2019 ArcGIS Güvenlik Standartları ve Protokolleri İyileştirmeleri Nelerdir?

Esri hizmet ve yazılım ürünlerini mümkün olduğunca güvenli kalmasını sağlamak için, kullanılan güvenlik standartlarını ve protokolleri sürekli olarak takip etmekte ve güncellemektedir.Kullanıcılar, SaaS kullanan sistemlerini ve yapılandırmalarını (ArcGIS Online gibi) güncel tutmuyorlarsa, bu durum müşteriler için önemli kesintilere neden olabilir.

2019 boyunca, Esri yazılımlarını etkinleştirilmeden önce farkında olmanız ve hazırlamanız gereken birçok önemli değişiklik planmıştır.

Nisan 2019 – ArcGIS Online TLS 1.0 ve 1.1’in kaldırılması

ArcGIS Online şu anda 1.0, 1.1 ve 1.2 TLS’yi desteklemektedir. Ancak Nisan 2019’da kullanıcıların bağlanması için yalnızca 1.2 TLS protokü kullanılabilecektir. Daha eski protokol sürümleri on yıl önce yayınlandı ve piyasaya sürülmesinden bu yana birçok iyileştirme yapılmasına rağmen TLS 1.2, artık Internet üzerinden şifreli içerik sunmanın en güvenli ve en güvenilir yöntemi olarak kabul edilmektedir.

Ayrıca, PCI Veri Güvenliği Standardı (PCI DSS) ve FedRAMP yetkilendirme programı, SSL / TLS 1.0 uygulamalarının devre dışı bırakılmasını gerektirmektedir. TLS 1.2’yi şiddetle tavsiye etmelerine rağmen, PCI ve FedRAMP tarafından yine de TLS 1.1,  kabul edilecektir. Hem TLS 1.0 hem de 1.1 ile ilgili güvenlik kaygıları ve birden fazla standart kuruluşu tarafından verilen öneriler dikkate alınarak,ileriye yönelik hareket edilerek her iki sürümün de desteği kaldırılacaktır.

ArcGIS Online’a bir tarayıcı üzerinden erişen  kullanıcıların, TLS 1.2’nin en yeni tarayıcı sürümleriyle uyumlu olması nedeniyle herhangi bir ayarlama yapması gerekmemektedir . ArcGIS Pro gibi bazı ArcGIS Online istemcileri zaten TLS 1.2 etkindir.

Aksiyon gerektiren Esri yazılımı,

• ArcGIS Desktop,
• ArcGIS Desktop veya ArcGIS Enterprise üzerine geliştirilen uygulamalar,
• ArcGIS Engine (ArcObjects) ile geliştirilen uygulamalar,
• ArcGIS Online servilerine erişen eklentiler,

Bu güncellemeden önce gerçekleştirmeniz gerekebilecek daha fazla bilgi ve belirli eylemlere Esri TLS Destek sayfasından  ulaşabilirsiniz.

ArcGIS Enterprise 10.7 versiyonu – Varsayılan ayar olarak TLS 1.0, 1.1 ve HTTP devre dışı

Varsayılan olarak güvenli kurulumların yapılandırılmasına yardımcı olmak için, ArcGIS Enterprise 10.7 sürümü yalnızca TLS 1.2 ile HTTPS etkinleştirilebilecektir.(ArcGIS Enterprise 10.6.1 varsayılan ayar olarak, TLS 1.0’ı devre dışı bırakmaktadır ve ArcGIS Enterprise 10.6.1 önceki sürümlerinde TLS 1.0, 1.1, 1.2, HTTP ve HTTPS’yi kullanımı devam edecektir.)

Müşteri işlemlerinin aksamasını en aza indirmek için, ArcGIS Enterprise versiyon yükseltme yapıldığında HTTP, TLS 1.0 veya 1.1’i devre dışı bırakmayacağını unutmayın.(Önceden var olan yapılandırmada etkinleştirilmişlerse).Güncelleme yapan müşteriler ArcGIS Enterprise kurulumlarını kurulum ayarları dokümanında belirtildiği şekilde yalnızca HTTPS ve TLS 1.2 kullanacak şekilde yapılandırabilir.

Varsayılan olarak güvenli kurulumların geliştirilmesine yardımcı olmak için, yalnızca ArcGIS Enterprise 10.7 sürümünün serbest bırakılması için TLS 1.2 olan HTTPS etkinleştirilir (ArcGIS Enterprise 10.6.1, TLS 1.0’ı devre dışı bırakma varsayılanları ve önceki sürümleri varsayılan olarak TLS 1.0, 1.1, 1.2, HTTP ve HTTPS). Önceki bir ArcGIS Enterprise sürümünden yükseltme yapmanın, müşteri işlemlerinin aksamasını en aza indirmek için HTTP, TLS 1.0 veya 1.1’i (önceden mevcut dağıtımda etkinleştirildiyse) devre dışı bırakmayacağını unutmayın. Güncelleme yapan müşteriler ArcGIS Enterprise dağıtımını yapılandırabilir çevrimiçi yardımda belgelendiği gibi yalnızca HTTPS ve TLS 1.2’yi kullanmak.

Haziran 2019 – ArcGIS Online HTTP kullanımdan kaldırma, yerine HSTS güvenliği getirilmesi

ArcGIS Online kuruluş oluşturma ayarlarında opsiyonel olarak iletişim ayarlarının yapılmasına arayüz üzerinden imkan sağlamıştır.Ancak, ArcGIS Online tüm iletişimleri ve hizmetleri güvenlik protokolleri gereği HTTPS üzerinden olması gerekmektedir. (Eylül 2018 sürümünden sonra ArcGIS Online hesabı üzerinden oluşturulan kuruluşların HTTP ile etkinleştirme yapmalarına izin verilmemektedir).Ek olarak, ArcGIS Online coğrafi kodlama, yönlendirme ve altlık harita gibi tüm paylaşılan servislerle HTTPS tabanlı iletişimi desteklemektedir.

HTTP Strict Transport Security (HSTS) bir güvenlik geliştirmesidir. Bu, web uygulamaları tarafından belirlenen özel bir yanıt başlığı kullanmaktadır. Destekleyen bir internet tarayıcı bu özel yanıt başlığını aldığında, HTTP üzerinden domain alanına herhangi bir iletişim gönderilmesini engellemektedir. Tüm düz metin bağlantılarını otomatik olarak güvenli bağlantılara dönüştürerek bunu sağlamaktadır. Bunun dışında sertifikası uyarılarını devre dışı bırakır.

2017’de ArcGIS Online hesaplarında şeffaf bir şekilde HSTS etkinleştirildi  ve varsayılan ayar olarak tüm iletişim için HTTPS seçimini kullandırılmıştır.Bu, tüm müşteri verilerinin HSTS’nin varsayılan olarak sağladığı ek korumaya sahip olduğu anlamına gelir.

Kuruluş URL’lerine karşı güvenlik testleri (SSLLab’lar gibi) uygulayan müşteriler HSTS’nin etkin olmadığını belirten sonuçları görmeye devam edecektir.Bunun nedeni, tüm ArcGIS Online organizasyonlarının ortak bir statik dosya setine erişmesidir (bazıları HTTP üzerinden erişim ve diğerleri HTTPS üzerinden erişim) ve HSTS için başarısız testlerle sonuçlanan statik dosyalara (müşteri verisine değil) erişilmesidir.

Müşteri verilerinizin güvende olduğu ve bunun, müşteri veri erişim talepleriyle ilgili HSTS başlığını gösterecek olan Fiddler gibi araçlarla  doğrulanabilir ve raprolanabilir.Bu sorun, tüm müşterilerin HTTPS kullanımana geçtiğinde ortadan kalkacaktır.

TLS 1.0 ve 1.1’in kullanımdan kaldırılması, zorlu bir görev olması beklenmektedir.Bu nedenle, tüm ArcGIS Online hesaplarında HTTPS ve HSTS’nin nihai olarak zorunlu etkinleştirilmesi Haziran 2019 ArcGIS Online sürümümüz için planlanmıştır.Bu değişikliğin uygulanması ile , tüm ArcGIS Online kullanıcılarımızın HSTS testlerinden başarılı sonuçlar alacaktır.

Yakın zamanda – Güncellenmesi planlanan güvenlik protokolleri

TLS 1.3 – Bu yeni protokol standardı Ağustos 2018’de tamamlanmıştır. Bu nedenle bulut altyapısı sağlayıcıları tarafından henüz internet tarayıcılar arasında yaygın olarak kullanılmamaktadır.

Gelecekte ArcGIS Online’a dahil edilmesi için TLS 1.3 kullanımı  izlenmeye devam edilecek ve TLS 1.3 uyumlu şifreleme modüllerini bazı ürünlere dahil edilmeye  başlanmıştır. Bu ve benzeri değişiklikleri, ArcGIS Trust Center belgelerinde bulunan ArcGIS SSL / TLS brifingi üzerinden takip edebilirsiniz.