Rechercher les pratiques conseillées en matière de sécurité

ArcGIS Enterprise on Kubernetes inclut un outil de script Python, kubernetesScan.py, qui recherche les problèmes de sécurité les plus fréquents. Il est inclus avec le script de configuration sous setup/tools/security. Cet outil recherche les problèmes en fonction de certaines pratiques conseillées en matière de configuration d’un environnement sécurisé pour ArcGIS Enterprise. Il analyse de nombreux critères et propriétés de configuration et les divise en trois niveaux de gravité : Critical, Important et Recommended. Le tableau suivant décrit ces critères :

IDGravitéPropriétéDescription

ES01

Critique

Restrictions de proxy

Détermine si la capacité de proxy du portail est restreinte. Par défaut, le serveur proxy du portail est ouvert à n'importe quelle URL. Afin de réduire les risques liés aux attaques par déni de service ou de fausse requête côté serveur, il est recommandé de restreindre la capacité de proxy du portail aux adresses Web approuvées.

ES02

Critique

Filtrage du contenu Web

Génère une liste de services d’entités où la propriété de filtrage du contenu Web est désactivée. La désactivation de cette propriété permet à un utilisateur de saisir du texte dans les champs en entrée, ce qui expose le service à des attaques XSS (Cross-Site Scripting) potentielles. Cette propriété est activée par défaut et ne doit pas être désactivée, sauf si des entités ou attributs HTML non pris en charge sont requis.

ES03

Important

Répertoires des services d’entreprise

Détermine si les répertoires des services d’entreprise sont accessibles via un navigateur Web. Sauf si les utilisateurs s'en servent activement pour rechercher des services, cette fonctionnalité doit être désactivée pour limiter le risque que vos services soient explorés, repérés dans une recherche Web ou interrogés via des formulaires HTML. Vous renforcez ainsi également la protection contre les attaques par exécution de scripts de site à site (XSS).

ES04

Important

Communication Web

Détermine si le protocole HTTPS est activé pour ArcGIS Enterprise. Afin d’empêcher l’interception de communications, il est recommandé de configurer ArcGIS Enterprise et le serveur Web hébergeant le proxy inverse ou ArcGIS Web Adaptor (le cas échéant) pour la mise en œuvre du chiffrement SSL.

ES05

Recommandé

Connexion à un compte intégré

Détermine si les utilisateurs peuvent cliquer sur le bouton Create An Account (Créer un compte) sur la page de connexion de l’organisation afin de créer un compte intégré. Si vous utilisez des comptes d’organisation ou souhaitez créer tous les comptes manuellement, désactivez cette option.

ES06

Recommandé

Accès anonyme

Détermine si l’accès anonyme est autorisé. Pour empêcher un utilisateur d’accéder à du contenu sans fournir au préalable d’informations d’identification, il est recommandé de configurer l’organisation de telle sorte que l’accès anonyme soit désactivé.

ES07

Recommandé

Magasin d’identités LDAP

Si l’organisation est configurée avec un magasin d’identités LDAP, détermine si la communication chiffrée est utilisée. Il est recommandé d’utiliser LDAPS pour l’URL LDAP des utilisateurs et des groupes.

ES08

Recommandé

Certificat TLS du contrôleur d’entrée réseau

Détermine si un certificat auto-signé est utilisé par le contrôleur d’entrée réseau. Pour réduire les avertissements du navigateur Web ou tout autre comportement inattendu de la part de clients qui communiquent avec le portail, il est recommandé d’importer et d’utiliser un certificat TLS signé par une autorité de certification lié au contrôleur d’entrée réseau.

ES09

Recommandé

Requêtes entre domaines

Détermine si les requêtes entre domaines (CORS) sont restreintes. Pour réduire la probabilité qu’une application inconnue accède à un élément de portail partagé, il est recommandé de restreindre les requêtes entre domaines aux applications hébergées uniquement dans des domaines approuvés.

ES10

Critique

URL administrative de serveur fédéré

Détermine si l’URL d’administrateur du serveur fédéré est accessible par le portail et si le certificat TLS utilisé dans cette URL est fiable. Si l’URL est inaccessible ou si le certificat n’est pas approuvé, plusieurs fonctions et opérations du portail échoueront.

ES11

Recommandé

URL de services de serveur fédéré

Détermine si l’URL des services de votre serveur fédéré est accessible par le portail et si le certificat SSL utilisé dans cette URL est approuvé. Si l’URL est inaccessible ou si le certificat n’est pas approuvé, le portail fonctionnera toujours mais certaines opérations du portail échoueront.

ES12

Recommandé

Contenu public

Si l’organisation est configurée de telle façon que les membres ne puissent pas partager le contenu publiquement, les éléments qui sont toujours partagés avec Everyone (Tout le monde) sont répertoriés.

ES13

Important

Espace de travail dynamique

Génère une liste de services dans lesquels la base de données est accessible via un espace de travail dynamique. En cas de protection inappropriée, cela peut exposer la base de données/l’espace de travail à un accès par des tiers malveillants via REST. Les espaces de travail dynamiques doivent être activés uniquement si le service et les fonctionnalités de couche/d'espace de travail dynamique sont conçus pour être activement utilisés dans une application Web. Dans ce cas, il est important de s'assurer que la connexion à une base de données utilisée par le service de carte pour se connecter à l'espace de travail/la base de données dispose des privilèges minimum requis pour l'application, par exemple, un accès en lecture seule uniquement aux tables supplémentaires qui sont requises au sein de l'espace de travail.

ES14

Recommandé

Autorisations des services d'entités

Renvoie une liste de services d’entités dont les opérations de mise à jour ou de suppression sont activées et ouvertes à l’accès anonyme. Cela permet de modifier ou de supprimer les données des services d'entités sans authentification.

ES15

Important

Paramètres de configuration SAML

Si l’organisation est configurée pour utiliser l’authentification SAML, détermine si les assertions chiffrées et les demandes signées sont activées. Si le fournisseur d’identité le permet, il est recommandé que vous configuriez le portail pour exiger des assertions chiffrées et des demandes signées.