Безопасность является важным фактором для всех ИТ-систем, и особенно для корпоративных систем, которые широко используются многими пользователями или бизнес-процессами. Поскольку многие современные системы эволюционировали и стали полагаться на сервис-ориентированные архитектуры с выходом в интернет, важность надежной системы безопасности возросла, спектр проблем безопасности резко изменился и соответственно усилия увеличились усилия по обеспечению безопасности системы.
Хорошо спроектированные системы учитывают требования безопасности и стратегию с самых ранних этапов проектирования системы и стремятся сбалансировать строгие принципы безопасности с удобством использования и соответствующим доступом к системе. ArcGIS поддерживает эти цели, опираясь на стандартные основы IT-безопасности, начиная от зашифрованных коммуникаций и безопасного хранения учетных данных пользователей, использования существующих технологий, таких как веб-серверы и базы данных, и заканчивая внедрением новых стандартов безопасности, таких как SAML и OpenID Connect, по мере их роста популярности. При правильном проектировании системы ArcGIS могут быть совместимы со стандартами безопасности и конфиденциальности организации, обеспечивая при этом открытый доступ и широкий набор рабочих процессов.
Этот принцип архитектуры содержит некоторые руководящие рекомендации, связанные с безопасностью, как в локальных, так и для приложений в формате программного обеспечения как услуги, начиная от шифрования и сертификатов и заканчивая интеграцией с современными устройствами безопасности, такими как WAF и прокси-серверы с поддержкой удостоверений. Эти рекомендации применимы к любой системе ArcGIS и не являются эксклюзивными для шаблонов, описанных на этом сайте.
Обратите внимание, что стандарты и требования безопасности могут существенно различаться в разных организациях. Наиболее важные рекомендации по безопасности исходят от собственных команд безопасности организации, которые поддерживают свои собственные системы, стандарты, политики и риски более эффективно, чем любой внешний провайдер. Рассмотрите следующие концепции и их применимость к вашей собственной системе, а также тесно сотрудничайте с вашими командами, чтобы определить, как они могут быть применены в вашей организации.
Как правило, конфигурация безопасности ArcGIS Components включает в себя интеграцию функций продукта Esri, сторонних решений и различных подходов к реализации. Ниже описаны основные технические механизмы безопасности, такие как аутентификация и авторизация пользователей, фильтры, шифрование, ведение журналов и аудит, а также усиление защиты.
Аутентификация — это процесс, используемый для проверки учетных данных для подтверждения подлинности приложения или пользователя, пытающегося подключиться к системе. После подтверждения удостоверения процесс авторизации определяет, есть ли у приложения или пользователя разрешение на доступ к таким ресурсам, как данные, карты или приложения. Вы можете уменьшить количество учетных данных пользователя, которыми пользователь должен управлять, настроив единый вход для защиты ресурсов вашей организации.
ArcGIS поддерживает несколько централизованных стандартов идентификации, включая следующие:
В зависимости от используемого хранилища удостоверений для аутентификации и авторизации могут потребоваться определенные технологические конфигурации, обеспечивающие доступ пользователей и приложений к системным ресурсам.
После завершения этапа аутентификации и получения у пользователя токена доступа к ArcGIS применяются правила авторизации и доступа. Они могут принимать различные формы, и ArcGIS был разработан и построен для поддержки сложных, специфичных для организаций моделей или структур авторизации.
Концепции авторизации в ArcGIS включают в себя:
Процесс фильтрации аппаратного и программного обеспечения может быть использован для перехвата недействительных или атакующих запросов до того, как сервер сможет их принять. Брандмауэры могут использоваться для предотвращения несанкционированного доступа к частным ресурсам или для проверки пакетов и их принятия или отклонения на основе определенных правил, основанных на допустимых уровнях риска. Обратные прокси-серверы скрывают детали внутренней сети и могут быть настроены для фильтрации содержимого, переписывания URL-адресов и балансировки нагрузки.
Шифрование передаваемых данных является стандартным требованием современных корпоративных систем, и большинство веб-браузеров по умолчанию используют HTTPS-соединения с веб-сайтами и приложениями SaaS, запрещая использование незашифрованного соединения. По умолчанию ArcGIS настроен на использование протокола Transport Layer Security (TLS) для клиентских подключений к ArcGIS Enterprise и ArcGIS Online. Кроме того, для шифрования данных и обнаружения их подмены или изменения следует использовать надежные методы шифрования, такие как Advanced Encryption Standard (AES) и Secure Hash Algorithms (SHA). Шифрование хранимых данных может защитить от потенциального злонамеренного доступа к оборудованию или системам хранения, а системы ArcGIS обычно могут получать доступ к зашифрованному хранилищу, используя стандартные средства защиты операционной системы.
Практика регулярного аудита и анализа журналов систем и приложений может обеспечить базовое понимание использования во время рутинных операций. Аномалии, которые отклоняются от этого базового уровня, могут помочь в выявлении и расследовании инцидентов безопасности или предоставить информацию о проблемах системы и необычных условиях. Журналы приложений также могут содержать сведения на уровне событий о конкретных инцидентах безопасности и нарушениях политик.
Усиление защиты – это процесс безопасной настройки системы для снижения как можно большего количества рисков безопасности. Усиление защиты включает в себя следующие действия:
Компания Esri недавно выпустила всеобъемлющее Руководство по усилению защиты для ArcGIS Enterprise, которое доступно вместе с дополнительными ресурсами через ArcGIS Trust Center.