ArcGIS Enterprise güvenlik temelleriyle ilgili bilgileri derlemeye çalıştığımız yazı serimizde, Esri’nin kullanıcılarına tavsiye ettiği iyi uygulamaları sizlere aktarmaya devam ediyoruz. ArcGIS Server ve Portal for ArcGIS yazılımlarında gerçekleştireceğiniz  küçük ayarlamalarla verilerinizin ve servislerinizin güvenlik seviyesini arttırabilirsiniz.

ArcGIS Enterprise teknolojisinin kurumsal güvenlik kontrollerini yürütmek diğer BT çözümlerindeki güvenlik kontrollerini yürütmenin mantığıyla benzerdir. Güvenlik ilke ve kontrolleri mimarinin/sistemin her seviyesinde uygulanmalıdır. Bu süreç güvenlik politikalarınıza ve kurumunuzun gereksinimlerine göre ağınıza, işletim sistemlerinize ve VTYS’lerinize göre değişkenlik gösterebilir.

ArcGIS Server ve Portal for ArcGIS üzerinde veya bunlara ek olarak yürütebileceğiniz güvenlik ilkelerini CBS ve BT uzmanlarınızın ortak kararlarıyla iş akışınıza uygun biçimde yapılandırabilirsiniz. Güvenlik seviyenizi arttıracak bu işlem adımlarının bazılarından kısaca aşağıda bahsediyor olacağız.

ArcGIS Server Güvenlik Durumunuzu Kontrol Edin

ArcGIS Server güvenlikle ilgili sisteminizi tarayıp kontrol edebileceğiniz bir araç barındırmaktadır. “serverScan.py” Python aracı sisteminizi Esri’nin önermiş olduğu iyi uygulamalar açısından yapılandırıp yapılandırmadığınıza göre tarar ve size tespit ettiği hatalarla ilgili bir rapor oluşturur.

“serverScan.py” aracı ArcGIS Server kurulum dizininizin altında \tools\admin klasörünün altında yer alır.  Bu araca komut istemciniz üzerinden erişerek çalıştırabilirsiniz.

Örneğin oluşturacağınız komut ;

python serverScan.py -n gisserver.domain.com -u admin -p my.password -o C:\Temp

şeklinde olabilir.

Aracı çalıştırmanızın ardından aynı dizinde HTML formatında, serverScanReport_[hostname]_[date].html. adında bir rapor oluşacaktır. Aracı çalıştırmayla ilgili ve çalıştırmanızın ardından oluşacak rapordaki hata kodları ile ilgili detaylı bilgiye https://enterprise.arcgis.com/en/server/latest/administer/windows/scan-arcgis-server-for-security-best-practices.htm bağlantısından ulaşabilirsiniz.

ArcGIS Server İçerisine Güvenlik Sertifikasının Tanıtılması

İstemci-sunucu arasındaki iletişimde güvenli bir yol izlenmesinin ve kurum içi/dışı bu güvenilirliğinin doğrulanmasında Certification Authority (CA) imzalı sertifikalar, HTTPS üzerinden yürütülecek iletişimde güvenilir bir ortam sağlar. ArcGIS Server Administrator Directory üzerinden kurumunuzun sahip olduğu CA imzalı sertifikayı, ArcGIS Server’ınıza tanıtabilirsiniz.

  1. ArcGIS Server Administrator Directory’e giriş yapınız. https://gisserver.domain.com:6443/arcgis/admin
  2. machines>[machine name]>sslcertificates>importRootOrIntermediate sayfasına geliniz. Root (kök) sertifikanızı bu arayüzden içeri aktarabilirsiniz.
  3. “importSignedCertificate” sertifikanıza verdiğiniz takma adı giriniz, “Root Ca Certificate” için dosya yoluna gidiniz ve son aşamada sertifikayı seçmenizin ardından “Import” butonuna tıklayınız
  4. Sertifika yüklemenizin ardından yapılandırma için machines>[machinename]>Supported Operations: edit üzerinden “Web server SSL Certificate” yüklemiş olduğunuz sertifikanın takma adını girerek “Save Edits” butonuna tıklayınız.
  5. ArcGIS Server servisinizin yenilenmesinin ardından https://gisserver.domain.com:6443/arcgis/admin adresine erişip erişemediğinizden emin olunuz. Eğer bu adres üzerinden erişim gerçekleştiremiyorsanız http://gisserver.domain.com:6080/arcgis/admin adresine giderek sertifikanızı yükleyip yüklemediğinize dair durumu kontrol ediniz.

Görsel 1: ArcGIS Server Administrator Directory SSL Sertifika Yüklenmesi

Görsel 2 : ArcGIS Server İçerisinde SSL Sertifikasının Güncellenmesi

ArcGIS Server’a Yalnızca HTTPS Üzerinden Erişim İçin Yapılandırma

Halihazırda kurumunuza ait Certificate Authority (CA) imzalı bir sertifikanız bulunuyor ise bu sertifikayı ArcGIS Server’ınıza tanıtma işleminizin ardından yalnızca HTTPS üzerinden erişim için yapılandırabilirsiniz. Çoklu makineli üzerine kurulu bir ArcGIS Enterprise mimariniz var ise her ArcGIS Server için bu işlemi gerçekleştirmeniz gerekmektedir.

  1. ArcGIS Server Directory sayfanıza giderek giriş yapın  https://gisserver.domain.com:6443/arcgis/admin
  2. Security>config>update yolunu izleyiniz
  3. Açılan sayfada “Protocol” parametresinde “HTTPS only” seçerek “Update” butonuna tıklayınız

Görsel 3 : ArcGIS Server HTTPS Erişimini Yapılandırma İşlemi

Services Directory’i Kapalı Hale Getirme

Services Directory, ArcGIS Server web servislerinizi HTML tabanlı sunan ve REST üzerinden çeşitli işlemler  gerçekleştirebileceğiniz bir arayüz sunar. Services Directory yazılım geliştirme(development) kısmı için oldukça kullanışlıdır. Eğer bu amaçla kullanmıyorsanız, Esri kullanıcılarınızın tüm servislerinizin listesini görmemesi için canlı/üretim sistemlerinde bu arayüzün erişimini kapatmanızı önerir.

Services Directory arayüzünü erişime kapatmak için ArcGIS Server Administrator Directory arayüzüne admin yetkilerine sahip bir kullanıcı ile giriş yapmanız gerekmektedir.

https//gisserver.domain.com:6443/arcgis/admin veya https://gisserver.domain.com/webadaptoradı/admin adresiyle bu arayüze erişebilirsiniz

  1. ArcGIS Server Administrator Directory içerisinde system>handlers>rest>servicesdirectory>edit yoluyla Services Directory ayarlarına erişebilirsiniz.
  2. “Services Directory Enabled” seçeneğinin işaretini kaldırarak Save (Kaydet) butonuna basınız.

Görsel 4 : ArcGIS Server Services Directory Erişiminin Kapatılması

Yukarıda bahsettiğimiz işlem adımları daha önce de değindiğimiz gibi sizin iş akış sürecinize ve yürüttüğünüz CBS operasyonlarınıza, kurumunuzun IT politikalarına göre değişiklik gösterecektir. Yazımıza Portal for ArcGIS güvenliği ile ilgili yapabileceğiniz değişikliklerden de bahsedeceğiz.

ArcGIS Server için gerçekleştirebildiğiniz güvenlik kontrolü taramasını Portal for ArcGIS için de gerçekleştirebilirsiniz. Benzer adımların yürütüldüğü bu işlem için http://enterprise.arcgis.com/en/portal/latest/administer/windows/scan-your-portal-for-security-best-practices.htm bağlantısındaki dokümanı takip edebilirsiniz.

Portal for ArcGIS İçerisine Güvenlik Sertifikasının Tanıtılması

Portal for ArcGIS, ArcGIS Server’a HTTPS üzerinden istek gönderdiğinde, sunucu tarafından döndürülen sertifikanın güvenilir olup olmadığını kontrol eder. Eğer güvenilir bir sertifika kullanmıyor iseniz bu iki yazılım arasında iletişim başarısız olacaktır.

Portal for ArcGIS kurulum sırasında varsayılan olarak self-signed bir sunucu sertifikası oluşturmaktadır. Bu sertifika yalnızca kurulum sonrası ilk testleri gerçekleştirebilmeniz ve kurulumun başarı ile tamamlanıp tamamlanmadığını kontrol etmenize yardımcı olmaktadır. Eğer güvenli bir ArcGIS Enterprise mimarisine ihtiyacınız varsa, çalıştığınız ortam test değil üretim ortamı ise CA (Certificate Authority) tarafından onaylanmış bir güvenlik sertifikasını yüklemeniz gerekmektedir. Bu işlemi hem ArcGIS Server hem de Portal for ArcGIS içerisinde yürütmelisiniz.

Güvenilir bir sertifikayı ArcGIS Enterprise sisteminiz için kullanmanız güvenliğinizi sağlamanızın yanı sıra tarayıcı uyarıları almanızı veya diğer beklenmedik davranışlarla karşılaşmanızı engeller. Eğer güvenilir bir sertifika değil self-signed imzalı bir sertifika kullanmaya devam ederseniz aşağıda örnek olarak verilen durumlarla karşılaşabilirsiniz :

  • Web tarayıcınız ve ArcGIS Desktop uygulamanız tarafından sahip olduğunuz site’ın güvenilir olmadığına dair uyarılırsınız.
  • Federe bir ortamda Portal for ArcGIS Harita Görüntüleyici üzerinde bir servis görüntülemeye çalıştığınızda, güvenilir bir servis öğesini portalınız içerisine eklemeye çalıştığınızda veya ArcGIS Maps for Office üzerinden portalınıza bağlanmaya çalıştığınızda hatalarla karşılaşabilirsiniz.
  • Utility servislerinizin yapılandırılmasında, barındırılan servislerinizin yazdırılmasında ve portala istemci uygulamalar üzerinden erişim esnasında beklemediğiniz hatalar alabilirsiniz.

Kurumunuzun sahip olduğu CA imzalı sertifikanızı Portal for ArcGIS içerisine tanıtmak ve HTTPS üzerinden gerçekleştirilen iletişimlerde bu sertifikayı kullanmak için aşağıdaki işlem adımlarını yürütmelisiniz.

  1. ArcGIS Portal Directory içerisine Admin (Yönetici) hesabınız ile giriş yapınız. Gitmeniz gereken adresin URL formatı https://webadaptorhost.domain.com/webadaptoradı/portaladmin şeklinde olacaktır.
  2. Security>SSLCertificates>Import Root or Intermediate Certificate yolunu izleyerek sertifikanızı yükleyeceğiniz panele gidiniz.
  3. “Gözat” diyerek root (kök) sertifikanızın konumuna giderek “Import” butonuna tıklayınız. Eğer Intermediate seviyede bir sertifikanız var ise benzer adımlarla onu da yükleyiniz
  4. Portal for ArcGIS servisinizi işletim sisteminizin servisler penceresi üzerinden yenileyiniz.
  5. Var olan CA imzalı sertifikanızı da “Import Existing Server Certificate” paneli üzerinden yüklemeniz gerekmektedir. Sertifikanızın uzantısı “.p12” veya “.pfx” olmalıdır. Security>SSLCertificates>Import Existing Server Certificate yolunu izleyerek gideceğiniz panelden sertifikanızın parolası ve takma adını girerek Portal for ArcGIS içerisine yükleyebilirsiniz.

Portal for ArcGIS yazılımının yüklediğiniz bu sertifikaları kullanabilmesi için Security>SSLCertificates>Update arayüzünden yapılandırılması gerekmektedir. Bu arayüzde Web server SSL Certificate alanına varolan CA imzalı sertifikanızın takma adını girmelisiniz. “Update” butonuna bastığınızda Portal for ArcGIS yazılımınız HTTPS iletişimi için yüklemiş olduğunuz sertifikaları kullanıyor olacaktır.

ArcGIS Enterprise Portalınıza Güvenilir Domain Adları Ekleyin

Varsayılan ayarlarda, ArcGIS Enterprise portalınız cross-domain üzerinden Cross-Origin Resource Sharing (CORS) ile gelen isteklere izin vermektedir. Bu herhangi bir domainde yer alan Javascript istemcilerinin, örneğin bir web uygulaması, portal kaynaklarınızla iletişim kurabileceği anlamına gelmektedir.

ArcGIS Enterprise 10.6 ile gelen cross-domain isteklerinin engellenmesi özelliğiyle, belirli domain adreslerinden gelen isteklerin portalınıza erişmesini istiyorsanız, portalınıza bu domainleri güvenilir olarak tanıtabilirsiniz. Bu işlemi ArcGIS Enterprise portalınızın güvenlik ayarlarında izin verilen kaynak listesine domain adlarını ekleyerek gerçekleştirmeniz gerekmektedir. Bu ayarlama bilinmeyen bir uygulamanın web hizmetlerinize kötü amaçlı komutlar gönderebilme olasılığını azaltacaktır.

  1. Portalınıza yönetici olarak giriş yapınız.
  2. Organization>Edit Settings>Security sekmesine geliniz.
  3. Allow Origins kısmında portalınızdaki öğelere erişmesi gereken web uygulamalarının bulunduğu domain adlarını ekleyebilirsiniz. Bu domain adlarını tanıtırken mutlaka http veya https protokollerini de girmiş olmanız gerekmektedir. Örneğin domain adı formatınız https://webapp.domain.com şeklinde olabilir. Makine adını girerken fully qualified domain name olarak girmelisiniz.
  4. Add Domain butonuna basarak bu adresleri listeye ekleyebilirsiniz. Bir veya birden fazla domain eklemenizle beraber portalınız artık yalnızca bu adreslerden istek kabul edecektir.
  5. Tüm domainleri eklediğinizde “Save” diyerek işleminizi tamamlayabilirsiniz.

Yararlanılan Kaynaklar : 

  • https://trust.arcgis.com
  • https://enterprise.arcgis.com/en/server/latest/administer/windows/scan-arcgis-server-for-security-best-practices.htm
  • https://enterprise.arcgis.com/en/server/latest/administer/windows/configuring-https-using-a-new-ca-signed-certificate.htm
  • https://enterprise.arcgis.com/en/server/latest/administer/windows/disabling-the-services-directory.htm
  • https://enterprise.arcgis.com/en/portal/latest/administer/windows/security-best-practices.htm
  • https://enterprise.arcgis.com/en/portal/latest/administer/windows/import-a-certificate-into-the-portal.htm
  • https://enterprise.arcgis.com/en/portal/latest/administer/windows/restrict-cross-domain-requests-to-your-portal.htm

Bu yazının hazırlanmasında destek olan ekip arkadaşım Belkiya Ercan’a teşekkür ederim..

Esri Türkiye, 2018

 

 

Share This