При защите вашего портала ArcGIS Enterprise важно, чтобы среда, в которой запускается ваш портал, тоже была защищена. Существует несколько оптимальных методов защиты, которые можно использовать, чтобы гарантировать наивысшую защищенность.
Ограничение прокси-функциональных возможностей портала
Портал используется в качестве прокси-сервера в нескольких скриптах. В результате, прокси-функциональные возможности портала могут быть неправильно применены для запуска атак Отказа в обслуживании (DoS) или Подделки запроса на стороне сервера (SSRF) против любого компьютера, к которому компьютер портала может получить доступ. Чтобы смягчить эту потенциальную уязвимость, настоятельно рекомендуется ограничить прокси-функциональные возможности портала использованием только подтвержденных веб-адресов. Для дополнительной информации и полных инструкций см. Ограничение прокси-функциональных возможностей портала.
Отключение анонимного доступа
Чтобы предотвратить доступ к ресурсам для любого пользователя без предварительного ввода учетных данных на портале, рекомендуется настроить портал таким образом, чтобы отключить возможность анонимного доступа. Отключение анонимного доступа помогает гарантированно исключить доступ постороннего пользователя к ресурсам вашего портала.
Более подробно об отключении анонимного доступа к порталу ArcGIS Enterprise см. в разделе Отключение анонимного доступа. Если вы используете аутентификацию на веб-уровне (то есть выполняете аутентификацию с помощью ArcGIS Web Adaptor), вам также может понадобиться отключение возможности анонимного доступа на веб-сервер. Инструкции можно найти в документации к вашему веб-серверу.
Настройка подписанного центром сертификации (CA) сертификата
Портал ArcGIS Enterprise поставляется с готовым самозаверенным сертификатом сервера, который позволяет сразу тестировать портал и помогает вам быстро проверить, что установка прошла успешно. Однако почти во всех случаях, организации следует запросить сертификат у доверенного центра сертификации (CA) и настроить портал на работу с ним. Сертификат может быть подписан корпоративным (внутренним) или коммерческим центром сертификации CA.
Следует настроить каждый применимый компонент ArcGIS в вашей организации с использованием сертификата от корпоративного или коммерческого центра сертификации CA. Общие примеры включают ArcGIS Web Adaptor и ArcGIS Server. Например, ArcGIS Server также поставляется с предварительно настроенным самозаверенным сертификатом. Если вы собираетесь интегрировать сайт ArcGIS Server с вашим порталом, то важно запросить сертификат у центра сертификации (CA) и настроить сервер и Web Adaptor на его использование.
Настройка сертификата от доверенного центра авторизации является обычной мерой безопасности для веб-систем, также избавляющей пользователей от получения предупреждений в браузере или непредвиденного поведения. Если вы выбираете использование самозаверенного сертификата, поставляемого с ArcGIS Enterprise, во время тестирования, вы увидите следующее:
- Предупреждения от веб-браузера, от ArcGIS Desktop или от ArcGIS Pro о том, что данный сайт не заслуживает доверия. При обнаружении самозаверенного сертификата веб-браузер обычно выдает предупреждение и просит подтвердить переход на сайт. Если вы используете самозаверенный сертификат, многие браузеры предупреждают об этом с помощью значков или красного цвета в адресной строке.
- Невозможно открыть интегрированный сервис во Map Viewer портала, добавить элемент защищенного сервиса к порталу, войти в ArcGIS Server Manager на интегрированном сервере и подключиться к порталу из ArcGIS Maps for Office.
- Непредвиденное поведение при настройке служебных сервисов, печати размещённых сервисов и доступе к порталу из клиентских приложений.
Внимание:
Выше приведен частичный список проблем, которые могут возникнуть при использовании самозаверенного сертификата. Неукоснительно требуется использовать сертификат, подписанный центром сертификации (CA) для полного тестирования и развертывания вашего портала.
В следующих разделах приведены инструкции по настройке ArcGIS Enterprise с вашим собственным сертификатом:
Настройка HTTPS
При такой начальной настройке развертывания ArcGIS Enterprise ваше имя пользователя и пароль посылаются через HTTPS при любом запросе учетных данных. Это означает, что ваши учетные данные, отправляемые по внутренней сети или через Интернет, закодированы и не могут быть перехвачены. По умолчанию, вся коммуникация с порталом выполняется через HTTPS. Для предотвращения перехвата сообщений рекомендуется настроить ваш размещенный веб-сервер ArcGIS Web Adaptor на обязательное использование шифрования, такого как HTTPS.
При включении коммуникаций только по HTTPS, все внешние подключения, вне портала Enterprise, такие как сервисы ArcGIS Server и Open Geospatial Consortium (OGC), становятся защищенными, т.к. портал обращается к внешним веб-ресурсам только при наличии HTTPS. Иначе внешние ресурсы блокируются.
Однако могут быть ситуации, когда вам потребуется включить на портале и HTTP и HTTPS. Дополнительные сведения о принудительном использовании HTTP и HTTPS для обмена всеми данными в ArcGIS Enterprise, см. в разделе Настройка HTTPS.
Использование группы Managed Service Account
При установке портала рекомендуется использовать группу Managed Service Account (gMSA) как учетную запись, запускающую сервисы портала. Использование gMSA имеет преимущества перед учетной записью домена Active Directory, и сохраняет безопасность учетной записи с помощью периодической смены паролей.
Отключение ArcGIS Portal Directory
Вы можете отключить ArcGIS Portal Directory, чтобы уменьшить возможность поиска элементов вашего портала, веб-карт, групп и других ресурсов в Интернет и осуществления запроса к ним через формы HTML. Отключение ArcGIS Portal Directory также приведет к более качественной защите от межсайтовых атак (XSS).
Решение об отключении ArcGIS Portal Directory необходимо принимать с учетом назначения портала и потребности пользователей и разработчиков в навигации по нему. При отключении ArcGIS Portal Directory вам, возможно, придется создавать другие списки или метаданные для элементов, доступных на вашем портале.
Подробные инструкции см. в разделе Отключение ArcGIS Portal Directory.
Настройка вашего брандмауэра для работы с порталом
Каждый компьютер содержит несколько тысяч портов, через которые другие компьютеры могут отправлять данные. Брандмауэр представляет собой инструмент безопасности, ограничивающий на вашем компьютере количество портов, через которые осуществляется обмен данными с другими компьютерами. Если брандмауэр используется в целях ограничения количества портов для обмена данными, вы сможете внимательно отслеживать эти порты, чтобы предотвратить атаку злоумышленников.
Портал ArcGIS Enterprise использует для обмена данными определенные порты связи, например, 7005, 7080, 7099, 7443 и 7654. В качестве оптимального метода защиты вам рекомендуется разрешить брандмауэру открыть весь обмен сообщениями через эти порты, в противном случае ваш портал не сможет функционировать должным образом. Более подробную информацию см. в разделе Порты, используемые Portal for ArcGIS.
Задание времени истечения токена
Токен в ArcGIS – это строка зашифрованной информации, содержащая имя пользователя, время окончания действия токена и другую специальную информацию. После передачи пользователю токена он может работать с порталом, до тех пор пока срок действия токена не истечет. По истечении этого срока пользователю придется снова вводить свои учетные данные.
Каждый раз, когда вы генерируете новый токен во время использования ArcGIS Enterprise, вы должны указать время истечения. Если вы этого не сделаете, будет использоваться значение срока действия по умолчанию.
Портал использует три типа токенов: токены ArcGIS, токены access OAuth и токены refresh OAuth. Каждый тип имеет свое значение по умолчанию.
Эти значения по умолчанию не могут быть увеличены и могут быть уменьшены только путем установки maxTokenExpirationMinutes для свойства в ArcGIS Portal Administrator Directory значения меньше значения по умолчанию. Хотя эти значения могут подходить для вашей организации, важно учитывать последствия безопасности для токена. Токен с более длительным сроком действия менее защищен. Ведь токен, перехваченный злоумышленником, тоже будет действовать, пока не истечет этот срок. И наоборот, более короткое время истечения является более безопасным, но менее удобным, поскольку участникам может потребоваться вводить свои имя пользователя и пароль чаще.
Для изменения значения времени истечения токена по умолчанию выполните действия, описанные в разделе Задание времени истечения токена по умолчанию.
Ограничение прав доступа к файлам
Рекомендуется настроить права доступа к файлам таким образом, чтобы оставить только минимально необходимый доступ к директории установки Portal for ArcGIS и директории ресурсов. Единственная учетная запись Portal for ArcGIS, доступ к которой требуется программному обеспечению – это учетная запись Portal for ArcGIS. Это учетная запись, которая используется для запуска программного обеспечения. Организации может потребоваться доступ и к дополнительным учетным записям. Помните, что учетная запись должна иметь полный доступ к директории установки и директории ресурсов, чтобы ваш сайт нормально функционировал.
Portal for ArcGIS наследует права доступа к файлам от родительской папки, в которой он установлен. Кроме того, он предоставляет учетной записи портала доступ к директории, в которую он установлен. Файлы, создаваемые во процессе работы портала, наследуют права доступа у родительской папки. Если нужно защитить директорию ресурсов, установите для родительской папки ограниченные права доступа.
Любая учетная запись, имеющая права на запись в директорию ресурсов, может изменить настройки портала, которые обычно могут быть изменены только администратором системы. Если встроенное хранилище безопасности используется для управления пользователями, директория ресурсов будет содержать зашифрованные пароли для этих пользователей. В этом случае права на чтение для директории ресурсов также необходимо ограничить.