ArcGIS Enterprise on Kubernetes включает инструмент-скрипт Python kubernetesScan.py, который проверяет наличие некоторых часто встречающихся проблем в системе безопасности. Он включен в скрипт установки в setup/tools/security. Инструмент проверяет наличие проблем на основе оптимальных методов настройки безопасной среды для ArcGIS Enterprise. Он анализирует множество критериев и параметров настройки и разделяет их на три уровня: Critical, Important и Recommended. Эти критерии описаны в таблице ниже:
ID | Важность | Свойство | Описание |
---|---|---|---|
ES01 | Критический | Ограничение прокси | Определяет, ограничена ли прокси-функция портала. По умолчанию прокси-сервер портала открыт для любого URL. Чтобы снизить вероятность Denial of Service (DoS) или Server Side Request Forgery (SSRF) атак, рекомендуется ограничить прокси-функцию портала списком доверенных веб-адресов. |
ES02 | Критический | Фильтр веб-ресурсов | Генерирует список сервисов объектов, в которых отключено свойство фильтрации веб-ресурсов. Отключение этого свойства позволяет пользователю вводить любой текст во входные поля, что делает данный сервис уязвимым для потенциальных межсайтовых атак (XSS). По умолчанию это свойство включено, и его не следует отключать, за исключением случаев, когда требуются не поддерживаемые HTML записи или атрибуты. |
ES03 | Важный | Директории сервисов Enterprise | Определяет, доступны ли директории сервисов Enterprise через веб-браузер. Эта возможность должна быть отключена, чтобы снизить вероятность просмотра ваших сервисов и выполнения запросов к ним через формы HTML, за исключением случаев, когда она активно используется пользователями для поиска сервисов. Кроме того, это обеспечивает более качественную защиту от межсайтовых атак (XSS). |
ES04 | Важный | Веб-коммуникация | Определяет, включено ли использование HTTPS для ArcGIS Enterprise. Для предотвращения перехвата сообщений рекомендуется настроить ArcGIS Enterprise и веб-сервер с обратным прокси или ArcGIS Web Adaptor (если он установлен) на обязательное использование шифрования SSL. |
ES05 | Рекомендуется | Вход с помощью встроенной учетной записи | Определяет, можно ли использовать кнопку Создать учетную запись, расположенную на странице авторизации в организации, чтобы создать встроенную учетную запись. Если вы используете корпоративные учетные записи или хотите создавать учетные записи вручную, отключите эту опцию. |
ES06 | Рекомендуется | Анонимный доступ | Определяет, допускается ли анонимный доступ. Чтобы предотвратить доступ к ресурсам для любого пользователя без предварительного ввода учетных данных, рекомендуется настроить организацию таким образом, чтобы отключить возможность анонимного доступа. |
ES07 | Рекомендуется | Хранилище аутентификаций LDAP | Если ваша организация настроена с хранилищем аутентификаций LDAP, это определяет, будет ли использоваться шифрованное соединение. Рекомендуется использовать LDAPS для LDAP URL для пользователей и групп. |
ES08 | Рекомендуется | Сертификат TLS входящего контроллера | Определяет, использует ли входящий контроллер самозаверенный сертификат. Чтобы уменьшить количество предупреждений веб-браузера или других непредвиденных действий клиентов, работающих с порталом, рекомендуется импортировать и использовать подписанный центром сертификации сертификат TLS, привязанный ко входящему контроллеру. |
ES09 | Рекомендуется | Междоменные запросы | Определяет, будут ли междоменные (CORS) запросы неограниченными. Чтобы уменьшить вероятность того, что неизвестное приложение получит доступ к опубликованному элементу портала, рекомендуется ограничить междоменные запросы приложениями, размещенными только в доверенных доменах. |
ES10 | Критический | Административный URL-адрес интегрированного сервера | Определяет, доступен ли порталу URL-адрес администратора интегрированного сервера и является ли сертификат TLS, используемый в этом URL-адресе, доверенным. Если сертификат не является доверенным, а URL-адрес не доступен, то многие функции портала и многие операции работать или выполняться не будут. |
ES11 | Рекомендуется | URL-адрес сервисов интегрированного сервера | Определяет, доступен ли порталу URL-адрес сервиса интегрированного сервера, и является ли сертификат SSL, используемый в этом URL-адресе, доверенным. Если URL-адрес не доступен, а сертификат не является доверенным, портал будет работать, но некоторые операции выполняться не будут. |
ES12 | Рекомендуется | Общедоступные ресурсы | Если ваша организация настроена так, чтобы участники не могли публиковать ресурсы для всех, то будет выведен список всех элементов, которые все еще опубликованы Для всех. |
ES13 | Важный | Динамическая рабочая область | Генерирует список сервисов, в которых база данных доступна через динамическую рабочую область. Без должной защиты база данных/рабочая область могут оказаться доступными для недобросовестных третьих лиц через REST. Динамические рабочие области следует включать, только если в веб-приложении предполагается активное использование этого сервиса и функциональных возможностей динамического слоя/рабочей области. В таких случаях важно, чтобы подключение баз данных, используемое картографическим сервисом для подключения к рабочей области/базе данных, имело минимально возможные права доступа, необходимые для данного приложения; например, с правами доступа только чтение будет возможен доступ только к тем дополнительным таблицам рабочей области, которые необходимы. |
ES14 | Рекомендуется | Права доступа в сервисе объектов | Возвращает список сервисов объектов, в которых операции обновления и удаления активированы и открыты для анонимного доступа. В таких сервисах объектов данные можно изменить или удалить без прохождения процедуры аутентификации. |
ES15 | Важный | Параметры конфигурации SAML | Если ваша организация настроена на использование аутентификации SAML, это определяет, включены ли зашифрованные утверждения и подписанные запросы. Если это поддерживается провайдером идентификации, рекомендуется настроить портал так, чтобы он требовал как зашифрованные утверждения, так и подписанные запросы. |