Mit diesem Beitrag möchten wir Sie auf drei aktuelle Sicherheitsempfehlungen für ArcGIS Enterprise Umgebungen aufmerksam machen.
Sicherheitsempfehlungen für Produkte von Esri und deren Workflows entwickeln sich weiter, wenn neue Funktionalitäten verfügbar sind und weniger sichere Konfigurationen entfernt werden können. Dieser Artikel umfasst drei neue wichtige Empfehlungen zur Sicherheitskonfiguration, die ArcGIS Enterprise-Kunden unverzüglich überprüfen sollten.
Konfigurieren der Liste zulässiger Portal for ArcGIS-Proxys (allowedProxyHosts)
ArcGIS Enterprise beinhaltet einen Freigabe-Proxy. Dieser sollte von Kunden immer konfiguriert werden, um das Risiko von DoS- (Denial of Service) oder SSRF-Angriffen (Server-Side Request Forgery) zu verringern, die Aktivitäten des Kunden auszunutzen versuchen. Die allowedProxyHosts-Eigenschaft wurde im ArcGIS Enterprise Hardening Guide ursprünglich als Element in den Einstellungen im Advanced-Profil geführt, da sich dabei potenziell Herausforderungen bei der Implementierung ergeben konnten.
Die Einstellung wurde aber durch Esri in das Basic-Profil überführt, was bedeutet, dass alle Kunden diese Einstellung konfigurieren sollten; lesen Sie dazu im aktualisierten ArcGIS Enterprise Hardening Guide den Appendix J für weitere Details zur Konfiguration. Ein Hinweis: Esri arbeitet daran, die Verwendung des Freigabe-Proxys für neue Bereitstellungen ab der Version ArcGIS Enterprise 12.0 standardmäßig zu deaktivieren, aber bis dahin sollte allowedProxyHosts immer konfiguriert werden.
Entfernen veralteter API-Schlüssel
Esri hat neue API-Schlüssel in ArcGIS Location Platform, ArcGIS Online und ArcGIS Enterprise eingeführt, die über integrierte Sicherheitsmechanismen verfügen und für eine deutlich höhere Sicherheitsgarantie sorgen. Obwohl ArcGIS Enterprise keine Legacy-API-Schlüssel erstellen oder verarbeiten kann, haben einige Kunden diese in ihre ArcGIS Enterprise-Bereitstellung eingebettet, indem sie sie an URLs angehängt haben, die ArcGIS Online und ArcGIS Location Platform aufrufen. Legacy-API-Schlüssel sind von Natur aus unsicher, da sie nicht bereichsbezogen sind und nie ablaufen. Esri wird die Verwendung von Legacy-API-Schlüsseln für den Zugriff auf ArcGIS-Services so lange zulassen, bis sie 2026 eingestellt werden. Kunden sollten jedoch umgehend auf die neuen API-Schlüssel-Anmeldedaten umstellen und Legacy-API-Schlüssel aus allen ArcGIS-Systemen entfernen/löschen.
Vermeiden von Forward-Proxy-Authentifizierung
Wenn Ihre Organisation den gesamten Internetverkehr von Ihren ArcGIS Enterprise-Systemen an einen von Ihrer Organisation verwalteten Proxy weiterleiten muss, stellen Sie bitte Folgendes sicher; andernfalls fahren Sie mit dem Abschnitt Bonus weiter unten fort. Die Basisauthentifizierung zwischen ArcGIS Enterprise und dem Forward-Proxy-System eines Kunden wurde vor vielen Jahren eingeführt, um den Zugriff von Systemen zu reduzieren, die den Forward-Proxy für die Kommunikation mit Internetsystemen verwenden. Da Esri festgestellt hat, dass Forward-Proxys bei der Verwendung der Basisauthentifizierung häufig falsch konfiguriert wurden, empfiehlt Esri nun dringend, die Basisauthentifizierung zwischen ArcGIS Enterprise und Forward-Proxys NICHT zu verwenden und stattdessen die standardmäßige eingeschränkte Kommunikation zwischen Systemen, z. B. über Netzwerkzugriffskontrollen, zu nutzen.
Auch diese Empfehlung wurde dem aktualisierten ArcGIS Enterprise Hardening Guide als Sicherheitseinstellung im Basic-Profil hinzugefügt. Esri erwägt, die Unterstützung der Basisauthentifizierung mit Kunden-Forward-Proxys in zukünftigen Versionen aufgrund der damit verbundenen Risiken einzustellen.
Bonus: Kritische Bedeutung von Produkt-Updates
Abschließend noch ein Hinweis: Die Verwendung von Produkten, die sich in der Lebenszyklusphase “Mature” oder “Retired” befinden, stellt stets ein außerordentlich hohes Risiko dar. Diese Produkte sollten daher NICHT mit dem Internet verbunden werden. Das gilt auch für ArcGIS Enterprise 11.0, ArcGIS Enterprise 10.9 und frühere Versionen. Esri empfiehlt dringend, Ihre Systeme mindestens auf den Stand der Lebenszyklusphase General Availability der jeweiligen Esri Produkte zu aktualisieren, wenn nicht sogar auf die neueste Version.
Vielen Dank, dass Sie sich die Zeit genommen haben, diese neuen Empfehlungen zur Verbesserung der Cybersicherheit von ArcGIS in Ihrer Organisation zu lesen und hoffentlich erfolgreich umzusetzen. Wenn Sie Fragen, Anregungen oder Bedenken zu diesen neuen Empfehlungen haben, wenden Sie sich bitte an uns.
Dieser Beitrag basiert auf einem englischsprachigen Artikel von Esri: 2025 Top 3 New Critical Security Recommendations.
