在 Amazon EC2 上设计整套安全策略需要规划不同级别的安全性。
通过 Amazon EC2 外部 ArcGIS Enterprise 所使用的相同安全机制来管理您的 Web 服务和应用程序访问。我们将在 ArcGIS Server 和 Portal for ArcGIS 帮助中对此进行介绍。
此外,还有几条针对在云中部署的安全性事项。以下部分介绍了一些有关在 Amazon Web Services (AWS) 中进行部署的具体安全性事项和方法。
保护您的云管理环境
通过 Amazon 身份和访问管理 (IAM) 可管理对 AWS 帐户具有不同权限级别的用户组。必须使用 IAM 至少创建一个对您的帐户具有访问权限的用户后才能登录 ArcGIS Server Cloud Builder on Amazon Web Services。然后,需要下载与该用户相关联的访问密钥和保密访问密钥。首次登录 Cloud Builder 时,您可以决定是保存这些密钥,还是在每次登录时都需要提供这些密钥。您还可以使用 IAM 角色来配置高可用性 ArcGIS Server 站点。
使用 AWS 管理控制台执行 ArcGIS Enterprise on Amazon Web Services 的高级管理。您必须使用自己的 Amazon 帐户名和密码登录该控制台,然后才能启动或终止 EC2 实例、配置 Amazon 弹性云均衡器 (ELB) 和弹性 IP 以及执行虚拟环境的其他管理功能。登录后还可查看您的帐户活动和帐单信息。
仅与贵组织中了解如何使用云构建器或 AWS 管理控制台正确启动、编辑和终止资源的少数人共享您的 Amazon 帐户名、密码、访问密钥和保密访问密钥。允许未经培训的人员广泛访问会使您的部署易受攻击从而导致严重的系统中断,并会导致帐户费用的增加。此类问题最终可能比外部黑客攻击更具破坏性。
除了帐户名和密码外,Amazon 还为 AWS 管理控制台提供了可选的保护层。AWS 多因子身份验证选项要求提供一个由您的小型硬件设备生成的六位数代码。该代码会频繁变化,因此即便一个恶意用户获取了您的帐户名和密码,他(她)仍然无法登录 AWS 管理控制台。
保护实例管理
登录 Cloud Builder 或 AWS 管理控制台仅仅是 Amazon EC2 上 ArcGIS 管理的一个方面。设置云部署的另一部分是,登录您的 EC2 实例以授权或升级软件、运行随 ArcGIS Enterprise 一同安装的工具、传输数据、配置应用程序以及添加登录帐户。
使用您通过密钥对文件检索的随机生成的密码,以计算机管理员的身份初始登录到 Windows EC2 实例。将密钥对文件保存在安全位置。然后,首次登录实例时,应将密码更改为便于记忆的密码。记下密码或将密码以明文形式存储在本地计算机上都不安全。
提示:
考虑选择一个符合 Windows Server 以下复杂性要求的密码:
- 密码不应包含用户的账户名或用户全名中两个以上的连续字符。
- 密码长度至少应为八个字符。
- 密码应包含以下四种字符类别中的三种:
- 大写英文字母(A 到 Z)
- 小写英文字母(a 到 z)
- 10 个基本数字(0 到 9)
- 非字母数字字符(如 !、$、#、%)
登录实例后,您可选择使用 Windows 工具定义可登录的非管理员用户。
保护实例免受外部攻击
所有的 EC2 实例均使用防火墙来防止不适当或未知的外部访问。通过创建安全组并开放对各组中的一系列 IP 地址、端口和协议的访问来配置防火墙。每次启动新的 EC2 实例时,都需要指定该实例所属的安全组。
默认情况下,新的安全组没有访问权限。要登录您的 EC2 实例并测试服务器,至少需要允许远程桌面访问和 HTTP 访问。有关说明,请参阅打开 ArcGIS 的 Amazon EC2 安全组。要想了解适合于 ArcGIS Enterprise on Amazon Web Services 的安全组设置,另请参阅常见安全组配置。
使用 ArcGIS Server Cloud Builder on Amazon Web Services 创建 ArcGIS Server 站点或由 Esri 提供的 AWS CloudFormation 模板时,还会创建和配置安全组。安全组上的必要端口会打开以允许站点运行,如果需要,您可使用 AWS 管理控制台对该安全组设置进行微调。例如,如果想用 Windows 远程桌面登录其中一个实例,则需要打开端口 3389。
Amazon 安全中心包含了用于设计 EC2 安全架构的白皮书和最佳实践文档。这些指导准则可应用于 ArcGIS Enterprise on Amazon Web Services。