654. В качестве оптимального метода защиты вам рекомендуется разрешить брандмауэру открыть весь обмен сообщениями через эти порты, в противном случае ваш портал не сможет функционировать должным образом. Более подробную информацию см. в разделе Порты, используемые Portal for ArcGIS.
Задание времени истечения токена по умолчанию
Если вы применяете встроенное хранилище идентификаций, для аутентификации пользователей используется токен. Когда пользователь пытается взаимодействовать с порталом, он вводит свое имя и пароль. Portal for ArcGIS проверяет введенные учетные данные, создает токен и выдает его пользователю.
Токен в ArcGIS – это строка зашифрованной информации, содержащая имя пользователя, время окончания действия токена и другую специальную информацию. После передачи пользователю токена он может работать с порталом, до тех пор, пока срок действия токена не истечет. По истечении этого срока пользователю придется снова вводить свои учетные данные.
Срок окончания действия токена по умолчанию составляет две недели (20160 минут). Хотя это может и подходить для вашей организации, токен с более длительным сроком действия значительно менее безопасен. Ведь токен, перехваченный злоумышленником, тоже будет действовать, пока не истечет этот срок. И наоборот, более короткое время истечения токена более безопасно, но пользователям, соответственно, придется чаще вводить свои учетные данные.
Для изменения значения времени истечения токена по умолчанию выполните действия, описанные в разделе Задание времени истечения токена по умолчанию.
Ограничение прав доступа к файлам
Рекомендуется настроить права доступа к файлам таким образом, чтобы оставить только минимально необходимый доступ к директории установки Portal for ArcGIS и директории ресурсов. Единственная учетная запись Portal for ArcGIS, доступ к которой требуется программному обеспечению, – это учетная запись Portal for ArcGIS. Это учетная запись, которая используется для запуска программного обеспечения. Организации может потребоваться доступ и к дополнительным учетным записям. Помните, что учетная запись Portal for ArcGIS должна иметь полный доступ к директории установки и директории ресурсов, чтобы ваш сайт нормально функционировал.
Portal for ArcGIS наследует права доступа к файлам от родительской папки, в которой он установлен. Кроме того, Portal for ArcGIS предоставляет учетной записи Portal for ArcGIS доступ к директории, в которую он установлен. Файлы, создаваемые во процессе работы портала, наследуют права доступа у родительской папки. Если нужно защитить директорию ресурсов, установите для родительской папки ограниченные права доступа.
Любая учетная запись, имеющая права на запись в директорию ресурсов, может изменить настройки Portal for ArcGIS, которые обычно могут быть изменены только администратором системы. Если встроенное хранилище безопасности используется для управления пользователями, директория ресурсов будет содержать зашифрованные пароли для этих пользователей. В этом случае права на чтение для директории ресурсов также необходимо ограничить.