Некоторые советы по настройкам безопасности ArcGIS for Server

Речь пойдет об ограничении доступа к ArcGIS for Server из сети. По умолчанию ArcGIS for Server имеет три точки доступа:

  • через веб-приложение управления ГИС-сервером — ArcGIS Server Manager,
  • через каталог сервисов — Services Directory,
  • через веб-интерфейс администратора — Administrator Directory.

Можно самостоятельно проверить возможность доступа к вашему серверу через эти точки, а для примера мы возьмем один из серверов на ArcGIS Online:
1. Каталог сервисов ( Services Directory) : http://sampleserver3.arcgisonline.com/ArcGIS/rest/services/ — каталог сервисов, опубликованных на ArcGIS for Server
2. Administrator Directory: http://sampleserver3.arcgisonline.com/ArcGIS/rest/admin — доступ администратора
3. Server Manager: http://sampleserver3.arcgisonline.com/ArcGIS/manager — GUI (графический пользовательский интерфейс) для управления ArcGIS for Server

Аналогично можно проверить доступ к собствееному ГИС-серверу, принимая во внимание тот факт, что доступ может быть настроен с помощью защищенного соединения и тогда необходимо указать начало адреса с https://… или, например, используется прямой доступ к ArcGIS по порту 6080 и тогда в адресе необходимо прописать порт, например, http://sampleserver3.arcgisonline.com:6080/ArcGIS/rest/services/ и, конечно, могут быть и другие комбинации адреса.

Можно рассматривать эти три точки входа в качестве трех дверей от разных помещений, но одного дома под названием ArcGIS for Server. Дверь под названием Каталог сервисов ( Services Directory) по умолчанию открыта, а две других закрыты и осуществить вход может только пользователь, обладающий необходимым ключом, но как мы знаем, двери взламываются и ничего хорошего в этом нет, поэтому требуется максимально защитить все точки входа.

Разберем первый пункт — каталог сервисов (Services Directory). Здесь отображаются ГИС-ресурсы, которые были опубликованы на ГИС-сервере. Если веб-сервисы не были запаролены, то каждый посетитель этой страницы сможет сразу увидеть все эти сервисы, начать выполнять к ним запросы или скопировать ссылки для использования этих сервисов в собственных веб-приложениях. Но Каталог сервисов можно отключить для общего доступа. Осуществляется это через панель администратора Administrator Directory. Давайте сделаем это на примере моего собственного экземпляра ArcGIS for Server:
1. Заходим в административную панель: http://stark.dataplus.local — или адрес, например, в интернете: mygisserver.website.ru/arcgis/rest/admin

2. Переходим в раздел system -> handlers -> rest и servicesdirectory -> edit. А здесь снимаем галочку для Services Directory Enabled и сохраняем

handlers -> rest

servicesdirectory -> edit

3. Теперь попробуйте перейти на страницу каталога сервисов …ArcGIS/rest/services/ — она будет закрыта и больше не будет возможности исследовать сразу все открытые веб-сервисы, таким образом. мы закрыли одну дверь.

Теперь посмотрим на Administrator Directory и ArcGIS Server Manager, которые позволяют полностью управлять ArcGIS for Server при входе с правами администратора. Рекомендуется отключить основную учетную запись администратора, которая была создана, когда настраивался сайт только что установленного ArcGIS for Server. Отключение основной учетной записи адм. гарантирует, что единственным способом администрирования ArcGIS for Server будет использование группы или роли, заданной в хранилище аутентификации учетных записей. Пошаговое описание по отключению основной учетной записи администратора приведено в русскоязычной справке к ArcGIS for Server по адресу: http://resources.arcgis.com/ru/help/main/10.2/index.html#//0154000005w1000000 из раздела Обеспечение безопасности сайта ArcGIS Server

Если Вы занимаетесь администрированием ArcGIS for Server из внутренней сети и доступ к Administrator Directory и ArcGIS Server Manager из внешней сети не требуется, то также рекомендуется ограничить доступ по этим адресам из внешней сети, используя возможности веб или прокси- сервера организации.

Для всех, интересующихся вопросами безопасности ArcGIS for Server, рекомендую посмотреть доклад на Esri International User Conference 2013 под названием Designing an Enterprise GIS Security Strategy и ознакомится с самой презентацией, скачав ее по ссылке