In diesem Blogbeitrag erfahren Sie, wie Sie Ihre ArcGIS Enterprise Umgebung gezielt absichern und wie Sie sicherheitsrelevante Veröffentlichungen im Blick behalten.
Wer ArcGIS Enterprise betreibt, muss nicht nur sicherstellen, dass das System so ausgestattet und konfiguriert ist, dass alle Nutzer:innen ohne Störung ihrer Arbeit nachgehen können. Eine weitere wichtige Aufgabe ist das große Thema Absicherung der ArcGIS Enterprise Umgebung. Um Sie dabei zu unterstützen, wollen wir Sie in diesem Blogbeitrag auf einige Möglichkeiten aufmerksam machen, das System initial zu sichern und möglichst sicher zu halten.
System Design und -härtung
Das Thema Sicherheit sollte bereits beim System Design mitgedacht werden. Hier ist ein Blick in das ArcGIS Architecture Center sehr hilfreich. Mit dem ArcGIS Well-Architected Framework werden dort sehr nützliche Ressourcen zur Konfiguration eines Enterprise-GIS zur Verfügung gestellt. Hier werden Empfehlungen, Best Practises und Erwahrungswerte der Esrianer:innen, Distributoren, Partner:innen und Anwender:innen für das Aufsetzen einer ArcGIS Enterprise Umgebung zusammengeführt. Im Pillar „Security“ finden Sie unter anderem eine Checkliste und Fokuspunkte, die zeigen, über welche Punkte Sie bereits im Stadium des System Designs diskutieren sollten.
Sobald Ihre ArcGIS Enterprise Umgebung installiert ist, sollte am besten direkt mit der Härtung des Systems begonnen werden, besonders dann, wenn es sich um eine Umgebung handelt, die vom öffentlichen Internet aus erreichbar sein muss. Einen ersten Hinweis auf mögliche Schwachstellen können Ihnen die mit der Installation ausgelieferten Skripte portalScan.py und serverScan.py liefern. Die Skripte prüfen Ihre Umgebung hinsichtlich einiger der von Esri veröffentlichten Sicherheitsempfehlungen für Portal und Server. Für einen ersten Überblick zum Stand der Sicherheit Ihrer Umgebung kann auch das Tool ArcGIS Security Adviser hilfreich sein. Auch hier bekommen Sie schnell erste Punkte aufgezeigt, die einen tieferen Blick notwendig machen können.
Übrigens: Der ArcGIS Sercurity Adviser ist nicht nur für ArcGIS Enterprise Umgebungen einsetzbar, sondern auch für ArcGIS Online.
Eine umfangreiche und ganzheitliche Härtung geht aber über die Umsetzung der von den Tools angezeigten Sicherheitsempfehlungen hinaus. Um Sie bei der Systemhärtung zu unterstützen haben wir den Hardening Guide veröffentlicht. In diesem Dokument werden Strategien zur Sicherung des Systems beschrieben. Da das Vorhandensein einer Strategie allein wenig hilft, finden Sie im Hardening Guide auch die zugehörigen Einstellungen. Wir empfehlen Ihnen dringend Ihre ArcGIS Enterprise Umgebung hinsichtlich des Hardening Guides zu prüfen, und zwar unabhängig davon, ob es sich um eine frisch installierte oder seit langem produktiv genutzte Umgebung handelt.
Bleiben Sie up-to-date
Sicherheit kann natürlich nicht nur durch grundlegende Einstellungen bei Inbetriebnahme der Umgebung gewährleistet werden. Genauso wie potenzielle Schädiger ihre Strategien und Methoden weiterentwickeln, müssen wir auch die ArcGIS Enterprise Umgebung an diese Entwicklungen anpassen. Dazu gehört auch die zeitnahe Installation von zur Verfügung gestellten Patches. Ob für Sie Patches zur Verfügung stehen, können Sie auf verschiedenen Wegen herausfinden.
Zum einen bietet der technische Support eine gute Übersicht zu veröffentlichten Patches auf dieser Seite. Hier können Sie auch Patches direkt herunterladen und bekommen Informationen dazu, wie sie installiert werden können. Wenn Sie mit der Support App arbeiten, werden Sie auch hier durch Push-Benachrichtigungen über neu zur Verfügung gestellte Patches informiert, sofern Sie Benachrichtigungen aktiviert haben.
Eine Alternative ist die Ausführung des Tools Check for ArcGIS Enterprise Updates (Patch Notification Tool). Das steht Ihnen auf allen Maschinen zur Verfügung, auf denen ArcGIS Enterprise Komponenten installiert sind (Ausnahme ArcGIS Webadaptor).
Das Tool erkennt die installierten ArcGIS Enterprise Komponenten, die bereits installierten Patches und die nun zur Verfügung stehende Patches. Sie können hier die Installation auch direkt starten. Weitere Informationen dazu finden Sie in unserer Dokumentation.
Kennen Sie eigentlich das ArcGIS Trust Center? Hier werden zeitnah Informationen publiziert. Nicht nur zu neuen Patches, sondern auch zu anderen sicherheitsrelevanten Themen.
Wir empfehlen Ihnen dringend, sich regelmäßig im ArcGIS Trust Center zu informieren. Oder besser noch, abonnieren Sie den RSS-Feed um sehr zeitnah informiert zu werden, sobald es wichtige Informationen zur Sicherheit Ihrer ArcGIS Enterprise Umgebung gibt und evt. sogar eine Handlung notwendig wird.
Sie haben im ArcGIS Trust Center zusätzlich die Möglichkeit, eigene Sicherheitsanfragen abzusetzen. Über die Schaltfläche Report a Security or Privacy Concern auf der Startseite des ArcGIS Trust Centers treten sie direkt in Kontakt mit dem PSIRT (Product Security Incident Response Team) von Esri inc..
Bitte beachten sie die auf der Webseite ausgewiesenen Richtlinie zur Meldung von Sicherheitsrisiken. Wenn diese eingehalten werden, sichert das PSIRT folgendes zu:
Allen Sicherheitsspezialisten gegenüber, die diese Richtlinie zur Meldung von Sicherheitsrisiken befolgen, verpflichtet sich das Product Security Incident Response Team zu Folgendem:
Rechtzeitige Bestätigung des Eingangs Ihres Berichts
Bereitstellung einer zeitlichen Aufwandsschätzung zur Behebung dieses Sicherheitsrisikos
Benachrichtigung der meldenden Person, sobald das Sicherheitsrisiko behoben wurde
