安全なネットワーク設計

ArcGIS ソフトウェアでは、何十年もの間、安全なネットワークと環境内での作業が要件とされてきました。 新しいセキュリティーの概念、プロバイダー、およびパターンのサポートは、これらのセキュリティーで保護されたネットワークに引き続き適合するために重要です。 より安全な環境で働くアーキテクトのために、いくつかの主要な設計基準またはガイドラインを確立できます。 ネットワークが明確な定義を持つ暗黙の信頼から、ユーザーがインターネット、イントラネット、およびその間の異なるスペース間を移動する世界へと組織が進化すると、ネットワーク セキュリティーの定義も変化し、新しいオプションや複雑さが生まれました。

一般に、ネットワーク コンストラクト、トポロジー、または設計目標を定義することはシステム アーキテクトの役割ではないため、ArcGIS システムの設計プロセスは、多くの場合、質問し、ネットワークの制約について学習し、それらの制約を考慮したうえで、システムが適切に動作することを確認するプロセスです。

セキュリティーで保護されたネットワークでの ArcGIS

ArcGIS Enterprise、ArcGIS Pro、およびその他の ArcGIS アプリケーションとツールは、インターネットから完全に切断されたネットワークでも、セキュリティー保護されたネットワーク内で効果的に動作するように設計されています。 セキュリティー保護されたネットワークでの ArcGIS に関するいくつかの重要な考慮事項について説明します。

• ArcGIS ソフトウェア コンポーネントは、他の ArcGIS アプリケーションまたはエンドポイントへの直接の通信経路を想定しています。 これは、ArcGIS Server や ArcGIS Data Store などの ArcGIS Enterprise コンポーネントだけでなく、モバイル アプリ、ArcGIS Pro、ArcGIS Earth などのデスクトップ クライアントにも当てはまります。 直接接続とは、同じネットワーク上で動作するコンポーネント間で、ID 対応プロキシーやその他の認証レイヤーを使用せずにシステムが通信できることを意味します。 セキュリティー保護されたネットワークでは、フォワード プロキシーを使用して、他のエンタープライズ リソースやエンドポイント、または外部のインターネットベースのデータ、サービス、またはアプリケーションへのアクセスを提供するのが一般的です。 その他の考慮事項については、「フォワード プロキシー」をご参照ください。
• 公開エンドポイントを必要とするシステム、または公開 Web アプリケーションをホストしているシステムでは、Web アプリケーション ファイアウォールやその他の受信トラフィック検出デバイスまたはソフトウェアの設定とともに、DMZ スタイルのデプロイメントを使用することをおすすめします。
• ネットワークの安全性が高いということは、多くの場合、Windows の強化プロセスや SELinux (Security-Enhanced Linux) の使用など、オペレーティング システムの構成の安全性が高いことを意味します。 これらのプロセスでは、さまざまな構成変更が発生する可能性があり、通常は ArcGIS システムと互換性があるものの、特定や診断が困難なエラーや接続の問題が発生する可能性があります。 システムのハードニングが安全なネットワーク設計に関係している場合は、組織の IT 担当者やセキュリティー担当者と緊密に連携して、構成変更、影響、テスト オプションを理解し、問題が発生した可能性のある場所を把握します。

リソース

ArcGIS Enterprise コンポーネントのコンピューター間ポート要件に関する具体的なガイダンスは、関連するソフトウェア ドキュメントに記載されています。 このドキュメントには、ArcGIS Enterprise コンポーネントの便利なポート要件の図も含まれています。