セキュリティのベスト プラクティスを実現するためのスキャン

ArcGIS Enterprise on Kubernetes には、いくつかの一般的なセキュリティ問題のスキャンを行う Python スクリプト ツール「kubernetesScan.py」があります。 setup/tools/security のセットアップ スクリプトに含まれています。 このツールは、ArcGIS Enterprise 用のセキュリティで保護された環境の構成のベスト プラクティスに基づき、問題をチェックします。 多数の基準と構成プロパティを分析して、CriticalImportantRecommended という 3 段階の重要度レベルに分割します。 これらの基準を次の表に示します。

ID重要度プロパティ説明

ES01

重要

プロキシ制限

ポータルのプロキシ機能が制限されているかどうかを判断します。 デフォルトでは、ポータル プロキシ サーバーはどの URL にも開いています。 サービス拒否 (DoS) やサーバー サイド リクエスト フォージェリー (SSRF) 攻撃を受けるリスクを軽減するため、ポータルのプロキシ機能を、許可された Web アドレスに制限することをお勧めします。

ES02

重要

Web コンテンツのフィルタリング

Web コンテンツのフィルタリングのプロパティが無効になっているフィーチャ サービスのリストを生成します。 このプロパティを無効にすると、ユーザーが入力フィールドにテキストを入力できるようになり、サービスがクロスサイト スクリプティング (XSS) 攻撃を受ける可能性があります。 デフォルトではこのプロパティは有効になっており、サポートされていない HTML エンティティまたは属性が必要にならない限り、無効にしないでください。

ES03

重要

エンタープライズ サービス ディレクトリ

Web ブラウザーを通じてエンタープライズ サービス ディレクトリにアクセスできるかどうかを決定します。 ユーザーがサービスのサーチまたは検索のために積極的に使用している場合を除き、サービスの参照、Web サーチでのサービスの検索、または HTML フォームからのサービスの要求の機会を減らすために、無効にしてください。 無効化すると、クロスサイト スクリプティング (XSS) 攻撃から保護することもできます。

ES04

重要

Web の通信

ArcGIS Enterprise に対して HTTPS が有効かどうかを決定します。 あらゆる通信が傍受されないよう、ArcGIS Enterprise とリバース プロキシをホストする Web サーバー、または ArcGIS Web Adaptor (インストールされている場合) で SSL 暗号化を使用するよう構成することをお勧めします。

ES05

推奨

組み込みアカウントのサインアップ

ユーザーが組織のサインアップ ページで [アカウントの作成] ボタンをクリックして、組み込みアカウントを作成できるかどうかを決定します。 組織固有のアカウントを使用している場合や、すべてのアカウントを手動で作成する場合は、このオプションを無効にする必要があります。

ES06

推奨

匿名アクセス

匿名アクセスが可能かどうかを判断します。 認証情報を入力していないユーザーがコンテンツにアクセスできないように、匿名アクセスを無効化して組織を構成することをお勧めします。

ES07

推奨

LDAP アイデンティティ ストア

組織が LDAP アイデンティティ ストアを使用して構成されている場合、このストアによって暗号化通信を使用するかどうかが決定されます。 ユーザーとグループの LDAP URL には、LDAPS を使用することをお勧めします。

ES08

推奨

ingress コントローラーの TLS 証明書

自己署名証明書を ingress コントローラーで使用するかどうかを決定します。 ポータルと通信するクライアントの Web ブラウザーによる警告メッセージなどの予期しない動作を減らすには、ingress コントローラーにバインドされた CA 署名 TLS 証明書をインポートして使用することをお勧めします。

ES09

推奨

クロス ドメイン リクエスト

クロス ドメイン (CORS) リクエストが制限されないかどうかを決定します。 未知のアプリケーションが共有ポータル アイテムにアクセスする可能性を減らすには、クロス ドメイン リクエストを信頼済みドメインでのみホストされているアプリケーションに制限することをお勧めします。

ES10

重要

フェデレーション サーバーの管理 URL

フェデレーション サーバーの管理者 URL がポータルからアクセスできるかどうか、およびこの URL で使用されている TLS 証明書が信頼済みかどうかを決定します。 証明書が信頼済みでない場合や、ポータルからアクセスできない場合、多くのポータルの機能および操作は失敗します。

ES11

推奨

フェデレーション サーバーのサービス URL

フェデレーション サーバーのサービス URL がポータルからアクセスできるかどうか、およびこの URL で使用されている SSL 証明書が信頼済みかどうかを決定します。 証明書が信頼済みでない場合や、ポータルからアクセスできない場合でも、ポータルは機能しますが、一部のポータル操作は失敗する可能性があります。

ES12

推奨

パブリック コンテンツ

メンバーがコンテンツをパブリックに共有できないように組織が構成されている場合でも、[すべてのユーザー] と共有されているアイテムはすべて表示されます。

ES13

重要

ダイナミック ワークスペース

ダイナミック ワークスペースを介してデータベースにアクセスできるサービスのリストを生成します。 適切な保護措置を取らない限り、これによってデータベース/ワークスペースが、REST 経由で悪意のある第三者によってアクセスされる可能性があります。 サービスおよびダイナミック レイヤー/ワークスペース機能が、Web アプリケーションでアクティブに使用するためのものである場合のみ、ダイナミック ワークスペースを有効にします。 この場合、マップ サービスがワークスペース/データベースに接続するために使用するデータベース接続では、たとえば、ワークスペース内に追加したテーブルのうち必要なテーブルのみに読み取り専用アクセスを付与するなど、アプリケーションに必要な最低限の権限だけが付与されていることを確認することが重要です。

ES14

推奨

フィーチャ サービスの権限

更新または削除操作が有効になっており、匿名アクセスに開かれているフィーチャ サービスのリストを返します。 これにより、認証なしでフィーチャ サービスのデータを変更または削除できるようになります。

ES15

重要

SAML 構成設定

組織が SAML 認証を使用するように構成されている場合、暗号化アサーションと署名付きリクエストを有効にするかどうかを決定します。 ID プロバイダーがサポートしている場合、暗号化アサーションと署名付きリクエストの両方を要求するようにポータルを構成することをお勧めします。