ArcGIS Enterprise on Kubernetes には、いくつかの一般的なセキュリティ問題のスキャンを行う Python スクリプト ツール「kubernetesScan.py」があります。 setup/tools/security のセットアップ スクリプトに含まれています。 このツールは、ArcGIS Enterprise 用のセキュリティで保護された環境の構成のベスト プラクティスに基づき、問題をチェックします。 多数の基準と構成プロパティを分析して、Critical、Important、Recommended という 3 段階の重要度レベルに分割します。 これらの基準を次の表に示します。
| ID | 重要度 | プロパティ | 説明 |
|---|---|---|---|
ES01 | 重要 | プロキシ制限 | ポータルのプロキシ機能が制限されているかどうかを判断します。 デフォルトでは、ポータル プロキシ サーバーはどの URL にも開いています。 サービス拒否 (DoS) やサーバー サイド リクエスト フォージェリー (SSRF) 攻撃を受けるリスクを軽減するため、ポータルのプロキシ機能を、許可された Web アドレスに制限することをお勧めします。 |
ES02 | 重要 | Web コンテンツのフィルタリング | Web コンテンツのフィルタリングのプロパティが無効になっているフィーチャ サービスのリストを生成します。 このプロパティを無効にすると、ユーザーが入力フィールドにテキストを入力できるようになり、サービスがクロスサイト スクリプティング (XSS) 攻撃を受ける可能性があります。 デフォルトではこのプロパティは有効になっており、サポートされていない HTML エンティティまたは属性が必要にならない限り、無効にしないでください。 |
ES03 | 重要 | エンタープライズ サービス ディレクトリ | Web ブラウザーを通じてエンタープライズ サービス ディレクトリにアクセスできるかどうかを決定します。 ユーザーがサービスのサーチまたは検索のために積極的に使用している場合を除き、サービスの参照、Web サーチでのサービスの検索、または HTML フォームからのサービスの要求の機会を減らすために、無効にしてください。 無効化すると、クロスサイト スクリプティング (XSS) 攻撃から保護することもできます。 |
ES04 | 重要 | Web の通信 | ArcGIS Enterprise に対して HTTPS が有効かどうかを決定します。 あらゆる通信が傍受されないよう、ArcGIS Enterprise とリバース プロキシをホストする Web サーバー、または ArcGIS Web Adaptor (インストールされている場合) で SSL 暗号化を使用するよう構成することをお勧めします。 |
ES05 | 推奨 | 組み込みアカウントのサインアップ | ユーザーが組織のサインアップ ページで [アカウントの作成] ボタンをクリックして、組み込みアカウントを作成できるかどうかを決定します。 組織固有のアカウントを使用している場合や、すべてのアカウントを手動で作成する場合は、このオプションを無効にする必要があります。 |
ES06 | 推奨 | 匿名アクセス | 匿名アクセスが可能かどうかを判断します。 認証情報を入力していないユーザーがコンテンツにアクセスできないように、匿名アクセスを無効化して組織を構成することをお勧めします。 |
ES07 | 推奨 | LDAP アイデンティティ ストア | 組織が LDAP アイデンティティ ストアを使用して構成されている場合、このストアによって暗号化通信を使用するかどうかが決定されます。 ユーザーとグループの LDAP URL には、LDAPS を使用することをお勧めします。 |
ES08 | 推奨 | ingress コントローラーの TLS 証明書 | 自己署名証明書を ingress コントローラーで使用するかどうかを決定します。 ポータルと通信するクライアントの Web ブラウザーによる警告メッセージなどの予期しない動作を減らすには、ingress コントローラーにバインドされた CA 署名 TLS 証明書をインポートして使用することをお勧めします。 |
ES09 | 推奨 | クロス ドメイン リクエスト | クロス ドメイン (CORS) リクエストが制限されないかどうかを決定します。 未知のアプリケーションが共有ポータル アイテムにアクセスする可能性を減らすには、クロス ドメイン リクエストを信頼済みドメインでのみホストされているアプリケーションに制限することをお勧めします。 |
ES10 | 重要 | フェデレーション サーバーの管理 URL | フェデレーション サーバーの管理者 URL がポータルからアクセスできるかどうか、およびこの URL で使用されている TLS 証明書が信頼済みかどうかを決定します。 証明書が信頼済みでない場合や、ポータルからアクセスできない場合、多くのポータルの機能および操作は失敗します。 |
ES11 | 推奨 | フェデレーション サーバーのサービス URL | フェデレーション サーバーのサービス URL がポータルからアクセスできるかどうか、およびこの URL で使用されている SSL 証明書が信頼済みかどうかを決定します。 証明書が信頼済みでない場合や、ポータルからアクセスできない場合でも、ポータルは機能しますが、一部のポータル操作は失敗する可能性があります。 |
ES12 | 推奨 | パブリック コンテンツ | メンバーがコンテンツをパブリックに共有できないように組織が構成されている場合でも、[すべてのユーザー] と共有されているアイテムはすべて表示されます。 |
ES13 | 重要 | ダイナミック ワークスペース | ダイナミック ワークスペースを介してデータベースにアクセスできるサービスのリストを生成します。 適切な保護措置を取らない限り、これによってデータベース/ワークスペースが、REST 経由で悪意のある第三者によってアクセスされる可能性があります。 サービスおよびダイナミック レイヤー/ワークスペース機能が、Web アプリケーションでアクティブに使用するためのものである場合のみ、ダイナミック ワークスペースを有効にします。 この場合、マップ サービスがワークスペース/データベースに接続するために使用するデータベース接続では、たとえば、ワークスペース内に追加したテーブルのうち必要なテーブルのみに読み取り専用アクセスを付与するなど、アプリケーションに必要な最低限の権限だけが付与されていることを確認することが重要です。 |
ES14 | 推奨 | フィーチャ サービスの権限 | 更新または削除操作が有効になっており、匿名アクセスに開かれているフィーチャ サービスのリストを返します。 これにより、認証なしでフィーチャ サービスのデータを変更または削除できるようになります。 |
ES15 | 重要 | SAML 構成設定 | 組織が SAML 認証を使用するように構成されている場合、暗号化アサーションと署名付きリクエストを有効にするかどうかを決定します。 ID プロバイダーがサポートしている場合、暗号化アサーションと署名付きリクエストの両方を要求するようにポータルを構成することをお勧めします。 |