Méthodes pour implémenter la sécurité dans ArcGIS Server
Votre serveur SIG représente un investissement, en effort et en ressources, que vous voulez protéger. ArcGIS Server contient des mécanismes de protection qui empêchent les utilisateurs non autorisés d'accéder à vos services et applications. Vous pouvez aussi utiliser ArcGIS Server pour configurer des niveaux d'accès pour les différents groupes de votre organisation.
Il existe plusieurs aspects de votre serveur SIG que vous pouvez sécuriser :
-
Sécurisation de votre système dans son ensemble
La sécurisation de votre système dans son ensemble implique la protection de votre matériel et de vos logiciels, ainsi que la configuration d'ArcGIS Server pour qu'il fonctionne dans l'infrastructure de sécurité existante de votre organisation. Votre organisation utilise probablement un pare-feu pour protéger le réseau interne contre d'éventuels utilisateurs malveillants sur Internet. Votre système ArcGIS Server, protégé derrière un pare-feu, ne nécessite pas le placement de pare-feu individuels entre ses composants.
Les systèmes ArcGIS Server doivent être sécurisés contre toute attaque malveillante physique ou via le réseau, comme tout autre système informatique. Suivez les pratiques conseillées définies par vos administrateurs informatiques pour des problèmes tels que la sécurité physique, les mises à jour logicielles et la maintenance d'un antivirus.
Les applications Web doivent toujours être vigilantes face à des attaques par injection de code SQL et face à d'autres attaques malveillantes. Les services Web d'ArcGIS Server ont été testés entièrement dans le domaine de l'injection de code SQL et d'une utilisation malveillante. De la même façon, il convient de tester les applications Web personnalisées pour s'assurer qu'elles respectent les mêmes consignes de sécurité.
Enfin, toutes les fois que des utilisateurs envoient des informations sensibles à votre serveur, comme par exemple lors de la connexion au Gestionnaire, il est recommandé d'utiliser une connexion SSL (Secure Sockets Layer). SSL chiffre les données, protégeant ainsi les noms d'utilisateur et les mots de passe contre toute personne malveillante désireuse d'intercepter la transaction.
-
Sécurisation des connexions locales
Les connexions locales au serveur SIG sont gérées par le biais des utilisateurs et des groupes du système d'exploitation. Deux groupes, agsadmin et agsusers, sont créés par le processus d'installation et sont autorisés à accéder au serveur SIG. Vous devez ajouter dans ces groupes tous les utilisateurs qui établiront des connexions locales avec le serveur SIG.
-
Sécurisation des connexions Internet (services Web)
Vous pouvez configurer la sécurité pour les connexions Internet ArcGIS Server (services Web) par le biais de l'application Gestionnaire. Cela inclut la définition d'utilisateurs et de rôles, ainsi que la détermination des privilèges dont les rôles doivent disposer pour fonctionner avec les services.
-
Sécurisation des applications Web
Vous pouvez utiliser le Gestionnaire pour définir les utilisateurs et les rôles qui peuvent accéder à vos applications Web et le niveau de privilèges qu'ils doivent posséder.
Zones de sécurité
Vous pouvez considérer la sécurité d'ArcGIS Server comme deux zones, illustrées dans le graphique ci-dessous. Cette section de l'aide contient des manuels qui correspondent à ces zones.
Tous les administrateurs de serveur SIG doivent s'inquiéter de la zone de sécurité locale, parce que l'administration du serveur nécessite un compte qui a été ajouté au groupe agsadmin. Vous pouvez commencer immédiatement à configurer la sécurité locale en ajoutant ou en omettant des utilisateurs à partir des groupes agsadmin et agsusers. En revanche, la sécurité Internet nécessite que vous effectuiez un travail préparatoire visant à configurer un magasin d'utilisateurs et de rôles et à activer explicitement la sécurité avant de pouvoir empêcher les utilisateurs d'accéder à vos applications et services Web.
Les utilisateurs de votre serveur SIG détermineront l'orientation de votre stratégie de sécurité. Si vous avez une application ou un service Web qui expose différents niveaux d'accès à quiconque dispose d'une connexion Internet (par exemple, Invité, Employé, Administrateur), vous devez vous inquiéter de la zone de sécurité Internet, à savoir de la configuration des utilisateurs et des rôles et d'une façon de les stocker. En revanche, si vous disposez d'un ensemble de services que seuls les utilisateurs figurant sur le réseau local ajouteront à ArcMap, vous devez uniquement vous inquiéter de la zone de sécurité locale, en configurant les groupes agsadmin et agsusers.
Certaines applications nécessitent de tenir compte des deux zones, telles qu'une application Web utilisée par les employés sur votre réseau local pour modifier les données SIG. L'application doit s'exécuter en tant que membre du groupe agsusers, ce qui implique la zone de sécurité locale. Au même moment, l'accès à l'application doit être géré par le biais des utilisateurs et des rôles, ce qui implique la zone de sécurité Internet.