ArcGIS Enterprise on Kubernetes umfasst das Python-Skriptwerkzeug kubernetesScan.py, mit dem das Portal auf allgemeine Sicherheitsprobleme überprüft wird. Es ist im Setup-Skript unter setup/tools/security enthalten. Das Werkzeug überprüft basierend auf bewährten Methoden zum Konfigurieren einer sicheren Umgebung für ArcGIS Enterprise, ob Probleme vorliegen. Es analysiert zahlreiche Kriterien und Konfigurationseigenschaften und unterteilt sie in drei Schweregrade: Critical, Important und Recommended. In der folgenden Tabelle werden diese Kriterien beschrieben:
ID | Schweregrad | Eigenschaft | Beschreibung |
---|---|---|---|
ES01 | Kritisch | Proxy-Beschränkungen | Legt fest, ob die Proxy-Funktion des Portals eingeschränkt ist. Der Proxy-Server des Portals ist standardmäßig für jede URL geöffnet. Um das Risiko von DoS- und SSRF-Angriffen (Denial of Service und Server Side Request Forgery) zu verringern, wird empfohlen, die Proxy-Funktion des Portals auf genehmigte Webadressen zu beschränken. |
ES02 | Kritisch | Filtern von Webinhalten | Erstellt eine Liste der Feature-Services, in denen die Eigenschaft zum Filtern von Webinhalten deaktiviert ist. Ist diese Eigenschaft deaktiviert, kann der Benutzer beliebigen Text in die Eingabefelder eingeben, wodurch der Service potenziellen Cross-Site-Scripting-Angriffen (XSS-Angriffen) ausgesetzt wird. Diese Eigenschaft ist standardmäßig aktiviert und sollte nur dann deaktiviert werden, wenn nicht unterstützte HTML-Entitäten oder -Attribute erforderlich sind. |
ES03 | Wichtig | Enterprise-Services-Verzeichnisse | Legt fest, ob der Zugriff auf die Enterprise-Services-Verzeichnisse über einen Webbrowser zulässig ist. Um möglichst zu vermeiden, dass Ihre Services in einem Browser gelesen, in einer Internetsuche gefunden oder über HTML-Formulare abgefragt werden, sollte das Verzeichnis deaktiviert werden – es sei denn, es wird aktiv für die Suche nach Services durch die Benutzer verwendet. Dies bietet zusätzlichen Schutz vor Cross-Site-Scripting-(XSS-)Angriffen. |
ES04 | Wichtig | Web-Kommunikation | Legt fest, ob HTTPS für ArcGIS Enterprise aktiviert ist. Um zu verhindern, dass Kommunikation abgefangen wird, sollten Sie ArcGIS Enterprise und den Webserver, auf dem der Reverseproxy oder ArcGIS Web Adaptor (sofern installiert) gehostet wird, so konfigurieren, dass die SSL-Verschlüsselung erzwungen wird. |
ES05 | Empfohlen | Anmeldung für integriertes Konto | Legt fest, ob Benutzer auf der Anmeldeseite der Organisation auf die Schaltfläche Konto erstellen klicken können, um ein integriertes Konto zu erstellen. Deaktivieren Sie diese Funktion, wenn Sie organisationsspezifische Konten verwenden oder alle Konten manuell erstellen möchten. |
ES06 | Empfohlen | Anonymer Zugriff | Legt fest, ob der anonyme Zugriff zulässig ist. Um zu verhindern, dass Benutzer auf Inhalte zugreifen, ohne zuerst Anmeldeinformationen anzugeben, empfiehlt es sich, den anonymen Zugriff für die Organisation zu deaktivieren. |
ES07 | Empfohlen | LDAP-Identitätsspeicher | Wenn die Organisation mit einem LDAP-Identitätsspeicher konfiguriert ist, wird damit angegeben, ob verschlüsselte Kommunikation verwendet wird. Für die LDAP-URL für Benutzer und Gruppen empfiehlt sich die Verwendung von LDAPS. |
ES08 | Empfohlen | TLS-Zertifikat des Ingress-Controllers | Legt fest, ob ein selbstsigniertes Zertifikat vom Ingress-Controller verwendet wird. Zur Reduzierung von Webbrowser-Warnungen und anderen unerwarteten Verhaltensweisen von Clients, die mit dem Portal kommunizieren, wird empfohlen, ein von einer Zertifizierungsstelle signiertes TLS-Zertifikat zu verwenden, das an den Ingress-Controller gebunden ist. |
ES09 | Empfohlen | Domänenübergreifende Anforderungen | Legt fest, ob domänenübergreifende Anforderungen (CORS) uneingeschränkt sind. Um die Möglichkeit des Zugriffs einer unbekannten Anwendung auf ein freigegebenes Portal zu reduzieren, empfiehlt es sich, domänenübergreifende Anforderungen ausschließlich auf Anwendungen zu beschränken, die in vertrauenswürdigen Domänen gehostet werden. |
ES10 | Kritisch | Verwaltungs-URL des Verbundservers | Legt fest, ob die Verwaltungs-URL Ihres Verbundservers über das Portal erreichbar und ob das in dieser URL verwendete TLS-Zertifikat vertrauenswürdig ist. Wenn sie weder vertrauenswürdig noch erreichbar ist, können viele Portal-Funktionen und -Vorgänge nicht ausgeführt werden. |
ES11 | Empfohlen | Services-URL des Verbundservers | Legt fest, ob die Services-URL Ihres Verbundservers über das Portal erreichbar ist und das in dieser URL verwendete SSL-Zertifikat vertrauenswürdig ist. Wenn sie weder vertrauenswürdig noch erreichbar ist, funktioniert das Portal weiterhin, einige Portal-Vorgänge können jedoch möglicherweise nicht ausgeführt werden. |
ES12 | Empfohlen | Öffentliche Inhalte | Wenn die Organisation so konfiguriert ist, dass Mitglieder keine Inhalte öffentlich freigeben können, werden hier alle Elemente aufgeführt, die dennoch für Alle freigegeben sind. |
ES13 | Wichtig | Dynamischer Workspace | Erstellt eine Liste der Services, auf deren Datenbanken über einen dynamischen Workspace zugegriffen werden kann. Ohne angemessenen Schutz ist die Datenbank/der Workspace dem Zugriff böswilliger Dritter über REST ausgesetzt. Dynamische Workspaces sollten nur dann aktiviert werden, wenn der Service und die dynamische Layer-/Workspacefunktion für die aktive Nutzung in einer Webanwendung vorgesehen ist. In diesen Fällen sollte unbedingt sichergestellt werden, dass die vom Kartenservice verwendete Datenbankverbindung für die Verbindung mit dem Workspace bzw. der Datenbank mindestens über die für die Anwendung erforderlichen Berechtigungen verfügt, beispielsweise schreibgeschützten Zugriff ausschließlich auf diejenigen zusätzlichen Tabellen im Workspace, die benötigt werden. |
ES14 | Empfohlen | Berechtigungen für Feature-Services | Listet Feature-Services auf, bei denen Aktualisierungs- oder Löschoperationen aktiviert und die für anonymen Zugriff freigegeben sind. Dadurch können die Feature-Service-Daten ohne Authentifizierung geändert oder gelöscht werden. |
ES15 | Wichtig | SAML-Konfigurationseinstellungen | Wenn die Organisation für die Verwendung der SAML-Authentifizierung konfiguriert ist, legt diese Einstellung fest, ob verschlüsselte Assertions und signierte Anforderungen aktiviert sind. Insofern vom Identity-Provider unterstützt, wird empfohlen, das Portal so zu konfigurieren, dass sowohl verschlüsselte Assertions als auch signierte Anforderungen erforderlich sind. |