Безопасность ArcGIS Server на Amazon EC2
Разработка всеобъемлющей стратегии безопасности ArcGIS Server на Amazon EC2 требует, чтобы вы планировали обеспечение безопасности на различных уровнях. Рассмотрите следующие вопросы:
- Кто способен создать и разрушить сайты ArcGIS Server используя мою учетную запись Amazon?
- Кто способен войти в мои экземпляры EC2 для установки нового программного обеспечения и прямого администрирования сервера?
- Какие компьютеры должны иметь возможность находить мой сервер, как только он запущен на EC2, и с какими целями?
- Кто способен соединиться с моим сайтом как пользователь, издатель или администратор?
- Существуют ли некоторые пользователи, для которых необходимо обеспечить доступ к определенным сервисам и запретить доступ к другим?
- Будут ли требовать мои приложения входа?
Вам будет необходимо понять и использовать разнообразные техники безопасности, что бы реализовать безопасное решение, которое отвечало бы на все вышеуказанные вопросы удовлетворительным образом. В этом разделе описываются подходы к ответу на каждый.
Обеспечение безопасности административной среды облака
Amazon Identity and Access Management (IAM) позволяет вам управлять группами пользователей, которые имеют разные уровни доступа к вашей учетной записи AWS. Прежде чем вы сможете войти в Cloud Builder, необходимо использовать IAM для создания как минимум одного пользователя с правами доступа администратора к вашей учетной записи. Затем вам будет необходимо загрузить Ключ доступа (Access Key) и Секретный ключ доступа (Secret Access Key), присвоенные этому пользователю. Cм. раздел Часто задаваемые вопросы, чтобы узнать, как это сделать. Когда вы первый раз входите в Cloud Builder, вы можете решить, сохранить ли эти ключи, или требовать их при каждом входе.
Расширенное администрирование ArcGIS Server on Amazon Web Services выполняется с помощью AWS Management Console. Вы должны войти на консоль с вашей учетными именем и паролем Amazon до того, как вы сможете запустить или завершить экземпляры EC2, настроить Amazon Elastic Load Balancers (ELBs) и Elastic IPs, и выполнить другие административные функции в виртуальной среде. Вход также позволяет вам просмотреть активность вашей учетной записи и платежную информацию.
Давайте ваше имя, пароль, ключи доступа (Access Keys) и секретные ключи доступа (Secret Access Keys) только небольшому числу людей в вашей организации, которые знают, как правильно запустить, отредактировать и удалить ресурсы с использованием Cloud Builder или AWS Management Console. Разрешение широкого доступа для нетренированного персонала делает ваше размещение уязвимым к тяжелым нарушением системы и чрезмерным оплатам для вашей учетной записи. Такого рода проблемы, в конечном итоге, могут быть более разрушительными, чем нападения внешних хакеров.
Amazon предлагает дополнительный уровень защиты для консоли управления AWS Management Console помимо имени и пароля вашей учетной записи. Данная опция, AWS Multi-Factor Authentication, требует от вас иметь шестизначный код, генерируемый небольшим аппаратным устройством в вашем распоряжении. Код часто меняется, так что, если злоумышленник попытается получить ваше имя и пароль, он или она все равно не смогут войти на AWS Management Console.
Обеспечение безопасности администрирования вашего экземпляра EC2
Вход на Cloud Builder или AWS Management Console – это только один аспект администрирования ArcGIS Server на Amazon EC2. Другая часть настройки вашего облачного размещения состоит во входе на ваш экземпляр EC2 для передачи данных и настройки ГИС-сервисов и приложений.
Изначально вы входите на ваш экземпляр EC2 как администратор компьютера, с использованием случайно сгенерированного пароля, который вы получаете с использованием вашего файла пары ключей. Храните ваш файл пары ключей в секретном местоположении. Затем, во время первого входа на ваш экземпляр, вам следует изменить пароль на другой, более легко запоминающийся. Это небезопасно – записать ваш пароль или сохранить его в чистом тексте на вашем локальном компьютере.
Подсказка:Рассмотрите необходимость выбора пароля в соответствии с требованиями сложности Windows Server 2008, которые перечислены ниже:
- Пароли не должны содержать имя учетной записи пользователя и частей полного имени пользователя, превышающих два последовательных символа.
- Пароль должен содержать по крайней мере шесть символов.
- Пароль должен содержать символы трех из следующих четырех категорий:
- Заглавные буквы английского алфавита (от A до Z)
- Прописные буквы английского алфавита (от a до z)
- Основные 10 цифр (от 0 до 9)
- Неалфавитные символы (например, !, $, #, %)
Когда вы вошли на экземпляр, вы можете дополнительно использовать инструменты Windows для определения неадминистративных пользователей, которые могут войти.
Обеспечение безопасности ваших экземпляров EC2 от внешних атак
Все экземпляры EC2 используют брандмауэр для защиты от несанкционированного или неизвестного внешнего доступа. Вы настраиваете брандмауэр посредством создания групп безопасности и открытия доступа к диапазону IP-адресов, портам и протоколам для каждой группы. Каждый раз, когда вы запускаете экземпляр EC2, вам необходимо указать, каким группам безопасности будет принадлежать экземпляр.
По умолчанию, новые группы безопасности не имеют разрешенного доступа. Как минимум, вам необходимо разрешить доступ удаленного рабочего стола (remote desktop) и доступ HTTP для входа на ваш экземпляр и тестирования вашего сервера. Для инструкций смотри Открытие группы безопасности Amazon EC2 для ArcGIS for Server (Opening an Amazon EC2 security group for ArcGIS for Server). Также см. раздел Общие настройки групп безопасности, для знакомства с концепциями групповых правил безопасности, подходящих для ArcGIS Server on Amazon Web Services.
Когда вы используете ArcGIS Server Cloud Builder on Amazon Web Services для создания сайта, для вас создается и настраивается группа безопасности. Необходимые порты открыты для группы безопасности для обеспечения функционирования сайта, но если необходимо, вы можете использовать AWS Management Console для тонкой настройки группы безопасности. Например, если вы захотите войти на один из экземпляров с использованием Windows Remote Desktop, то вам необходимо открыть порт 3389.
Amazon Security Center содержит официальные документы и документы лучшей практики по дизайну архитектуры безопасности для EC2. Эти рекомендации и правила применимы к ArcGIS Server on Amazon Web Services.
Обеспечение безопасности ваших веб-приложений и сервисов
Доступ к вашим веб-сервисам и веб-приложениям управляется через те же механизмы обеспечения безопасности, что вы используете для ArcGIS Server за пределами Amazon EC2. Их описание можно найти в Справке ArcGIS, в разделе Обеспечение безопасности сайта ArcGIS Server.
Закладка Безопасность (Security) в ArcGIS Server Manager поможет вам настроить пользователей и роли, и выбрать, какие из пользователей и ролей будут иметь доступ к вашим сервисам. ArcGIS Server имеет встроенное хранилище пользователей и ролей, которое может быть привлекательной опцией на облачном сайте, который не может обратится к хранилищу пользователей в вашей локальной сети.