ArcGIS Enterprise on Kubernetes включает скрипт Python, kubernetesScan.py, который проверяет наличие часто встречающихся проблем в системе безопасности. Скрипт находится в папке, в которую был извлечен пакет развертывания, в setup/tools/security.
Python 3.х, включая модули requests и urllib3, требуются для запуска этого скрипта.
Использование
Чтобы проверить свою организацию на наличие рекомендаций по обеспечению безопасности, выполните следующие действия:
- Откройте терминал на компьютере с клиентом Kubernetes.
- Измените каталоги на каталог setup/tools/security.
- Запустите скрипт kubernetesScan.py, используя команду в следующем формате:
python3 kubernetesScan.py
Скрипт запрашивает ввод данных, например:Enter ArcGIS Enterprise on Kubernetes hostname [machine.example.com]:
Enter ArcGIS Enterprise on Kubernetes context:
Enter administrator username:
Enter administrator password:
Enter output directory [/setup/tools/security]:
Скрипт проверяет наличие проблем на основе оптимальных методов настройки безопасной среды для ArcGIS Enterprise. Скрипт генерирует HTML-файл в указанном выходном каталоге. Вы можете открыть HTML-файл, чтобы просмотреть результаты.
Уровни и критерии важности
Скрипт анализирует множество критериев и параметров настройки и разделяет их на три уровня важности: Critical, Important и Recommended. Эти критерии описаны в таблице ниже:
| ID | Важность | Свойство | Описание |
|---|---|---|---|
ES01 | Критический | Ограничение прокси | Определяет, ограничена ли прокси-функция портала. По умолчанию прокси-сервер портала открыт для любого URL. Чтобы снизить вероятность Denial of Service (DoS) или Server Side Request Forgery (SSRF) атак, рекомендуется ограничить прокси-функцию портала списком доверенных веб-адресов. |
ES02 | Критический | Фильтр веб-ресурсов | Генерирует список сервисов объектов, в которых отключено свойство фильтрации веб-ресурсов. Отключение этого свойства позволяет пользователю вводить любой текст во входные поля, что делает данный сервис уязвимым для потенциальных межсайтовых атак (XSS). По умолчанию этот параметр включен, не отклюйте его, за исключением случаев, когда требуются не поддерживаемые HTML записи или атрибуты. |
ES03 | Важный | Директории сервисов Enterprise | Определяет, доступны ли директории сервисов ArcGIS Enterprise через веб-браузер. Отключите эту функцию, чтобы снизить вероятность просмотра ваших сервисов и выполнения запросов к ним через формы HTML, за исключением случаев, когда она активно используется пользователями для поиска сервисов. Кроме того, это обеспечивает более качественную защиту от межсайтовых атак (XSS). |
ES04 | Важный | Веб-коммуникация | Определяет, включено ли использование HTTPS для ArcGIS Enterprise. Для предотвращения перехвата сообщений рекомендуется настроить ArcGIS Enterprise и веб-сервер с обратным прокси или ArcGIS Web Adaptor (если он установлен) на обязательное использование шифрования SSL. |
ES05 | Рекомендуется | Вход с помощью встроенной учетной записи | Определяет, можно ли использовать кнопку Создать учетную запись, расположенную на странице авторизации в организации, чтобы создать встроенную учетную запись. Если вы используете корпоративные учетные записи или хотите создавать учетные записи вручную, отключите эту опцию. |
ES06 | Рекомендуется | Анонимный доступ | Определяет, допускается ли анонимный доступ. Чтобы предотвратить доступ к ресурсам для любого пользователя без предварительного ввода учетных данных, рекомендуется настроить организацию таким образом, чтобы отключить возможность анонимного доступа. |
ES07 | Рекомендуется | Хранилище аутентификаций LDAP | Если ваша организация настроена с хранилищем аутентификаций LDAP, это определяет, будет ли использоваться шифрованное соединение. Рекомендуется использовать LDAP для LDAP URL для пользователей и групп. |
ES08 | Рекомендуется | Сертификат TLS входящего контроллера | Определяет, использует ли входящий контроллер самозаверенный сертификат. Чтобы уменьшить количество предупреждений веб-браузера или других непредвиденных действий клиентов, работающих с порталом, рекомендуется импортировать и использовать подписанный центром сертификации сертификат TLS, привязанный ко входящему контроллеру. |
ES09 | Рекомендуется | Междоменные запросы | Определяет, будут ли междоменные (CORS) запросы неограниченными. Чтобы уменьшить вероятность того, что неизвестное приложение получит доступ к опубликованному элементу портала, рекомендуется ограничить междоменные запросы приложениями, размещенными только в доверенных доменах. |
ES10 | Критический | Административный URL-адрес интегрированного сервера | Определяет, доступен ли порталу URL-адрес администратора интегрированного сервера и является ли сертификат TLS, используемый в этом URL-адресе, доверенным. Если сертификат не является доверенным, а URL-адрес не доступен, то многие функции портала и многие операции работать или выполняться не будут. |
ES11 | Рекомендуется | URL-адрес сервисов интегрированного сервера | Определяет, доступен ли порталу URL-адрес сервиса интегрированного сервера, и является ли сертификат SSL, используемый в этом URL-адресе, доверенным. Если URL-адрес не доступен, а сертификат не является доверенным, портал будет работать, но некоторые операции выполняться не будут. |
ES12 | Рекомендуется | Общедоступные ресурсы | Если ваша организация настроена так, чтобы участники не могли публиковать ресурсы для всех, то будет выведен список всех элементов, которые все еще опубликованы Для всех. |
ES13 | Важный | Динамическая рабочая область | Генерирует список сервисов, в которых база данных доступна через динамическую рабочую область. Без должной защиты база данных и рабочая область могут оказаться доступными для недобросовестных третьих лиц через REST. Включайте динамические рабочие области, только если в веб-приложении предполагается активное использование этого сервиса и функциональных возможностей динамического слоя/рабочей области. В таких случаях убедитесь, чтобы подключение баз данных, используемое картографическим сервисом для подключения к рабочей области или базе данных, имело минимально возможные права доступа, необходимые для данного приложения; например, с правами доступа только чтение будет возможен доступ только к тем дополнительным таблицам рабочей области, которые необходимы. |
ES14 | Рекомендуется | Права доступа в сервисе объектов | Возвращает список сервисов объектов, в которых операции обновления и удаления активированы и открыты для анонимного доступа. В таких сервисах объектов данные можно изменить или удалить без прохождения процедуры аутентификации. |
ES15 | Важный | Параметры конфигурации SAML | Если ваша организация настроена на использование аутентификации SAML, это определяет, включены ли зашифрованные утверждения и подписанные запросы. Если это поддерживается провайдером идентификации, рекомендуется настроить портал так, чтобы он требовал как зашифрованные утверждения, так и подписанные запросы. |