Проверка на наличие рекомендаций по безопасности

ArcGIS Enterprise on Kubernetes включает инструмент-скрипт Python kubernetesScan.py, который проверяет наличие некоторых часто встречающихся проблем в системе безопасности. Он включен в скрипт установки в setup/tools/security. Инструмент проверяет наличие проблем на основе оптимальных методов настройки безопасной среды для ArcGIS Enterprise. Он анализирует множество критериев и параметров настройки и разделяет их на три уровня: Critical, Important и Recommended. Эти критерии описаны в таблице ниже:

IDВажностьСвойствоОписание

ES01

Критический

Ограничение прокси

Определяет, ограничена ли прокси-функция портала. По умолчанию прокси-сервер портала открыт для любого URL. Чтобы снизить вероятность Denial of Service (DoS) или Server Side Request Forgery (SSRF) атак, рекомендуется ограничить прокси-функцию портала списком доверенных веб-адресов.

ES02

Критический

Фильтр веб-ресурсов

Генерирует список сервисов объектов, в которых отключено свойство фильтрации веб-ресурсов. Отключение этого свойства позволяет пользователю вводить любой текст во входные поля, что делает данный сервис уязвимым для потенциальных межсайтовых атак (XSS). По умолчанию это свойство включено, и его не следует отключать, за исключением случаев, когда требуются не поддерживаемые HTML записи или атрибуты.

ES03

Важный

Директории сервисов Enterprise

Определяет, доступны ли директории сервисов Enterprise через веб-браузер. Эта возможность должна быть отключена, чтобы снизить вероятность просмотра ваших сервисов и выполнения запросов к ним через формы HTML, за исключением случаев, когда она активно используется пользователями для поиска сервисов. Кроме того, это обеспечивает более качественную защиту от межсайтовых атак (XSS).

ES04

Важный

Веб-коммуникация

Определяет, включено ли использование HTTPS для ArcGIS Enterprise. Для предотвращения перехвата сообщений рекомендуется настроить ArcGIS Enterprise и веб-сервер с обратным прокси или ArcGIS Web Adaptor (если он установлен) на обязательное использование шифрования SSL.

ES05

Рекомендуется

Вход с помощью встроенной учетной записи

Определяет, можно ли использовать кнопку Создать учетную запись, расположенную на странице авторизации в организации, чтобы создать встроенную учетную запись. Если вы используете корпоративные учетные записи или хотите создавать учетные записи вручную, отключите эту опцию.

ES06

Рекомендуется

Анонимный доступ

Определяет, допускается ли анонимный доступ. Чтобы предотвратить доступ к ресурсам для любого пользователя без предварительного ввода учетных данных, рекомендуется настроить организацию таким образом, чтобы отключить возможность анонимного доступа.

ES07

Рекомендуется

Хранилище аутентификаций LDAP

Если ваша организация настроена с хранилищем аутентификаций LDAP, это определяет, будет ли использоваться шифрованное соединение. Рекомендуется использовать LDAPS для LDAP URL для пользователей и групп.

ES08

Рекомендуется

Сертификат TLS входящего контроллера

Определяет, использует ли входящий контроллер самозаверенный сертификат. Чтобы уменьшить количество предупреждений веб-браузера или других непредвиденных действий клиентов, работающих с порталом, рекомендуется импортировать и использовать подписанный центром сертификации сертификат TLS, привязанный ко входящему контроллеру.

ES09

Рекомендуется

Междоменные запросы

Определяет, будут ли междоменные (CORS) запросы неограниченными. Чтобы уменьшить вероятность того, что неизвестное приложение получит доступ к опубликованному элементу портала, рекомендуется ограничить междоменные запросы приложениями, размещенными только в доверенных доменах.

ES10

Критический

Административный URL-адрес интегрированного сервера

Определяет, доступен ли порталу URL-адрес администратора интегрированного сервера и является ли сертификат TLS, используемый в этом URL-адресе, доверенным. Если сертификат не является доверенным, а URL-адрес не доступен, то многие функции портала и многие операции работать или выполняться не будут.

ES11

Рекомендуется

URL-адрес сервисов интегрированного сервера

Определяет, доступен ли порталу URL-адрес сервиса интегрированного сервера, и является ли сертификат SSL, используемый в этом URL-адресе, доверенным. Если URL-адрес не доступен, а сертификат не является доверенным, портал будет работать, но некоторые операции выполняться не будут.

ES12

Рекомендуется

Общедоступные ресурсы

Если ваша организация настроена так, чтобы участники не могли публиковать ресурсы для всех, то будет выведен список всех элементов, которые все еще опубликованы Для всех.

ES13

Важный

Динамическая рабочая область

Генерирует список сервисов, в которых база данных доступна через динамическую рабочую область. Без должной защиты база данных/рабочая область могут оказаться доступными для недобросовестных третьих лиц через REST. Динамические рабочие области следует включать, только если в веб-приложении предполагается активное использование этого сервиса и функциональных возможностей динамического слоя/рабочей области. В таких случаях важно, чтобы подключение баз данных, используемое картографическим сервисом для подключения к рабочей области/базе данных, имело минимально возможные права доступа, необходимые для данного приложения; например, с правами доступа только чтение будет возможен доступ только к тем дополнительным таблицам рабочей области, которые необходимы.

ES14

Рекомендуется

Права доступа в сервисе объектов

Возвращает список сервисов объектов, в которых операции обновления и удаления активированы и открыты для анонимного доступа. В таких сервисах объектов данные можно изменить или удалить без прохождения процедуры аутентификации.

ES15

Важный

Параметры конфигурации SAML

Если ваша организация настроена на использование аутентификации SAML, это определяет, включены ли зашифрованные утверждения и подписанные запросы. Если это поддерживается провайдером идентификации, рекомендуется настроить портал так, чтобы он требовал как зашифрованные утверждения, так и подписанные запросы.