При разработке и реализации комплексной стратегии безопасности на Amazon Elastic Compute Cloud (EC2) необходимо предусмотреть разные уровни обеспечения безопасности.
Для управления доступом к веб-сервисам и веб-приложениям используются те же механизмы обеспечения безопасности, что и в ArcGIS Enterprise вне Amazon Elastic Compute Cloud. Это описывается в Справке ArcGIS Server и Portal for ArcGIS.
Кроме того, необходимо учитывать соображения безопасности при работе в облаке. В следующих разделах описываются некоторые вопросы обеспечения безопасности применительно к Amazon Web Services (AWS).
Обеспечение безопасности административной среды облака
Вы будете использовать инструменты AWS, такие как AWS Management Console или интерфейс командной сроки AWS для администрирования архитектуры ArcGIS на AWS. К этим задачам администрирования относятся в том числе такие действия, как настройка Amazon Elastic Load Balancers (ELBs) и Elastic IP-адресов, создание бакетов Amazon Simple Storage Service (S3), а также просмотр действий с учетной записью и платежной информации.
Amazon рекомендует использовать AmazonРоли Identity and Access Management (IAM), которые позволят вам управлять группами пользователей с разными уровнями прав доступа к вашей учетной записи AWS. Используйте IAM, чтобы создать хотя бы одного пользователя с доступом к вашей учетной записи AWS, и скачайте ключ доступа и секретный ключ доступа, привязанные к этому пользователю. Роли IAM используются в следующих рабочих процессах ArcGIS Enterprise:
- Настройка отказоустойчивого сайта ArcGIS Server.
- Настройка отказоустойчивого портала.
- Хранение кэша картографических сервисов и сервисов изображений S3.
Передавайте имя своей учетной записи Amazon, пароль, ключи доступа и ключи секретного доступа только небольшому числу людей в вашей организации, которые понимают, как правильно запускать, редактировать и удалять ресурсы с помощью инструментов AWS, таких как Management Console, инструменты командной строки или API. Разрешение широкого доступа для нетренированного персонала делает ваше размещение уязвимым к тяжелым нарушением системы и чрезмерным оплатам для вашей учетной записи. Такого рода проблемы, в конечном итоге, могут быть более разрушительными, чем нападения внешних хакеров.
Amazon предлагает дополнительный уровень защиты помимо имени учетной записи и пароля. Для использования этой опции, которая называется AWSМногофакторная аутентификация, необходимо иметь шестизначный код, который генерирует небольшое аппаратное устройство. Этот код часто меняется, так что, если злоумышленник попытается получить ваше имя и пароль, он или она все равно не смогут войти в вашу учетную запись с AWS Management Console.
Безопасное администрирование экземпляра
Управление учетной записью и экземплярами EC2 с помощью инструментов AWS – это только один из аспектов администрирования ArcGIS на AWS. Другая часть настройки вашего облачного размещения заключается в том, чтобы выполнить вход на ваши экземпляры EC2 для авторизации или обновления ПО, запуска инструментов, установленных на ArcGIS Enterprise, передачи данных, настройки приложений и добавления учетных записей.
Первый вход в экземпляр Microsoft Windows EC2 выполняется в качестве администратора компьютера с использованием случайно сгенерированного пароля, который вы получите с помощью файла пары ключей. Храните ваш файл пары ключей в секретном местоположении. Затем, во время первого входа на ваш экземпляр, вам следует изменить пароль на другой, более легко запоминающийся. Это небезопасно – записать ваш пароль или сохранить его в чистом тексте на вашем локальном компьютере.
Подсказка:
При выборе пароля необходимо учитывать, что он должен соответствовать требованиям по сложности Microsoft Windows Server, к которым относятся следующие:
- Пароли не должны содержать имя учетной записи пользователя и частей полного имени пользователя, превышающих два последовательных символа.
- Пароль должен содержать по крайней мере восемь символов.
- Пароль должен содержать символы трех из следующих четырех категорий:
- Заглавные буквы английского алфавита (от A до Z)
- Прописные буквы английского алфавита (от a до z)
- Основные 10 цифр (от 0 до 9)
- Не буквенно-цифровые символы (например, !, $, #, %)
Когда вы выполните вход в экземпляр, с помощью инструментов Windows вы сможете задать пользователей (не администраторов), которые смогут выполнять вход.
Обеспечение безопасности экземпляров от внешних атак
Все экземпляры EC2 используют группы безопасности для защиты от несанкционированного или неизвестного внешнего доступа. Необходимо настроить группы безопасности , чтобы разрешить допуск определенному кругу IP-адресов, портам и протоколам. При каждом запуске вновь добавленного экземпляра EC2 необходимо указывать, к какой группе безопасности будет относиться данный экземпляр; таким образом будет определяться, для кого будет доступен данный экземпляр.
По умолчанию, новые группы безопасности не имеют разрешенного доступа. Как минимум, необходимо разрешить удаленный доступ и доступ по протоколу HTTP для входа в ваш экземпляр EC2 и тестирования развертывания. См. инструкции в разделе Об открытии группы безопасности Amazon Elastic Compute Cloud для ArcGIS. Также см. раздел Общие настройки групп безопасности для знакомства с концепциями групповых правил безопасности, подходящих для ArcGIS Enterprise on Amazon Web Services.
Когда вы используете инструменты Esri для создания сайта, для вас будет создана и настроена группа безопасности. Для этой группы безопасности открыты необходимые порты, что позволит сайту работать; если необходимо, вы можете использовать инструменты AWS для тонкой настройки параметров этой группы безопасности. Например, если вы захотите войти на один из экземпляров с помощью Windows Remote Desktop, будет необходимо открыть порт 3389.
Центр безопасности облака AWS содержит официальные документы и рекомендации по разработке безопасной архитектуры для EC2. Эти рекомендации и правила применимы к ArcGIS Enterprise on Amazon Web Services.