ArcGIS Enterprise on Kubernetes inclut un outil de script Python, kubernetesScan.py, qui recherche les problèmes de sécurité les plus fréquents. Il est inclus avec le script de configuration sous setup/tools/security. Cet outil recherche les problèmes en fonction de certaines pratiques conseillées en matière de configuration d’un environnement sécurisé pour ArcGIS Enterprise. Il analyse de nombreux critères et propriétés de configuration et les divise en trois niveaux de gravité : Critical, Important et Recommended. Le tableau suivant décrit ces critères :
| ID | Gravité | Propriété | Description |
|---|---|---|---|
ES01 | Critique | Restrictions de proxy | Détermine si la capacité de proxy du portail est restreinte. Par défaut, le serveur proxy du portail est ouvert à n'importe quelle URL. Afin de réduire les risques liés aux attaques par déni de service ou de fausse requête côté serveur, il est recommandé de restreindre la capacité de proxy du portail aux adresses Web approuvées. |
ES02 | Critique | Filtrage du contenu Web | Génère une liste de services d’entités où la propriété de filtrage du contenu Web est désactivée. La désactivation de cette propriété permet à un utilisateur de saisir du texte dans les champs en entrée, ce qui expose le service à des attaques XSS (Cross-Site Scripting) potentielles. Cette propriété est activée par défaut et ne doit pas être désactivée, sauf si des entités ou attributs HTML non pris en charge sont requis. |
ES03 | Important | Répertoires des services d’entreprise | Détermine si les répertoires des services d’entreprise sont accessibles via un navigateur Web. Sauf si les utilisateurs s'en servent activement pour rechercher des services, cette fonctionnalité doit être désactivée pour limiter le risque que vos services soient explorés, repérés dans une recherche Web ou interrogés via des formulaires HTML. Vous renforcez ainsi également la protection contre les attaques par exécution de scripts de site à site (XSS). |
ES04 | Important | Communication Web | Détermine si le protocole HTTPS est activé pour ArcGIS Enterprise. Afin d’empêcher l’interception de communications, il est recommandé de configurer ArcGIS Enterprise et le serveur Web hébergeant le proxy inverse ou ArcGIS Web Adaptor (le cas échéant) pour la mise en œuvre du chiffrement SSL. |
ES05 | Recommandé | Connexion à un compte intégré | Détermine si les utilisateurs peuvent cliquer sur le bouton Create An Account (Créer un compte) sur la page de connexion de l’organisation afin de créer un compte intégré. Si vous utilisez des comptes d’organisation ou souhaitez créer tous les comptes manuellement, désactivez cette option. |
ES06 | Recommandé | Accès anonyme | Détermine si l’accès anonyme est autorisé. Pour empêcher un utilisateur d’accéder à du contenu sans fournir au préalable d’informations d’identification, il est recommandé de configurer l’organisation de telle sorte que l’accès anonyme soit désactivé. |
ES07 | Recommandé | Magasin d’identités LDAP | Si l’organisation est configurée avec un magasin d’identités LDAP, détermine si la communication chiffrée est utilisée. Il est recommandé d’utiliser LDAPS pour l’URL LDAP des utilisateurs et des groupes. |
ES08 | Recommandé | Certificat TLS du contrôleur d’entrée réseau | Détermine si un certificat auto-signé est utilisé par le contrôleur d’entrée réseau. Pour réduire les avertissements du navigateur Web ou tout autre comportement inattendu de la part de clients qui communiquent avec le portail, il est recommandé d’importer et d’utiliser un certificat TLS signé par une autorité de certification lié au contrôleur d’entrée réseau. |
ES09 | Recommandé | Requêtes entre domaines | Détermine si les requêtes entre domaines (CORS) sont restreintes. Pour réduire la probabilité qu’une application inconnue accède à un élément de portail partagé, il est recommandé de restreindre les requêtes entre domaines aux applications hébergées uniquement dans des domaines approuvés. |
ES10 | Critique | URL administrative de serveur fédéré | Détermine si l’URL d’administrateur du serveur fédéré est accessible par le portail et si le certificat TLS utilisé dans cette URL est fiable. Si l’URL est inaccessible ou si le certificat n’est pas approuvé, plusieurs fonctions et opérations du portail échoueront. |
ES11 | Recommandé | URL de services de serveur fédéré | Détermine si l’URL des services de votre serveur fédéré est accessible par le portail et si le certificat SSL utilisé dans cette URL est approuvé. Si l’URL est inaccessible ou si le certificat n’est pas approuvé, le portail fonctionnera toujours mais certaines opérations du portail échoueront. |
ES12 | Recommandé | Contenu public | Si l’organisation est configurée de telle façon que les membres ne puissent pas partager le contenu publiquement, les éléments qui sont toujours partagés avec Everyone (Tout le monde) sont répertoriés. |
ES13 | Important | Espace de travail dynamique | Génère une liste de services dans lesquels la base de données est accessible via un espace de travail dynamique. En cas de protection inappropriée, cela peut exposer la base de données/l’espace de travail à un accès par des tiers malveillants via REST. Les espaces de travail dynamiques doivent être activés uniquement si le service et les fonctionnalités de couche/d'espace de travail dynamique sont conçus pour être activement utilisés dans une application Web. Dans ce cas, il est important de s'assurer que la connexion à une base de données utilisée par le service de carte pour se connecter à l'espace de travail/la base de données dispose des privilèges minimum requis pour l'application, par exemple, un accès en lecture seule uniquement aux tables supplémentaires qui sont requises au sein de l'espace de travail. |
ES14 | Recommandé | Autorisations des services d'entités | Renvoie une liste de services d’entités dont les opérations de mise à jour ou de suppression sont activées et ouvertes à l’accès anonyme. Cela permet de modifier ou de supprimer les données des services d'entités sans authentification. |
ES15 | Important | Paramètres de configuration SAML | Si l’organisation est configurée pour utiliser l’authentification SAML, détermine si les assertions chiffrées et les demandes signées sont activées. Si le fournisseur d’identité le permet, il est recommandé que vous configuriez le portail pour exiger des assertions chiffrées et des demandes signées. |
Vous avez un commentaire à formuler concernant cette rubrique ?