Überprüfen auf Sicherheitsempfehlungen

ArcGIS Enterprise on Kubernetes umfasst das Python-Skriptwerkzeug kubernetesScan.py, mit dem das Portal auf allgemeine Sicherheitsprobleme überprüft wird. Es ist im Setup-Skript unter setup/tools/security enthalten. Das Werkzeug überprüft basierend auf bewährten Methoden zum Konfigurieren einer sicheren Umgebung für ArcGIS Enterprise, ob Probleme vorliegen. Es analysiert zahlreiche Kriterien und Konfigurationseigenschaften und unterteilt sie in drei Schweregrade: Critical, Important und Recommended. In der folgenden Tabelle werden diese Kriterien beschrieben:

IDSchweregradEigenschaftBeschreibung

ES01

Kritisch

Proxy-Beschränkungen

Legt fest, ob die Proxy-Funktion des Portals eingeschränkt ist. Der Proxy-Server des Portals ist standardmäßig für jede URL geöffnet. Um das Risiko von DoS- und SSRF-Angriffen (Denial of Service und Server Side Request Forgery) zu verringern, wird empfohlen, die Proxy-Funktion des Portals auf genehmigte Webadressen zu beschränken.

ES02

Kritisch

Filtern von Webinhalten

Erstellt eine Liste der Feature-Services, in denen die Eigenschaft zum Filtern von Webinhalten deaktiviert ist. Ist diese Eigenschaft deaktiviert, kann der Benutzer beliebigen Text in die Eingabefelder eingeben, wodurch der Service potenziellen Cross-Site-Scripting-Angriffen (XSS-Angriffen) ausgesetzt wird. Diese Eigenschaft ist standardmäßig aktiviert und sollte nur dann deaktiviert werden, wenn nicht unterstützte HTML-Entitäten oder -Attribute erforderlich sind.

ES03

Wichtig

Enterprise-Services-Verzeichnisse

Legt fest, ob der Zugriff auf die Enterprise-Services-Verzeichnisse über einen Webbrowser zulässig ist. Um möglichst zu vermeiden, dass Ihre Services in einem Browser gelesen, in einer Internetsuche gefunden oder über HTML-Formulare abgefragt werden, sollte das Verzeichnis deaktiviert werden – es sei denn, es wird aktiv für die Suche nach Services durch die Benutzer verwendet. Dies bietet zusätzlichen Schutz vor Cross-Site-Scripting-(XSS-)Angriffen.

ES04

Wichtig

Web-Kommunikation

Legt fest, ob HTTPS für ArcGIS Enterprise aktiviert ist. Um zu verhindern, dass Kommunikation abgefangen wird, sollten Sie ArcGIS Enterprise und den Webserver, auf dem der Reverseproxy oder ArcGIS Web Adaptor (sofern installiert) gehostet wird, so konfigurieren, dass die SSL-Verschlüsselung erzwungen wird.

ES05

Empfohlen

Anmeldung für integriertes Konto

Legt fest, ob Benutzer auf der Anmeldeseite der Organisation auf die Schaltfläche Konto erstellen klicken können, um ein integriertes Konto zu erstellen. Deaktivieren Sie diese Funktion, wenn Sie organisationsspezifische Konten verwenden oder alle Konten manuell erstellen möchten.

ES06

Empfohlen

Anonymer Zugriff

Legt fest, ob der anonyme Zugriff zulässig ist. Um zu verhindern, dass Benutzer auf Inhalte zugreifen, ohne zuerst Anmeldeinformationen anzugeben, empfiehlt es sich, den anonymen Zugriff für die Organisation zu deaktivieren.

ES07

Empfohlen

LDAP-Identitätsspeicher

Wenn die Organisation mit einem LDAP-Identitätsspeicher konfiguriert ist, wird damit angegeben, ob verschlüsselte Kommunikation verwendet wird. Für die LDAP-URL für Benutzer und Gruppen empfiehlt sich die Verwendung von LDAPS.

ES08

Empfohlen

TLS-Zertifikat des Ingress-Controllers

Legt fest, ob ein selbstsigniertes Zertifikat vom Ingress-Controller verwendet wird. Zur Reduzierung von Webbrowser-Warnungen und anderen unerwarteten Verhaltensweisen von Clients, die mit dem Portal kommunizieren, wird empfohlen, ein von einer Zertifizierungsstelle signiertes TLS-Zertifikat zu verwenden, das an den Ingress-Controller gebunden ist.

ES09

Empfohlen

Domänenübergreifende Anforderungen

Legt fest, ob domänenübergreifende Anforderungen (CORS) uneingeschränkt sind. Um die Möglichkeit des Zugriffs einer unbekannten Anwendung auf ein freigegebenes Portal zu reduzieren, empfiehlt es sich, domänenübergreifende Anforderungen ausschließlich auf Anwendungen zu beschränken, die in vertrauenswürdigen Domänen gehostet werden.

ES10

Kritisch

Verwaltungs-URL des Verbundservers

Legt fest, ob die Verwaltungs-URL Ihres Verbundservers über das Portal erreichbar und ob das in dieser URL verwendete TLS-Zertifikat vertrauenswürdig ist. Wenn sie weder vertrauenswürdig noch erreichbar ist, können viele Portal-Funktionen und -Vorgänge nicht ausgeführt werden.

ES11

Empfohlen

Services-URL des Verbundservers

Legt fest, ob die Services-URL Ihres Verbundservers über das Portal erreichbar ist und das in dieser URL verwendete SSL-Zertifikat vertrauenswürdig ist. Wenn sie weder vertrauenswürdig noch erreichbar ist, funktioniert das Portal weiterhin, einige Portal-Vorgänge können jedoch möglicherweise nicht ausgeführt werden.

ES12

Empfohlen

Öffentliche Inhalte

Wenn die Organisation so konfiguriert ist, dass Mitglieder keine Inhalte öffentlich freigeben können, werden hier alle Elemente aufgeführt, die dennoch für Alle freigegeben sind.

ES13

Wichtig

Dynamischer Workspace

Erstellt eine Liste der Services, auf deren Datenbanken über einen dynamischen Workspace zugegriffen werden kann. Ohne angemessenen Schutz ist die Datenbank/der Workspace dem Zugriff böswilliger Dritter über REST ausgesetzt. Dynamische Workspaces sollten nur dann aktiviert werden, wenn der Service und die dynamische Layer-/Workspacefunktion für die aktive Nutzung in einer Webanwendung vorgesehen ist. In diesen Fällen sollte unbedingt sichergestellt werden, dass die vom Kartenservice verwendete Datenbankverbindung für die Verbindung mit dem Workspace bzw. der Datenbank mindestens über die für die Anwendung erforderlichen Berechtigungen verfügt, beispielsweise schreibgeschützten Zugriff ausschließlich auf diejenigen zusätzlichen Tabellen im Workspace, die benötigt werden.

ES14

Empfohlen

Berechtigungen für Feature-Services

Listet Feature-Services auf, bei denen Aktualisierungs- oder Löschoperationen aktiviert und die für anonymen Zugriff freigegeben sind. Dadurch können die Feature-Service-Daten ohne Authentifizierung geändert oder gelöscht werden.

ES15

Wichtig

SAML-Konfigurationseinstellungen

Wenn die Organisation für die Verwendung der SAML-Authentifizierung konfiguriert ist, legt diese Einstellung fest, ob verschlüsselte Assertions und signierte Anforderungen aktiviert sind. Insofern vom Identity-Provider unterstützt, wird empfohlen, das Portal so zu konfigurieren, dass sowohl verschlüsselte Assertions als auch signierte Anforderungen erforderlich sind.