在保护 ArcGIS Enterprise 组织时,保护其所在的运行环境也十分重要。 可遵循多种最佳做法,以确保获得最高安全性。
为容器注册表帐户设置最低权限
在部署期间,您指定的容器注册表帐户应已关联最低权限级别,例如,仅具有下载容器镜像的权限。 默认情况下,Kubernetes 将此帐户的未加密凭据作为机密存储和访问。 建议您不要指定具有推送更改、编辑元数据或管理容器注册表权限的帐户。 可从 ArcGIS Enterprise Manager 的设置页面更新注册表帐户凭据。
配置电子邮件设置
您可以配置您的组织,以便在忘记密码、更新密码策略等情况下向成员和管理者发送电子邮件通知。 查看电子邮件设置以获取步骤和详细信息。
限制门户的代理功能
在某些情况下会将门户用作代理服务器。 因此,可能会将门户的代理功能误用,从而导致对门户计算机可访问的所有计算机均启动拒绝服务 (DoS) 或服务器端请求伪造 (SSRF) 攻击。 为减少这种潜在漏洞,建议您将门户的代理功能限制为已批准的 web 地址。 有关其他详细信息和完整说明,请参阅限制门户的代理功能。
禁用匿名访问
门户的匿名访问选项可以控制对门户网站的访问权限。 为了防止用户在未预先提供门户凭据的情况下访问门户网站,建议禁用匿名访问。 虽然禁用匿名访问不能阻止匿名用户访问与所有人共享的内容,但可以确保公共用户无法使用门户网站搜索与所有人共享的内容或资源。 要了解如何在 ArcGIS Enterprise 门户中禁用匿名访问,请参阅禁用匿名访问。
配置并信任 CA 签名的 TLS 证书
配置来自受信任颁发机构的证书对于基于 Web 的系统来说是一种安全的方法,同时将避免用户遇到浏览器警告或其他异常行为。 在部署期间,您的组织必须提供或生成 TLS 身份证书以供入口控制器使用。 在很多部署配置中,TLS 证书为所有终端用户可见。 也就是说,建议分配至入口控制器的证书由信任的认证中心 (CA) 签名。 如果部署期间生成了自签名的证书,可以在创建组织后导入一个新证书进行替换,并将其分配至入口控制器。
如果签名证书的认证中心是企业或域 CA,并非为知名 CA,则同样需导入该 CA 的公钥证书作为受信任的证书。 这样可确保 ArcGIS Enterprise 能够验证并信任 CA 签名的任何证书。
有关如何导入身分或信任证书的说明,请参阅导入证书。
配置 HTTPS
当您首次配置 ArcGIS Enterprise 部署时,只要执行凭据验证,就会通过 HTTPS 发送用户名和密码。 这意味着您通过内部网络或 Internet 发送的凭据已加密,并且不会被截取。 默认情况下,门户中的所有通信均使用 HTTPS 进行发送。
通过强制执行仅使用 HTTPS 的通信,您的 Enterprise 门户之外的所有外部通信(如 ArcGIS Server 服务和开放地理空间信息联盟 (OGC) 服务)即受到保护,因为如果 HTTPS 可用,您的门户便只能访问外部 Web 内容。 否则,会阻止外部内容。
然而,在某些情况下,您可能需要在门户中启用 HTTP 和 HTTPS 通信。 要了解如何在 ArcGIS Enterprise 中对所有通信强制执行 HTTP 和 HTTPS,请参阅配置 HTTPS。
禁用非管理 API 目录
可以在管理目录中禁用对 ArcGIS Portal Directory /<context>/sharing/rest 和 ArcGIS REST 服务目录 /<context>/rest/services 的 HTML 访问。 这可减少从 Web 搜索中找到、浏览或者通过 HTML 表单查询到您的门户项目、服务、Web 地图、群组和其他资源的可能性。 禁用对这些目录的访问还可以加强对跨站点脚本 (XSS) 攻击的防护。
是否禁用对这些目录的访问取决于门户的用途以及用户和开发人员依靠其进行浏览的程度。 如果禁用对这些目录的访问,则可能需要可用于门户的项目和服务的可用操作列表或元数据。
有关详细信息,请参阅禁用非管理 API 目录。
指定令牌有效期
令牌是包含用户名、令牌有效期和其他专有信息的加密信息字符串。 令牌颁发给成员后,成员可在令牌有效期内访问门户。 如果到期,成员必须重新提供其用户名和密码。
使用 ArcGIS Enterprise 时,每次生成一个新的令牌,都应该指定有效期。 如果不指定,则将使用默认的有效期值。
门户可以使用三种类型的令牌,分别是:ArcGIS 令牌、OAuth access 令牌和 OAuth refresh 令牌。 每种类型都有其默认的有效期值。
这些最大和默认值无法增加,只能通过在 ArcGIS Portal Directory 中设置 maxTokenExpirationMinutes 属性来减少。 maxTokenExpirationMinutes 属性的值适用于每种类型的令牌。 如果该值小于最大值但大于默认值,则只会影响最大值,并且默认值将保持不变。 如果该值小于最大值和默认值,则这两个值都会受到影响,并且最大值和默认值将与 maxTokenExpirationMinutes 中定义的值相匹配。
要更改默认令牌有效期,请执行指定默认令牌有效期中的步骤。