Skip To Content

Рекомендации по обеспечению безопасности

Для обеспечения безопасности ArcGIS Server важно, чтобы среда, в которой запускается ArcGIS Server, также была безопасной. Существует ряд рекомендаций, которым можно следовать для обеспечения максимальной безопасности.

Запрос и настройка собственного сертификата сервера

ArcGIS Server поставляется с готовым самозаверенным сертификатом, который позволяет сразу тестировать портал и помогает вам быстро убедиться, что установка прошла успешно. Однако почти во всех случаях организации следует запросить сертификат у доверенного центра сертификации (CA) и настроить сервер на работу с ним. Это может быть доменный сертификат, выпущенный вашей организацией, или подписанный CA сертификат.

Также, как ArcGIS Server, портал ArcGIS Enterprise поставляется с готовым самозаверенным сертификатом. Если вы собираетесь интегрировать свой сайт с порталом, необходимо запросить сертификат у доверенного центра сертификации (CA) и настроить портал на работу с ним.

Настройка сертификата от доверенного центра авторизации – это обычная мера безопасности для веб-систем, также избавляющая пользователей от получения предупреждений браузера или непредвиденного поведения. Если вы выбираете использование самозаверенного сертификата, входящего в комплект ArcGIS Server и портала ArcGIS Enterprise, во время тестирования, вы увидите следующее:

  • Предупреждения от веб-браузера, от ArcGIS Desktop или от ArcGIS Pro о том, что данный сайт не заслуживает доверия. При обнаружении самозаверенного сертификата веб-браузер обычно выдает предупреждение и просит подтвердить переход на сайт. Если вы используете самозаверенный сертификат, многие браузеры предупреждают об этом с помощью значков или красного цвета в адресной строке.
  • Невозможно открыть интегрированный сервис в Map Viewer портала, добавить элемент защищенного сервиса к порталу, войти в ArcGIS Server Manager на интегрированном сервере или подключиться к порталу из ArcGIS Maps for Office.
  • Непредвиденное поведение при настройке служебных сервисов, печати размещённых сервисов и доступе к порталу из клиентских приложений.
Внимание:

Выше приведен частичный список проблем, которые могут возникнуть при использовании самозаверенного сертификата. Неукоснительно требуется использовать сертификат, подписанный центром сертификации (CA) для полного тестирования и развертывания вашего портала.

В следующих разделах приведены инструкции по настройке ArcGIS Enterprise с вашим собственным сертификатом:

Сканирование на наличие атак с использованием межсайтового скриптинга

Атаки с использованием межсайтового скриптинга внедряют и запускают код на существующих веб-страницах. Злоумышленник часто вводит в заблуждение пользователя, который в результате открывает страницу с данными или параметрами ввода, предоставленными самим злоумышленником. На сайтах ArcGIS Server эти параметры ввода или данные могут быть объектами, возвращаемыми сервисом объектов.

ArcGIS Server может сканировать объекты на наличие потенциальных атак с использованием межсайтового скриптинга. Он может сканировать объекты, когда они добавляются или обновляются через сервис объектов, а также когда эти объекты отправляются в клиентские приложения. Однако сканирование вредоносного кода в объекте может привести к ложным срабатываниям или отключению разрешенного HTML во всплывающих окнах объектов. Поведение сканирования настраивается для каждого сервиса.

По умолчанию при создании сервиса он настроен на проверку изменений возможных скриптов и их блокировку, но не на проверку объектов, полученных из сервиса объектов. Злоумышленник может обойти это сканирование изменений путем редактирования объектов способами, которые нельзя проверить, например, редактируя базу данных непосредственно через SQL. Поэтому наиболее безопасным является настройка ваших сервисов на сканирование всех объектов. Сканирование каждого объекта, извлекаемого для скриптов, может привести к снижению производительности, но это является хорошей практикой безопасности.

Изменение значений для отдельных сервисов может оказаться сложным в управлении, поэтому предпочтительным является определение значения по умолчанию с помощью системного свойства featureServiceXSSFilter. Это системное свойство, которое используется при создании новых сервисов. Оно не влияет на существующие сервисы и может быть переопределено после создания сервиса.

Чтобы задать это системное свойство, войдите в в ArcGIS Server Administrator Directory и перейдите в Системные > Свойства. Свойства представлены объектом JSON. Важно скопировать существующий объект JSON и изменить его, добавив свойство featureServiceXSSFilter для этого существующего объекта JSON.

Свойство featureServiceXSSFilter может быть установлено как input или inputOutput. Значение input является значением по умолчанию; оно указывает ArcGIS Server настроить новый сервис объектов для сканирования изменений. Это значение inputOutput указывает ArcGIS Server настроить новые сервисы объектов для сканирования изменений и сканирования возвращенных объектов.

Если вы хотите переопределить параметры определенного сервиса, необходимо использовать ArcGIS Server Administrator Directory, найти нужный сервис и отредактировать его. Три свойства, используемые для отдельных сервисов объектов:

  • xssPreventionEnabled позволяет сканировать скрипты и код в объектах. Рекомендуется, чтобы всегда было установлено как true.
  • xssPreventionRule может быть установлено как input или inputOutput. Изменения всегда сканируются, но исходящие объекты проверяются только для скриптов, если inputOutput это значение. Это переопределяет общесистемное свойство featureServiceXSSFilter.
  • xssInputRule определяет, что делать при обнаружении кода. Возможные опции: rejectInvalid или sanitizeInvalid. Значение rejectInvalid используется по умолчанию и рекомендуется к использованию.

Ограничение прав доступа к файлам

Рекомендуется настроить права доступа к файлам таким образом, чтобы оставить только минимально необходимый доступ к директории установки ArcGIS Server, хранилищу конфигураций и директориям сервера. Единственная учетная запись ArcGIS Server, доступ к которой требуется программному обеспечению – это учетная запись ArcGIS Server. Это учетная запись, которая используется для запуска программного обеспечения. Организации может потребоваться доступ и к дополнительным учетным записям. Помните, что учетная запись ArcGIS Server должна иметь полный доступ к директории установки, хранилищу конфигураций и директориям сервера, чтобы сайт нормально функционировал.

ArcGIS Server наследует права доступа к файлам от родительской папки, в которой он установлен. Кроме того, ArcGIS Server предоставляет учетной записи ArcGIS Server доступ к директории, в которую он установлен. Файлы, создаваемые при работе ArcGIS Server (например, журналы) наследуют права доступа у родительской папки. Если нужно защитить хранилище конфигураций и директории сервера, установите для родительской папки ограниченные права доступа.

Любая учетная запись, имеющая права на запись в хранилище конфигурации, может изменить настройки ArcGIS Server, которые обычно могут быть изменены только администратором системы. Если встроенное хранилище безопасности используется для хранения пользователей, хранилище конфигураций содержит зашифрованные пароли для этих пользователей. В этом случае права на чтение хранилища конфигураций тоже следует ограничить.

При наличии защищенных картографических сервисов или сервисов геообработки, необходимо блокировать доступ к файлам директорий сервера, чтобы гарантировать, что неавторизованные учетные записи не получат доступа к картам и результатам работы задач геообработки.

Отключение учетной записи основного администратора сайта

Учетная запись основного администратора сайта – это учетная запись, которая задается в ходе первого создания сайта в ArcGIS Server Manager. Имя пользователя и пароль этой записи распознаются только ArcGIS Server; она не является учетной записью операционной системы, и управление ею осуществляется из пользовательской учетной записи в хранилище аутентификации учетных записей.

Учетную запись основного администратора сайта рекомендуется отключить. Это гарантирует, что единственным способом администрирования ArcGIS Server будет использование группы или роли, заданной в хранилище аутентификации учетных записей. Инструкции см. в статье Отключение учетной записи основного администратора сайта.

Определение открытого ключа, используемого для создания токена ArcGIS.

Токен в ArcGIS – это строка зашифрованной информации. Общий ключ – это криптографический ключ, используемый для генерирования этой зашифрованной строки. Чем сложнее общий ключ, тем труднее злоумышленнику взломать шифр и расшифровать общий ключ. Если пользователь может расшифровать общий ключ, скопировать алгоритм шифрования ArcGIS Server и получить список зарегистрированных пользователей, он сможет создать токены и получать доступ ко всем защищенным ресурсам именно на этом сайте ArcGIS Server.

Перед определением открытого ключа примите во внимание следующее:

  • Общий ключ должен быть настроен на длину 16 символов (символы после 16-го не используются). Рекомендуется использовать для ключа случайную последовательность символов. Можно использовать любые символы, в том числе и не буквенно-цифровые.
  • В качестве ключа нельзя использовать словарное слово или общепринятое значение, которое легко угадать. Поскольку ключ не нужно запоминать или использовать где-либо, сложная комбинация не вызовет проблем, как это бывает с паролями.
  • Токены шифруются общим ключом с помощью улучшенного стандарта шифрования (Advanced Encryption Standard, AES), также известного как Rijndael. 16 символов в ключе представляют 128 бит, используемых для шифрования. Дополнительные сведения о шифровании и AES можно получить по ссылкам о безопасности или проконсультироваться с кем-нибудь в организации, кто хорошо разбирается в безопасности и шифровании.
  • В хорошо защищенных средах рекомендуется периодически изменять открытый ключ. Помните, что изменение открытого ключа может потребовать обновления ваших приложений для его использования. Все существующие внедренные токены перестанут работать после изменения открытого ключа.

Подробную информацию см. в О токенах ArcGIS.

Использование группы Managed Service Account

При установке ArcGIS Server рекомендуется использовать группу Managed Service Account (gMSA) как учетную запись, запускающую сервис ArcGIS Server. Использование gMSA имеет преимущества перед учетной записью домена Active Directory, и сохраняет безопасность учетной записи с помощью периодической смены паролей.

Более подробно о группе Managed Service Accounts

Безопасная передача токенов ArcGIS

Чтобы предотвратить перехват и злоупотребление токенами, рекомендуется использовать безопасное подключение HTTPS. Использование HTTPS гарантирует, что имя пользователя и пароль, отправленные с клиентского компьютера, и токен, возвращаемый с ArcGIS Server, не будут перехвачены. Более подробно см. в разделе Настройка HTTPS на ArcGIS Server.

При построении пользовательских клиентский приложений ArcGIS, использующих запросы GET для доступа к веб-сервисам, защищенным с помощью аутентификации ArcGIS на основе токенов, рекомендуется отправлять токен в заголовке X-Esri-Authorization, вместо параметра запроса. Это не позволяет промежуточным звеньям сети, таким как прокси, шлюзы или балансировщики нагрузки, получать токен. В этом примере запроса HTTP GET токен отправляется в заголовке X-Esri-Authorization:

GET https://arcgis.mydomain.com/arcgis/rest/services/SampleWorldCities/MapServer?f=pjson HTTP/1.1
    Host: arcgis.mydomain.com
    X-Esri-Authorization: Bearer xMTuPSYpAbj85TVfbZcVU7td8bMBlDKuSVkM3FAx7zO1MYD0zDam1VR3Cm-ZbFo-

Если ArcGIS Server использует аутентификацию ArcGIS Server без веб-уровня (IWA, HTTP BASIC, PKI, и т.д.), можно использовать стандартный заголовок HTTP вместо заголовка X-Esri-Authorization:

GET https://arcgis.mydomain.com/arcgis/rest/services/SampleWorldCities/MapServer?f=pjson HTTP/1.1    Host: arcgis.mydomain.com
    Authorization: Bearer xMTuPSYpAbj85TVfbZcVU7td8bMBlDKuSVkM3FAx7zO1MYD0zDam1VR3Cm-ZbFo-

Использование стандартизированных запросов

ArcGIS Server имеет опцию безопасности, известную как стандартизированные запросы, которая обеспечит вам защиту от вредоносных атак против SQL. По умолчанию эта опция включена.

Если вы являетесь администратором сервера, рекомендуется оставить эту опцию включенной и объяснить разработчикам, что они должны использовать выражения условия WHERE с синтаксисом, не зависящим от конкретной базы данных. Выключение этой опции сделает вашу систему более уязвимой для SQL-атак.

Подробнее см. раздел О стандартизированных запросах.

Отключение Services Directory

Можно отключить Services Directory, чтобы уменьшить возможность поиска по сети ваших данных и осуществления запроса к ним через формы HTML. Отключение Services Directory также приведет к более качественной защите от межсайтовых атак (XSS).

Отключение или неотключение Services Directory зависит от назначения вашего сайта и уровня доступа к нему со стороны пользователей и разработчиков. При отключении Services Directory вам, возможно, придется создавать другие списки и метаданные для сервисов, доступных на вашем сайте.

О выключении Services Directory см. в разделе Отключение Services Directory.

Ограничение междоменных запросов

Междоменные запросы используются во многих системных атаках. Рекомендуемая практика состоит в том, чтобы ограничить использование сервисов ArcGIS Server приложениями, управляемыми только теми доменами, которым вы доверяете. Более подробно см. Ограничение междоменных запросов к ArcGIS Server.