Оптимальные методы защиты
При защите Portal for ArcGIS важно, чтобы среда, в которой запускается ваш портал, тоже была защищена. Существует несколько оптимальных методов защиты, которые можно использовать, чтобы гарантировать наивысшую защищенность.
Отключение анонимного доступа
Чтобы предотвратить доступ к ресурсам для любого пользователя без предварительного ввода учетных данных на портале, рекомендуется настроить портал таким образом, чтобы отключить возможность анонимного доступа. Отключение анонимного доступа помогает гарантированно исключить доступ постороннего пользователя к ресурсам вашего портала.
Более подробно об отключении анонимного доступа в Portal for ArcGIS, см. раздел Отключение анонимного доступа (Disabling anonymous access). Если вы используете аутентификацию на веб-уровне (то есть выполняете аутентификацию с помощью Web Adaptor), вам также может понадобится отключение возможности анонимного доступа на веб-сервер. Инструкции можно найти в документации к вашему веб-серверу.
Запрос и настройка собственного сертификата SSL
Portal for ArcGIS поставляется с готовым самозаверяющимся сертификатом SSL, который позволяет сразу тестировать портал и помогает вам быстро убедиться, что установка прошла успешно. Однако почти во всех случаях, организации следует запросить SSL-сертификат у доверенного центра сертификации (CA) и настроить портал на работу с ним. Это может быть доменный сертификат, выпущенный вашей организацией, или подписанный CA сертификат.
Также, как Portal for ArcGIS, ArcGIS Server поставляется с готовым самозаверяющимся сертификатом. Если вы собираетесь интегрировать сайт ArcGIS Server со своим порталом, вам необходимо запросить SSL-сертификат у доверенного центра сертификации (CA) и настроить сервер на работу с ним.
Настройка сертификата от доверенного центра авторизации - это обычная мера безопасности для веб-систем, также избавляющая пользователей от получения предупреждений браузера или непредвиденного поведения. Если вы выбираете использование самозаверяющегося сертификата, включенного в Portal for ArcGIS и ArcGIS Server во время тестирования, вы увидите следующее:
- Предупреждения от веб-браузера и ArcGIS for Desktop о сомнительном содержании сайта. При обнаружении самозаверяющего сертификата веб-браузер обычно выдает предупреждение и просит подтвердить переход на сайт. Если вы используете самозаверяющий сертификат, многие браузеры предупреждают об этом с помощью значков или красного цвета в адресной строке. Будьте готовы увидеть такие предупреждения, если вы используете самозаверяющийся сертификат.
- Невозможность открыть интегрированный сервис во вьюере карт портала, добавить элемент защищенного сервиса к порталу, войти в ArcGIS Server Manager на интегрированном сервере и подключиться к порталу из Esri Maps for Office.
- Непредвиденное поведение при печати кэшированных сервисов и доступе к порталу из клиентских приложений.
Внимание:Выше приведен частичный список проблем, которые могут возникнуть при использовании самозаверяющегося сертификата. Рекомендуется использовать доменный сертификат или сертификат, подписанный центром сертификации (CA) для полного тестирования и развертывания вашего портала.
В следующих разделах приведены инструкции по настройке Portal for ArcGIS и ArcGIS Server с вашим собственным сертификатом:
Настройка HTTPS
Когда вы изначально настраиваете развертывание портала, каждый раз при запросе ваших учетных данных имя пользователя и пароль отправляются с помощью протокола HTTPS (Secure Sockets Layer или SSL). Это означает, что ваши учетные данные, отправляемые по внутренней сети или через Интернет, закодированы и не могут быть перехвачены. Однако любой другой обмен сообщениями с вашим порталом отправляется через протокол HTTP, а это небезопасно. Для предотвращения перехвата сообщений внутри портала рекомендуется настроить портал и веб-сервер, на котором размещен Web Adaptor, на обязательное использование SSL.
Обмен сообщениями исключительно по протоколу SSL может замедлить работу вашего портала. Кроме того если у вас есть ярлыки или закладки на веб-сайте портала, которые используют HTTP, то вам следует обновить их для использования HTTPS.
Более подробно об использовании SSL для обмена сообщениями в Portal for ArcGIS, см. раздел Настройка HTTPS.
Отключение ArcGIS Portal Directory
Вы можете отключить ArcGIS Portal Directory, чтобы уменьшить возможность поиска элементов вашего портала, веб-карт, групп и других ресурсов в Интернет и осуществления запроса к ним через формы HTML. Отключение Portal Directory также приведет к более качественной защите от межсайтовых атак (XSS).
Решение об отключении Portal Directory необходимо принимать с учетом назначения портала и потребности пользователей и разработчиков в навигации по нему. При отключении Portal Directory вам, возможно, придется создавать другие списки или метаданные для элементов, доступных на вашем портале.
Подробные инструкции см. в разделе Отключение ArcGIS Portal Directory.
Настройка вашего брандмауэра для работы с порталом
Каждый компьютер содержит несколько тысяч портов, через которые другие компьютеры могут отправлять данные. Брандмауэр представляет собой инструмент безопасности, ограничивающий на вашем компьютере количество портов, через которые осуществляется обмен данными с другими компьютерами. Если брандмауэр используется в целях ограничения количества портов для обмена данными, вы сможете внимательно отслеживать эти порты, чтобы предотвратить атаку злоумышленников.
Portal for ArcGIS использует определенные порты для обмена сообщениями, такие как 7080, 7443, 7005, 7099, 7199 и 7654. В качестве оптимального метода защиты вам рекомендуется разрешить брандмауэру открыть весь обмен сообщениями через эти порты, в противном случае ваш портал сможет не функционировать должным образом. Более подробную информацию см. в разделе Порты, используемые Portal for ArcGIS.
Ограничение прав доступа к файлам
Рекомендуется настроить права доступа к файлам таким образом, чтобы оставить только минимально необходимый доступ к директории установки Portal for ArcGIS и директории ресурсов. Единственная учетная запись Portal for ArcGIS, доступ к которой требуется программному обеспечению – это учетная запись Portal for ArcGIS. Это учетная запись, которая используется для запуска программного обеспечения. Организации может потребоваться доступ и к дополнительным учетным записям. Помните, что учетная запись Portal for ArcGIS должна иметь полный доступ к директории установки и директории ресурсов, чтобы ваш сайт нормально функционировал.
Portal for ArcGIS наследует права доступа к файлам от родительской папки, в которой он установлен. Кроме того, Portal for ArcGIS предоставляет учетной записи Portal for ArcGIS доступ к директории, в которую он установлен. Файлы, создаваемые во процессе работы портала, наследуют права доступа у родительской папки. Если нужно защитить директорию ресурсов, установите для родительской папки ограниченные права доступа.
Любая учетная запись, имеющая права на запись в директорию ресурсов, может изменить настройки Portal for ArcGIS, которые обычно могут быть изменены только администратором системы. Если встроенное хранилище безопасности используется для управления пользователями, директория ресурсов будет содержать зашифрованные пароли для этих пользователей. В этом случае, права на чтение для директории ресурсов также необходимо ограничить.