При защите вашей организации ArcGIS Enterprise важно, чтобы среда, в которой она запускается, тоже была защищена. Существует несколько оптимальных методов защиты, которые можно использовать, чтобы гарантировать наивысшую защищенность.
Установите минимальные права доступа для учетной записи реестра контейнеров
Учетная запись реестра контейнеров, которую вы указываете во время развертывания, должна иметь минимальный уровень прав доступа, связанных с ней, например, только для загрузки образов контейнеров. По умолчанию незашифрованные учетные данные этой учетной записи в Kubernetes хранятся в секрете и к ним осуществляется доступ. Рекомендуется не указывать учетную запись, имеющую права на внесение изменений, редактирование метаданных или администрирование реестра контейнеров.
Настройка параметров электронной почты
Вы можете настроить свою организацию для отправки уведомлений по электронной почте членам и администраторам в случае если они забыли пароль, при обноалении политики паролей и в других случаях. Ознакомьтесь с настройками электронной почты для получения более подрубных инструкций и нюансов.
Ограничение функциональных возможностей прокси портала
Портал используется в качестве прокси-сервера в нескольких скриптах. В результате, прокси-функциональные возможности портала могут быть неправильно применены для запуска атак Отказа в обслуживании (DoS) или Подделки запроса на стороне сервера (SSRF) против любого компьютера, к которому компьютер портала может получить доступ. Чтобы смягчить эту потенциальную уязвимость, настоятельно рекомендуется ограничить прокси-функциональные возможности портала использованием только подтвержденных веб-адресов. Для дополнительной информации и полных инструкций см. Ограничение прокси-функциональных возможностей портала.
Отключение анонимного доступа
Опция анонимного доступа к порталу управляет доступом к веб-сайту портала. Чтобы предотвратить доступ к веб-сайту портала для пользователя без предварительного ввода учетных данных на портале, рекомендуется отключить возможность анонимного доступа. Хотя отключение анонимного доступа не мешает анонимным пользователям получать доступ к общедоступному контенту, оно гарантирует, что любой пользователь не сможет выполнять на веб-сайте портала поиск контента или ресурсов, доступных для всех. Более подробно об отключении анонимного доступа к порталу ArcGIS Enterprise см. в разделе Отключение анонимного доступа.
Настройка доверенного подписанного центром сертификации (CA) SSL-сертификата
Настройка сертификата от доверенного центра авторизации является обычной мерой безопасности для веб-систем, избавляющей пользователей от получения предупреждений в браузере или непредвиденного поведения. Во время развертывания ваша организация должна предоставить или сгенерировать для использования контроллером входящего трафика сертификат TLS-идентификации. Во многих конфигурациях развертывания этот сертификат TLS предоставляется всем конечным пользователям. Это означает, что настоятельно рекомендуется, чтобы сертификат, назначенный контроллеру входящего трафика, был подписан доверенным центром сертификации (CA). Если во время развертывания был сгенерирован самозаверенный сертификат, его можно заменить, импортировав новый сертификат и назначив его контроллеру входящего трафика после создания организации.
Если центр сертификации, подписавший сертификат, является корпоративным центром сертификации или центром сертификации домена, а не известным центром сертификации, то общедоступный сертификат для этого центра сертификации также необходимо импортировать в качестве сертификата доверия. Это гарантирует, что ArcGIS Enterprise сможет проверять любой сертификат и доверять сертификату, подписанному этим ЦС.
Для получения инструкций о том, как импортировать идентификацию или сертификат доверия, см. раздел Импорт сертификатов.
Настройка HTTPS
При такой начальной настройке развертывания ArcGIS Enterprise ваше имя пользователя и пароль посылаются через HTTPS при любом запросе учетных данных. Это означает, что ваши учетные данные, отправляемые по внутренней сети или через Интернет, закодированы и не могут быть перехвачены. По умолчанию, вся коммуникация с порталом выполняется через HTTPS. .
При включении коммуникаций только по HTTPS, все внешние подключения, вне портала Enterprise, такие как сервисы ArcGIS Server и Open Geospatial Consortium (OGC), становятся защищенными, т.к. портал обращается к внешним веб-ресурсам только при наличии HTTPS. Иначе внешние ресурсы блокируются.
Однако могут быть ситуации, когда вам потребуется включить на портале и HTTP и HTTPS. Дополнительные сведения о принудительном использовании HTTP и HTTPS для обмена всеми данными в ArcGIS Enterprise, см. в разделе Настройка HTTPS.
Отключение API неадминистративных директорий
Из директории администратора вы можете отключить HTML-доступ как к ArcGIS Portal Directory /<context>/sharing/rest, так и к директории сервисов ArcGIS REST /<context>/rest/services. Эта возможность может позволить снизить возможности поиска элементов вашего портала, веб-карт, групп и других ресурсов в Интернет и осуществления запроса к ним через формы HTML. Отключение доступа к этим директориям также приведет к более качественной защите от межсайтовых атак (XSS).
Решение об отключении доступа к этим директориям необходимо принимать с учетом назначения портала и потребности пользователей и разработчиков в навигации по нему. Если вы отключите доступ к этим директориям, вам может потребоваться создать списки доступных операций или метаданные об элементах и сервисах, доступных на вашем портале.
Подробнее см. раздел Отключение API неадминистративных директорий.
Задание времени истечения токена
Токен в ArcGIS – это строка зашифрованной информации, содержащая имя пользователя, время окончания действия токена и другую специальную информацию. После передачи пользователю токена он может работать с порталом, до тех пор пока срок действия токена не истечет. По истечении этого срока пользователю придется снова вводить свои учетные данные.
Каждый раз, когда вы генерируете новый токен во время использования ArcGIS Enterprise, вы должны указать время истечения. Если вы этого не сделаете, будет использоваться значение срока действия по умолчанию.
Портал использует три типа токенов: токены ArcGIS, токены access OAuth и токены refresh OAuth. Каждый тип имеет свое значение по умолчанию.
Эти максимальные значения и значения по умолчанию не могут быть увеличены и могут быть уменьшены путем установки свойства maxTokenExpirationMinutes в директории портала ArcGIS. Значение свойства maxTokenExpirationMinutes применяется к каждому типу токена. Если это значение меньше максимального значения, но больше значения по умолчанию, будет затронуто только максимальное значение, а значение по умолчанию останется прежним. Если значение меньше максимального значения и значения по умолчанию, будут затронуты оба значения, а максимальное значение и значение по умолчанию будут соответствовать тому, что определено в maxTokenExpirationMinutes.
Для изменения значения времени истечения токена по умолчанию выполните действия, описанные в разделе Задание времени истечения токена по умолчанию.