Configurations courantes des groupes de sécurité

Une instance Amazon EC2 (Elastic Compute Cloud) peut autoriser uniquement le trafic réseau provenant de sources et de ports définis dans son groupe de sécurité. Lorsque vous utilisez Amazon EC2, vous devez configurer certains groupes de sécurité qui correspondent aux types d'opérations que vous allez effectuer avec vos instances EC2. Cette rubrique décrit certains groupes de sécurité courants que vous pouvez configurer pour différents déploiements d'ArcGIS Server.

Par défaut, un groupe de sécurité est complètement verrouillé. Vous ajoutez des règles à un groupe de sécurité en spécifiant le type de trafic autorisé, les ports qu'il sera autorisé à traverser et les ordinateurs à partir desquels la communication sera acceptée. Les ports que vous décidez d'ouvrir et le type de trafic que vous devez autoriser dépendent de ce que vous faites avec l'instance.

Vous trouverez ci-dessous des suggestions de noms et de règles des groupes de sécurité, que vous pouvez configurer dans la console de gestion AWS. Les ports et protocoles autorisés peuvent varier selon les règles informatiques de votre organisation. Les suggestions ci-dessous utilisent les numéros de port les plus courants. Si votre organisation dispose d'un spécialiste informatique, contactez-le afin de mettre au point la meilleure stratégie de sécurité pour vos instances EC2.

Développement d'ArcGIS Server

Pensez à créer un groupe de sécurité spécifiquement pour les instances EC2 qui sont utilisées à des fins de développement et de test. Ce type de groupe peut autoriser l'accès suivant :

Production ArcGIS Server

Une fois que vous avez développé et testé votre application et que vous êtes prêt à la transférer en phase de production, il convient de désactiver l'accès Bureau à distance. Si un problème survient et que vous avez besoin de vous connecter à la machine, vous pouvez temporairement changer la configuration du groupe de sécurité pour vous permettre d'y accéder. Un groupe de production ArcGIS Server peut autoriser l'accès suivant :

Production sécurisée ArcGIS Server

Si vous souhaitez demander une communication chiffrée avec votre machine, vous devez configurer un ELB sur votre site qui reçoit le trafic par le port 443, qui est le port généralement utilisé pour la communication chiffrée via SSL. Configurez ensuite le programme d'équilibrage de charge pour qu'il transmette le trafic au port 6443. Dans votre groupe de sécurité, ouvrez les ports décrits ci-dessus pour la production ArcGIS Server.

Géodatabase d’entreprise

Si vous préférez que les géodatabases d'entreprise soient sur une instance distincte de votre instance ArcGIS Server, vous pouvez configurer un groupe de sécurité spécifique à votre instance de géodatabase d'entreprise, qui autorise ce qui suit :

Ports fréquemment utilisés

Vous trouverez ci-dessous certains des ports les plus courants que vous pouvez utiliser lorsque vous créez des groupes de sécurité. Il est possible que vous n'ayez pas besoin d'ouvrir explicitement certains de ces ports. Vous pouvez simplement décider de donner aux machines qui se trouvent dans votre groupe de sécurité un accès complet les unes aux autres. Si vous souhaitez octroyer l'accès à des machines ne faisant pas partie de vos groupes de sécurité (par exemple, votre poste de travail au bureau), vous devez ouvrir des numéros de port spécifiques.

Port

Objectif courant

80

Accès HTTP au serveur Web IIS ou au programme d'équilibrage de charge

443

Accès HTTPS au serveur Web IIS ou au programme d'équilibrage de charge

445

Partage de fichiers Windows

1433

Connexions à Microsoft SQL Server

3389

Connexions Bureau à distance Windows

5432

Connexions à PostgreSQL

6080

Accès HTTP à ArcGIS Server

6443

Accès HTTPS à ArcGIS Server

Le Pare-feu Windows est activé sur chaque instance que vous lancez avec les images virtuelles fournies par Esri, y compris sur les sites que vous créez avec Cloud Builder. Si vous installez une application tierce qui requiert d'autres ports que ceux répertoriés ci-dessus, assurez-vous que le Pare-feu Windows est également configuré pour autoriser le port.

5/10/2014