Наверх

Проектирование защищенной сети

Работа в защищенных сетях и средах была требованием программного обеспечения ArcGIS на протяжении десятилетий. Поддержка новых концепций, провайдеров и шаблонов безопасности имеет решающее значение для дальнейшего согласования с этими защищенными сетями. Можно установить несколько ключевых критериев проектирования или рекомендаций для архитекторов, работающих в более безопасных средах. По мере того как организации эволюционировали от неявного доверия, где их сеть имела четкое определение, к миру, в котором пользователи перемещаются между интернетом, внутренней сетью и различными пространствами между ними, определение сетевой безопасности менялось и развивалось, добавляя новые возможности и сложности.

Обычно роль системного архитектора не включает в себя определение сетевых конструкций, топологии или целей проектирования, поэтому процесс проектирования систем ArcGIS часто сводится к постановке вопросов, изучению ограничений сети и обеспечению того, чтобы система работала должным образом с учётом этих ограничений.

ArcGIS в защищенных сетях

ArcGIS Enterprise, ArcGIS Pro и другие приложения и инструменты ArcGIS были разработаны для эффективной работы в защищенных сетях, в том числе полностью отключенных от интернета. Приведены некоторые ключевые аспекты по использованию ArcGIS в защищенных сетях.

  • Программные компоненты ArcGIS ожидают прямой видимости других приложений или конечных точек ArcGIS. Это относится к компонентам ArcGIS Enterprise, таким как ArcGIS Server и ArcGIS Data Store, а также к настольным клиентам, таким как мобильные приложения, ArcGIS Pro и ArcGIS Earth. Прямое подключение означает, что системы могут взаимодействовать без прокси-сервера, учитывающего идентификацию, или другого уровня аутентификации между компонентами, работающими в одной сети. В защищенных сетях широко распространено использование прямых прокси-серверов для обеспечения доступа к другим корпоративным ресурсам и конечным точкам или внешним интернет-данным, сервисам или приложениям. Дополнительные соображения см. в разделе прямые прокси.
  • Для систем, в которых требуются общедоступные конечные точки или размещаются общедоступные веб-приложения, рекомендуется использовать развертывание в DMZ, а также настройку брандмауэра веб-приложения или другого устройства или программного обеспечения для мониторинга входящего трафика.
  • Более защищённые сети часто требуют более строгих настроек операционных систем, таких как использование процессов усиления безопасности Windows или Security-Enhanced Linux (SELinux). Эти процессы могут внести широкий спектр изменений в настройки, которые, в целом, совместимы с ArcGIS, но могут вызвать ошибки или проблемы с подключением, которые трудно обнаружить или устранить. Если усиление защиты системы связано с проектированием безопасной сети, работайте в тесном сотрудничестве с ИТ-специалистами и экспертами по безопасности вашей организации, чтобы понять изменения конфигурации, их последствия и варианты тестирования, а также определить, где могла возникнуть проблема.

Ресурсы

Конкретные рекомендации по требованиям к портам для взаимодействия компонентов ArcGIS Enterprise между машинами приведены в соответствующей документации к программному обеспечению. Документация также включает полезную схему требований к портам для компонентов ArcGIS Enterprise.

Top