在 Amazon Elastic Compute Cloud (EC2) 上设计整套安全策略需要规划不同级别的安全性。
通过 Amazon Elastic Compute Cloud 外部 ArcGIS Enterprise 所使用的相同安全机制来管理您的 Web 服务和应用程序访问。我们将在 ArcGIS Server 和 Portal for ArcGIS 帮助中对此进行介绍。
此外,还有几条针对在云中部署的安全性事项。以下部分介绍了一些有关在 Amazon Web Services (AWS) 中进行部署的具体安全性事项和方法。
保护您的云管理环境
使用 AWS 管理控制台或 AWS 命令行界面等 AWS 工具在 AWS 上对 ArcGIS 部署进行高级管理。这些管理任务包括但不限于:配置 Amazon 弹性负载均衡器 (ELB) 和弹性 IP、创建 Amazon Simple Storage Service (S3) 存储段以及查看帐户活动和账单信息。
Amazon 建议您使用 Amazon 身份和访问管理 (IAM) 角色管理对 AWS 帐户具有不同权限级别的用户组。使用 IAM 至少创建一个对您的 AWS 帐户具有访问权限的用户,然后下载与该用户相关联的访问密钥和保密访问密钥。IAM 角色用于以下 ArcGIS Enterprise 工作流:
仅与贵组织中了解如何使用 Amazon 工具(例如管理控制台、命令行工具或 API)正确启动、编辑和终止资源的少数人共享您的 AWS 帐户名、密码、访问密钥和保密访问密钥。允许未经培训的人员广泛访问会使您的部署易受攻击从而导致严重的系统中断,并会导致帐户费用的增加。此类问题最终可能比外部黑客攻击更具破坏性。
除了帐户名和密码外,Amazon 还提供了可选的保护层。AWS 多因子身份验证选项要求提供一个由您的小型硬件设备生成的六位数代码。该代码会频繁变化,因此即便一个恶意用户获取了您的帐户名和密码,他(她)仍然无法通过 AWS 管理控制台登录您的帐户。
保护实例管理
使用 AWS 工具管理您的帐户和 EC2 实例仅仅是 AWS 上 ArcGIS 管理的一个方面。设置云部署的另一部分是,登录您的 EC2 实例以授权或升级软件、运行随 ArcGIS Enterprise 一同安装的工具、传输数据、配置应用程序以及添加登录帐户。
使用您通过密钥对文件检索的随机生成的密码,以计算机管理员的身份初始登录到 Microsoft Windows EC2 实例。将密钥对文件保存在安全位置。然后,首次登录实例时,应将密码更改为便于记忆的密码。记下密码或将密码以明文形式存储在本地计算机上都不安全。
提示:
选择一个符合 Microsoft Windows Server 以下复杂性要求的密码:
- 密码不应包含用户的账户名或用户全名中两个以上的连续字符。
- 密码长度至少应为八个字符。
- 密码应包含以下四种字符类别中的三种:
- 大写英文字母(A 到 Z)
- 小写英文字母(a 到 z)
- 10 个基本数字(0 到 9)
- 非字母数字字符(如 !、$、#、%)
登录实例后,您可选择使用 Windows 工具定义可登录的非管理员用户。
保护实例免受外部攻击
所有的 EC2 实例均使用安全组来防止不适当或未知的外部访问。您需要配置安全组以允许访问一系列 IP 地址、端口和协议。每次启动新的 EC2 实例时,您需要指定实例所属的安全组,从而确定有权访问该实例的人员。
默认情况下,新的安全组没有访问权限。要登录您的 EC2 实例并测试部署,至少需要允许远程访问和 HTTP 访问。有关说明,请参阅打开 ArcGIS 的 Amazon Elastic Compute Cloud 安全组。要想了解适合于 ArcGIS Enterprise on Amazon Web Services 的安全组设置,另请参阅常见安全组配置。
使用 Esri 工具部署站点时,还会创建和配置安全组。安全组上的必要端口会打开以允许站点运行,如果需要,您可使用 AWS 工具对该安全组设置进行微调。例如,如果想用 Windows 远程桌面登录其中一个实例,则需要打开端口 3389。
AWS 云安全包含了用于设计 EC2 安全架构的白皮书和最佳实践文档。这些指导准则可应用于 ArcGIS Enterprise on Amazon Web Services。