Безопасность ArcGIS Server на Amazon EC2

Обеспечение безопасности административной среды облака

Доступ к ArcGIS Server Cloud Builder on Amazon Web Services контролируются посредством Amazon Access Key и Secret Access Key ассоциированных с вашей учетной записью Amazon. (Cм. раздел Часто задаваемые вопросы, что бы изучить, как получить доступ к ним.) Вы должны предоставить ваши Access Key и Secret Access Key в первый же раз как вы будете использовать Cloud Builder, и с этого момента, вы можете решить либо хранить их, либо требовать их при каждом входе.

Прогрессивное администрирование ArcGIS Server on Amazon Web Services выполняется с использованием AWS Management Console. Вы должны войти на консоль с вашей учетными именем и паролем Amazon до того, как вы сможете запустить или завершить экземпляры EC2, настроить Amazon Elastic Load Balancers (ELBs) и Elastic IPs, и выполнить другие административные функции в виртуальной среде. Вход также позволяет вам просмотреть активность вашей учетной записи и платежную информацию.

Разделите ваше имя, пароль, ключ доступа (Access Key) и секретный ключ доступа (Secret Access Key) только с небольшим числом людей в вашей организации, которые понимают как следует правильно запустить, отредактировать и завершить ресурсы с использованием Cloud Builder или AWS Management Console. Разрешение широкого доступа для нетренированного персонала делает ваше размещение уязвимым к тяжелым нарушением системы и чрезмерным оплатам для вашей учетной записи. Такого рода проблемы, в конечном итоге, могут быть более разрушительными, чем нападения внешних хакеров.

Amazon предлагает дополнительный уровень защиты для консоли управления AWS Management Console помимо имени и пароля вашей учетной записи. Данная опция, AWS Multi-Factor Authentication, требует от вас иметь шестизначный код, генерируемый небольшим аппаратным устройством в вашем распоряжении. Код часто меняется, так что, если злоумышленник попытается получить ваше имя и пароль, он или она все равно не смогут войти на AWS Management Console.

Обеспечение безопасности администрирования вашего экземпляра EC2

Вход на Cloud Builder или AWS Management Console - это только один аспект администрирования ArcGIS Server на Amazon EC2. Другая часть настройки вашего облачного размещения состоит во входе на ваш экземпляр EC2 для передачи данных и настройки ГИС-сервисов и приложений.

Изначально вы входите на ваш экземпляр EC2 как администратор компьютера, с использованием случайно сгенерированного пароля, который вы получаете с использованием вашего файла пары ключей. Храните ваш файл пары ключей в секретном местоположении. Затем, во время первого входа на ваш экземпляр, вам следует изменить пароль на другой, более легко запоминающийся. Это небезопасно - записать ваш пароль или сохранить его в чистом тексте на вашем локальном компьютере.

Подсказка:

Рассмотрите необходимость выбора пароля в соответствии с требованиями сложности Windows Server 2008, которые перечислены ниже:

• Пароли не должны содержать имя учетной записи пользователя и частей полного имени пользователя, превышающих два последовательных символа.
• Пароль должен содержать по крайней мере шесть символов.
• Пароль должен содержать символы трех из следующих четырех категорий:
  • Заглавные буквы английского алфавита (от A до Z)
  • Прописные буквы английского алфавита (от a до z)
  • Основные 10 цифр (от 0 до 9)
  • Неалфавитные символы (например, !, $, #, %)

Когда вы вошли на экземпляр, вы можете дополнительно использовать инструменты Windows для определения неадминистративных пользователей, которые могут войти.

Обеспечение безопасности ваших экземпляров EC2 от внешних атак

Все экземпляры EC2 используют брандмауэр для защиты от несанкционированного или неизвестного внешнего доступа. Вы настраиваете брандмауэр посредством создания групп безопасности и открытия доступа к диапазону IP-адресов, портам и протоколам для каждой группы. Каждый раз, когда вы запускаете экземпляр EC2, вам необходимо указать, каким группам безопасности будет принадлежать экземпляр.

По умолчанию, новые группы безопасности не имеют разрешенного доступа. Как минимум, вам необходимо разрешить доступ удаленного рабочего стола (remote desktop) и доступ HTTP для входа на ваш экземпляр и тестирования вашего сервера. Для инструкций смотри Открытие группы безопасности Amazon EC2 для ArcGIS for Server (Opening an Amazon EC2 security group for ArcGIS for Server). См. Общие настройки групп безопасности, на счет идей по настройкам групп безопасности для ArcGIS Server on Amazon Web Services.

Когда вы используете ArcGIS Server Cloud Builder on Amazon Web Services для создания сайта, для вас создается и настраивается группа безопасности. Необходимые порты открыты для группы безопасности для обеспечения функционирования сайта, но если необходимо, вы можете использовать AWS Management Console для тонкой настройки группы безопасности. Например, если вы захотите войти на один из экземпляров с использованием Windows Remote Desktop, то вам необходимо открыть порт 3389.

Amazon Security Center содержит официальные документы и документы лучшей практики по дизайну архитектуры безопасности для EC2. Данные рекомендации применимы для ArcGIS Server on Amazon Web Services.

Обеспечение безопасности ваших веб-приложений и сервисов

Доступ к вашим веб-сервисам и веб-приложениям управляется через те же механизмы обеспечения безопасности, что вы используете для ArcGIS Server за пределами Amazon EC2. Их описание можно найти в Справке ArcGIS, в разделе Обеспечение безопасности сайта ArcGIS Server.

Закладка Безопасность (Security) в ArcGIS Server Manager поможет вам настроить пользователей и роли, и выбрать, какие из пользователей и ролей будут иметь доступ к вашим сервисам. ArcGIS Server имеет встроенное хранилище пользователей и ролей, которое может быть привлекательной опцией на облачном сайте, который не может обратится к хранилищу пользователей в вашей локальной сети.