Для разработки и реализации комплексной стратегии безопасности на Amazon EC2 необходимо предусмотреть разные уровни обеспечения безопасности.
Доступ к веб-сервисам и веб-приложениям управляется через те же механизмы обеспечения безопасности, которые используются для ArcGIS Enterprise вне Amazon EC2. Это описывается в Справке ArcGIS Server и Portal for ArcGIS.
Кроме того, необходимо учитывать соображения безопасности при работе в облаке. В следующих разделах описываются некоторые вопросы обеспечения безопасности на Amazon Web Services (AWS).
Обеспечение безопасности административной среды облака
Amazon Identity and Access Management (IAM) позволяет вам управлять группами пользователей, которые имеют разные уровни доступа к вашей учетной записи AWS. Прежде чем вы сможете войти в ArcGIS Server Cloud Builder on Amazon Web Services, необходимо использовать роль IAM для создания как минимум одного пользователя с правами доступа к вашей учетной записи. Затем вам будет необходимо загрузить Ключ доступа и Секретный ключ доступа, присвоенные этому пользователю. Когда вы первый раз входите в Cloud Builder, вы можете решить, сохранить ли эти ключи, или требовать их при каждом входе. Можно также использовать роль IAM для настройки сайта ArcGIS Server высокого уровня доступности.
Расширенное администрирование ArcGIS Enterprise on Amazon Web Services выполняется с помощью AWS Management Console. Вы должны войти на консоль с вашей учетными именем и паролем Amazon до того, как вы сможете запустить или завершить экземпляры EC2, настроить Amazon Elastic Load Balancers (ELBs) и Elastic IPs, и выполнить другие административные функции в виртуальной среде. Вход также позволяет вам просмотреть активность вашей учетной записи и платежную информацию.
Давайте ваше имя, пароль, ключи доступа и секретные ключи доступа только небольшому числу людей в вашей организации, которые знают, как правильно запустить, отредактировать и удалить ресурсы с использованием Cloud Builder или AWS Management Console. Разрешение широкого доступа для нетренированного персонала делает ваше размещение уязвимым к тяжелым нарушением системы и чрезмерным оплатам для вашей учетной записи. Такого рода проблемы, в конечном итоге, могут быть более разрушительными, чем нападения внешних хакеров.
Amazon предлагает дополнительный уровень защиты для консоли управления AWS Management Console помимо имени и пароля вашей учетной записи. Данная опция, AWS Multi-Factor Authentication, требует от вас иметь шестизначный код, генерируемый небольшим аппаратным устройством в вашем распоряжении. Код часто меняется, так что, если злоумышленник попытается получить ваше имя и пароль, он или она все равно не смогут войти на AWS Management Console.
Безопасное администрирование экземпляра
Вход на Cloud Builder или AWS Management Console – это только один из аспектов администрирования ArcGIS на Amazon EC2. Другая часть настройки вашего облачного размещения состоит в том, чтобы выполнить вход на ваш экземпляр EC2 для авторизации или обновления ПО, запуска инструментов, установленных на ArcGIS Enterprise, передачи данных, настройки приложений и добавления учетных записей.
Сначала вы входите в экземпляр EC2 на Windows как администратор компьютера, используя случайно сгенерированный пароль, который вы получаете с помощью файла пары ключей. Храните ваш файл пары ключей в секретном местоположении. Затем, во время первого входа на ваш экземпляр, вам следует изменить пароль на другой, более легко запоминающийся. Это небезопасно – записать ваш пароль или сохранить его в чистом тексте на вашем локальном компьютере.
Подсказка:
При выборе пароля необходимо учитывать, что он должен соответствовать следующим требованиям Windows Server:
- Пароли не должны содержать имя учетной записи пользователя и частей полного имени пользователя, превышающих два последовательных символа.
- Пароль должен содержать по крайней мере восемь символов.
- Пароль должен содержать символы трех из следующих четырех категорий:
- Заглавные буквы английского алфавита (от A до Z)
- Прописные буквы английского алфавита (от a до z)
- Основные 10 цифр (от 0 до 9)
- Не буквенно-цифровые символы (например, !, $, #, %)
Когда вход в экземпляр будет выполнен, вы можете при желании с помощью инструментов Windows задать пользователей (не администраторов), которые могут входить.
Обеспечение безопасности экземпляров от внешних атак
Все экземпляры EC2 используют брандмауэр для защиты от несанкционированного или неизвестного внешнего доступа. Вы настраиваете брандмауэр посредством создания групп безопасности и открытия доступа к диапазону IP-адресов, портам и протоколам для каждой группы. При каждом запуске нового экземпляра EC2 необходимо указывать, к какой группе безопасности будет относиться данный экземпляр.
По умолчанию, новые группы безопасности не имеют разрешенного доступа. Как минимум, вам необходимо разрешить доступ удаленного рабочего стола и доступ HTTP для входа на ваш экземпляр и тестирования вашего сервера. См. инструкции в разделе Открытие группы безопасности Amazon EC2 для ArcGIS. Также см. раздел Общие настройки групп безопасности для ознакомления с настройками безопасности для групп, подходящих для ArcGIS Enterprise on Amazon Web Services.
Когда для создания сайта ArcGIS Server или шаблона AWS CloudFormation от Esri используется ArcGIS Server Cloud Builder on Amazon Web Services, для вас будет создана и настроена группа безопасности. Необходимые порты открыты для группы безопасности для обеспечения функционирования сайта, но если необходимо, вы можете использовать AWS Management Console для тонкой настройки группы безопасности. Например, если вы захотите войти на один из экземпляров с использованием Windows Remote Desktop, то вам необходимо открыть порт 3389.
Amazon Security Center содержит официальные документы и документы лучшей практики по дизайну архитектуры безопасности для EC2. Эти рекомендации и правила применимы к ArcGIS Enterprise on Amazon Web Services.