ArcGIS Enterprise on Kubernetes 包含用于扫描一些常见安全问题的 Python 脚本工具 kubernetesScan.py。 它包含在 setup/tools/security 下的安装脚本中。 该工具根据为 ArcGIS Enterprise 配置安全的环境中的一些最佳做法来检查问题。 对多个条件或配置属性进行分析并将其划分为三个严重性级别:Critical、Important 和 Recommended。 下表介绍了这些条件:
| ID | 严重性 | 属性 | 描述 |
|---|---|---|---|
ES01 | 重要 | 代理限制 | 确定是否限制门户的代理功能。 默认情况下,门户代理服务器对所有 URL 开放。 为了减少潜在的拒绝服务 (DoS) 或服务器端请求伪造 (SSRF) 攻击,建议您将门户的代理功能限制为已批准的 web 地址。 |
ES02 | 重要 | Web 内容过滤 | 生成禁用过滤 web 内容属性的要素服务列表。 禁用此属性将允许用户向输入字段中输入任何文本,这样会使服务暴露于跨站点脚本 (XSS) 的潜在攻击之中。 默认情况下启用该属性,除非需要不受支持的 HTML 实体或属性,否则不应禁用此属性。 |
ES03 | 重要信息 | Enterprise 服务目录 | 确定是否可通过 web 浏览器访问 Enterprise 服务目录。 除非用户正在使用该目录搜索和查找服务,否则应禁用该目录以减少在 Web 搜索中浏览、查找或者通过 HTML 表单查询到您的服务的可能性。 这样做还可以加强对跨站点脚本 (XSS) 攻击的防护。 |
ES04 | 重要信息 | Web 通信 | 确定是否为 ArcGIS Enterprise 启用 HTTPS。 要防止任意通信被截取,建议您配置托管反向代理的 ArcGIS Enterprise 和 web 服务器或 ArcGIS Web Adaptor(如已安装)来强化 SSL 加密。 |
ES05 | 已推荐 | 内置帐户注册 | 确定用户是否可以单击组织注册页面上的创建帐户按钮来创建内置帐户。 如果正在使用组织特定的帐户或者希望手动创建全部帐户,请禁用此选项。 |
ES06 | 已推荐 | 匿名访问 | 确定是否允许匿名访问。 为了防止任何用户在未预先提供凭据的情况下对内容进行访问,建议将组织配置为禁用匿名访问。 |
ES07 | 已推荐 | LDAP 标识存储 | 如果您的组织配置了 LDAP 标识存储,则用于确定是否使用加密通信。 建议您使用 LDAPS 作为用户和群组的 LDAP URL。 |
ES08 | 已推荐 | 入口控制器 TLS 证书 | 确定入口控制器是否使用自签名证书。 为了帮助减少与门户通信的客户端的 Web 浏览器警告或其他意外行为,建议导入并使用已绑定到入口控制器的 CA 签名 TLS 证书。 |
ES09 | 已推荐 | 跨域请求 | 确定跨域 (CORS) 请求是否不受限制。 为了降低未知应用程序访问共享门户项目的可能性,建议将跨域请求限制为仅在受信任域中托管的应用程序。 |
ES10 | 重要 | 联合服务器管理 URL | 确定您的联合服务器的管理员 URL 是否可通过门户访问,以及此 URL 中使用的 TLS 证书是否受信任。 如果不受信任或无法访问,许多门户功能将无法使用且操作将会失败。 |
ES11 | 已推荐 | 联合服务器服务 URL | 确定您的联合服务器的服务 URL 是否可通过门户访问,以及此 URL 中使用的 SSL 证书是否受信任。 如果不受信任或无法访问,门户仍将正常运行,但某些门户操作可能会失败。 |
ES12 | 已推荐 | 公共内容 | 如果对您的组织进行配置,以使成员无法公开共享内容,则会列出仍与所有人共享的所有项目。 |
ES13 | 重要信息 | 动态工作空间 | 生成可通过动态工作空间访问数据库的服务列表。 如果保护不当,这将导致恶意第三方通过 REST 显示数据库/工作空间进行访问。 只有服务和动态图层/工作空间功能用于 Web 应用程序的主动使用时才应启用动态工作空间。 在这些情况下,重要的是确保由地图服务用于连接至工作空间/数据库的数据库连接具备应用程序所需的最低权限,例如,在所需工作空间范围内仅对其他表格的只读权限。 |
ES14 | 已推荐 | 要素服务权限 | 返回已启用更新或删除操作并支持匿名访问的要素服务列表。 此操作允许在不进行验证的情况下更改或删除要素服务数据。 |
ES15 | 重要信息 | SAML 配置设置 | 如果将您的组织配置为使用 SAML 身份验证,则用于确定是否启用加密声明和签名请求。 如果身份提供者支持,建议您将门户配置为同时需要加密声明和签名请求。 |