Разработка всеобъемлющей стратегии безопасности ArcGIS Server на Amazon EC2 требует, чтобы вы планировали обеспечение безопасности на различных уровнях. Рассмотрите следующие вопросы:
- Кто способен создать и разрушить сайты ArcGIS Server используя мою учетную запись Amazon?
- Кто способен войти в мои экземпляры EC2 для установки нового программного обеспечения и прямого администрирования сервера?
- Какие компьютеры должны иметь возможность находить мой сервер, как только он запущен на EC2, и с какими целями?
- Кто способен соединиться с моим сайтом как пользователь, издатель или администратор?
- Существуют ли некоторые пользователи, для которых необходимо обеспечить доступ к определенным сервисам и запретить доступ к другим?
- Будут ли требовать мои приложения входа?
Вам будет необходимо понять и использовать разнообразные техники безопасности, что бы реализовать безопасное решение, которое отвечало бы на все вышеуказанные вопросы удовлетворительным образом. В этом разделе описываются подходы к ответу на каждый.
Обеспечение безопасности административной среды облака
Amazon Identity and Access Management (IAM) позволяет вам управлять группами пользователей, которые имеют разные уровни доступа к вашей учетной записи AWS. Прежде чем вы сможете войти в Cloud Builder, необходимо использовать IAM для создания как минимум одного пользователя с правами доступа к вашей учетной записи. Затем вам будет необходимо загрузить Ключ доступа и Секретный ключ доступа, присвоенные этому пользователю. Когда вы первый раз входите в Cloud Builder, вы можете решить, сохранить ли эти ключи, или требовать их при каждом входе.
Расширенное администрирование ArcGIS Server on Amazon Web Services выполняется с помощью AWS Management Console. Вы должны войти на консоль с вашей учетными именем и паролем Amazon до того, как вы сможете запустить или завершить экземпляры EC2, настроить Amazon Elastic Load Balancers (ELBs) и Elastic IPs, и выполнить другие административные функции в виртуальной среде. Вход также позволяет вам просмотреть активность вашей учетной записи и платежную информацию.
Давайте ваше имя, пароль, ключи доступа и секретные ключи доступа только небольшому числу людей в вашей организации, которые знают, как правильно запустить, отредактировать и удалить ресурсы с использованием Cloud Builder или AWS Management Console. Разрешение широкого доступа для нетренированного персонала делает ваше размещение уязвимым к тяжелым нарушением системы и чрезмерным оплатам для вашей учетной записи. Такого рода проблемы, в конечном итоге, могут быть более разрушительными, чем нападения внешних хакеров.
Amazon предлагает дополнительный уровень защиты для консоли управления AWS Management Console помимо имени и пароля вашей учетной записи. Данная опция, AWS Multi-Factor Authentication, требует от вас иметь шестизначный код, генерируемый небольшим аппаратным устройством в вашем распоряжении. Код часто меняется, так что, если злоумышленник попытается получить ваше имя и пароль, он или она все равно не смогут войти на AWS Management Console.
Безопасное администрирование экземпляра
Вход на Cloud Builder или AWS Management Console – это только один аспект администрирования ArcGIS Server на Amazon EC2. Другая часть настройки вашего облачного размещения состоит во входе на ваш экземпляр EC2 для передачи данных и настройки ГИС-сервисов и приложений.
Сначала вы входите в свой экземпляр EC2 на Windows как администратор компьютера, используя случайно сгенерированный пароль, который вы получаете с помощью файла пары ключей. Храните ваш файл пары ключей в секретном местоположении. Затем, во время первого входа на ваш экземпляр, вам следует изменить пароль на другой, более легко запоминающийся. Это небезопасно – записать ваш пароль или сохранить его в чистом тексте на вашем локальном компьютере.
Подсказка:
При выборе пароля необходимо руководствоваться следующими требованиями сложности Windows Server 2012:
- Пароли не должны содержать имя учетной записи пользователя и частей полного имени пользователя, превышающих два последовательных символа.
- Пароль должен содержать по крайней мере восемь символов.
- Пароль должен содержать символы трех из следующих четырех категорий:
- Заглавные буквы английского алфавита (от A до Z)
- Прописные буквы английского алфавита (от a до z)
- Основные 10 цифр (от 0 до 9)
- Не буквенно-цифровые символы (например, !, $, #, %)
Когда вход в экземпляр будет выполнен, вы можете при желании с помощью инструментов Windows задать пользователей (не администраторов), которые могут входить.
Обеспечение безопасности экземпляров от внешних атак
Все экземпляры EC2 используют брандмауэр для защиты от несанкционированного или неизвестного внешнего доступа. Вы настраиваете брандмауэр посредством создания групп безопасности и открытия доступа к диапазону IP-адресов, портам и протоколам для каждой группы. Каждый раз, когда вы запускаете экземпляр EC2, вам необходимо указать, каким группам безопасности будет принадлежать экземпляр.
По умолчанию, новые группы безопасности не имеют разрешенного доступа. Как минимум, вам необходимо разрешить доступ удаленного рабочего стола и доступ HTTP для входа на ваш экземпляр и тестирования вашего сервера. См. инструкции в разделе Открытие группы безопасности Amazon EC2 для ArcGIS for Server. Также см. раздел Общие настройки групп безопасности для ознакомления с настройками безопасности для групп, подходящих для ArcGIS Server on Amazon Web Services.
Когда для создания сайта используется ArcGIS Server Cloud Builder on Amazon Web Services, создается и настраивается группа безопасности. Необходимые порты открыты для группы безопасности для обеспечения функционирования сайта, но если необходимо, вы можете использовать AWS Management Console для тонкой настройки группы безопасности. Например, если вы захотите войти на один из экземпляров с использованием Windows Remote Desktop, то вам необходимо открыть порт 3389.
Amazon Security Center содержит официальные документы и документы лучшей практики по дизайну архитектуры безопасности для EC2. Эти рекомендации и правила применимы к ArcGIS Server on Amazon Web Services.
Обеспечение безопасности веб-сервисов и веб-приложений ГИС
Доступ к вашим веб-сервисам и веб-приложениям управляется через те же механизмы обеспечения безопасности, что вы используете для ArcGIS Server за пределами Amazon EC2. Их описание можно найти в Справке ArcGIS, в разделе Обеспечение безопасности сайта ArcGIS Server.
Вкладка Безопасность в ArcGIS Server Manager поможет вам настроить пользователей и роли, и выбрать, какие из пользователей и ролей будут иметь доступ к вашим сервисам. ArcGIS Server имеет встроенное хранилище пользователей и ролей, которое может быть привлекательной опцией на облачном сайте, который не может обратится к хранилищу пользователей в вашей локальной сети.