Nach oben

Sicheres Netzwerkdesign

Die Verwendung von sicheren Netzwerken und Umgebungen ist seit Jahrzehnten eine Voraussetzung für ArcGIS-Software. Die Unterstützung neuer Sicherheitskonzepte, -anbieter und -muster ist entscheidend, wenn es darum geht, sich weiterhin gut an diese sicheren Netzwerke anzupassen. Für Architekten, die in sichereren Umgebungen arbeiten, können einige wichtige Designkriterien oder -richtlinien festgelegt werden. Organisationen haben sich von einer impliziten Vertrauenshaltung mit einem klar definierten Netzwerk hin zu einer Umgebung entwickelt, in der sich Benutzer zwischen Internet, Intranet und verschiedenen Räumen dazwischen bewegen. Entsprechend hat sich die Definition der Netzwerksicherheit verändert und weiterentwickelt, wobei neue Möglichkeiten und Komplexitäten entstanden sind.

Es ist im Allgemeinen nicht die Aufgabe eines Systemarchitekten, Netzwerkkonstrukte, Topologie oder Designziele zu definieren. Daher ist der Prozess der Entwicklung von ArcGIS-Systemen häufig ein Prozess, bei dem es darum geht, Fragen zu stellen, sich über Netzwerkbeschränkungen zu informieren und dann sicherzustellen, dass das resultierende System unter Berücksichtigung dieser Beschränkungen ordnungsgemäß funktioniert.

ArcGIS in sicheren Netzwerken

ArcGIS Enterprise, ArcGIS Pro und andere ArcGIS-Anwendungen und -Werkzeuge wurden so entwickelt, dass sie auch in sicheren Netzwerken zuverlässig funktionieren, selbst wenn diese vollständig vom Internet getrennt sind. Im Folgenden werden einige wichtige Überlegungen zu ArcGIS in sicheren Netzwerken angestellt.

  • Für ArcGIS-Softwarekomponenten ist eine direkte Sichtverbindung zu anderen ArcGIS-Anwendungen oder -Endpunkten erforderlich. Dies gilt sowohl für ArcGIS Enterprise-Komponenten wie ArcGIS Server und ArcGIS Data Store als auch für Desktop-Clients wie mobile Apps, ArcGIS Pro und ArcGIS Earth. Direkte Konnektivität bedeutet, dass Systeme ohne einen Identity-Aware Proxy oder eine andere Authentifizierungsschicht zwischen den Komponenten, die im selben Netzwerk ausgeführt werden, kommunizieren können. In sicheren Netzwerken ist die Verwendung von Forward-Proxys üblich, um den Zugriff auf andere Unternehmensressourcen und Endpunkte oder externe, internetbasierte Daten, Services oder Anwendungen zu ermöglichen. Weitere Überlegungen finden Sie unter Forward-Proxys.
  • Für Systeme, für die öffentlich zugängliche Endpunkte erforderlich sind oder auf denen öffentliche Webanwendungen gehostet werden, wird die Verwendung einer Bereitstellung im Stil einer DMZ empfohlen. Zudem sollten eine Web Application Firewall oder ein anderes Gerät oder eine Software zur Erkennung von eingehendem Datenverkehr konfiguriert werden.
  • Sicherere Netzwerke gehen häufig mit einer sichereren Betriebssystemkonfiguration einher, z. B. durch die Verwendung von Windows-Härtungsprozessen oder Security-Enhanced Linux (SELinux). Diese Prozesse können zu einer Vielzahl von Konfigurationsänderungen führen, die zwar im Allgemeinen mit ArcGIS-Systemen kompatibel sind, aber zu Fehlern oder Konnektivitätsproblemen führen können, die schwer zu identifizieren oder zu diagnostizieren sind. Wenn die Systemhärtung Teil des sicheren Netzwerkdesigns ist, arbeiten Sie eng mit den IT- und Sicherheitsexperten in Ihrer Organisation zusammen, um sich über die Konfigurationsänderungen, Auswirkungen und Testoptionen einen Überblick zu verschaffen und zu erfahren, an welchen Stellen möglicherweise ein Problem entstanden ist.

Ressourcen

Spezifische Anleitungen zu den Anforderungen an computerübergreifende Ports für ArcGIS Enterprise-Komponenten finden Sie in der entsprechenden Softwaredokumentation. Die Dokumentation enthält auch ein hilfreiches Diagramm der Portanforderungen für ArcGIS Enterprise-Komponenten.

Top