ArcGIS Online ve ArcGIS Server Kullanarak Veri Paylaşımı

ArcGIS Online ve ArcGIS Server Kullanarak Veri Paylaşımı

Coğrafi verileri depoladığınız yerel veri tabanında seçeceğiniz bilgileri, internet üzerinden kişi veya topluluklar ile paylaşabildiğiniz ve bunu yüksek güvenlikli, düşük bütçe ve az personel kaynağı ayırarak yapmak istediğinizde ArcGIS Online tam ihtiyacınız olan yazılım servisidir. Amacımız veri tabanımızı dış kullanıma yani ‘public’ kullanıma açmadan, içerdiği coğrafi verileri güvenilir bir platform içerisinde, kimlik doğrulama ve rol bazlı yetkilendirme yetenekleriyle, web haritaları kullanılarak veriyi paylaşmak.

ArcGIS Online bulut tabanlı haritalama ve analiz çözümüdür. Haritalar oluşturma, veri analizleri yapma ve bunların paylaşımı ve iş birliği için kullanılmaktadır. ArcGIS Online içerisinde tutulan veriler ve haritalar güvenli ve özel bir altyapı içerisinde tutulur ve haritalama ve BT gereksinimlerinizi karşılamak için yapılandırılabilir. ArcGIS Online üzerinde oluşturduğunuz web haritaları, web uygulamaları, yönetici panelleri v.b. ArcGIS Online içeriklerini kişi veya bir toplulukla kolay ve güvenilir bir şekilde paylaşılmasına imkan sağlamaktadır.

ArcGIS Online, ‘SaaS’ (software as a service – hizmet olarak yazılım) tipinde bir platform olduğundan bu hizmete üyeliğiniz olduğunda sadece üyeliğinizi yenilemek için ücret ödersiniz, herhangi bir donanım, işlemci, işletim sistemi lisansı v.b. giderleriniz olmaz. Performans olarak ArcGIS Online içerisinde oluşturduğunuz içeriğinizin yoğun kullanımlarında otomatik olarak ölçeklendiğinden 7×24 kesintisiz çalışıp hizmet vermeyi amaçlamaktadır.

Veri tabanınızdaki coğrafi verileri, güvenlik seviyesi yüksek ve belirlediğiniz kişi veya kişilere paylaşmayı imkan sağlayan ArcGIS Online’da web haritaları içerisinde “katman” olarak kolay şekilde paylaşabilirsiniz. Bununla birlikte ArcGIS eko sisteminde bulunan Workforce for ArcGIS, Navigator for ArcGIS, Explorer for ArcGIS, Collector for ArcGIS, ArcGIS Dashboard v.b. uygulamalar içerisinde kullanım imkanı da sağlamaktadır.

Veri Paylaşımı

Kurumsal veya kişisel veri tabanınızdaki coğrafi bilgileri 2 şekilde ArcGIS Online içerisinde kullanabilirsiniz.

1.      Veri Kopyalayarak

Veri tabanınızdaki verileri ArcGIS Desktop ürünü ile uygun formata dönüştürüp, ArcGIS Online içerisine aktarma işlemi yapabilirsiniz.

Artılar

  1. Hızlı şekilde verileri aktarımı.

Eksiler

  1. Veriler kopyalanacağından veri tabanında veri üzerinden yapılan değişiklikler ArcGIS Online içerisinde görünmeyecektir. Tam tersi durum da söz konusudur; içeri aktarım sonrasında ArcGIS Online’da yapılan veri değişiklikleri, yerel veri tabanına yansımayacaktır.
  2. Güncellenen veriler belirli aralıklarla ya manuel ya da yazılacak uygulamalar ile güncelliği tutulmalı hem veri tabanında hem de ArcGIS Online’da.
  3. İçeri aktarım dosya formatlarında veri limiti bulunması.
  4. Aynı veri hem veri tabanında hem de ArcGIS Online içerisinde bulunduğundan hangi verinin güncel olduğu oluşturacağınız özel iş akışları ile belirlenmiş olur.

2.      ArcGIS Server Kullanarak

ArcGIS Server’da referans olarak göstereceğiniz veri tabanınızdaki verileri kullanan web servisler (REST) oluşturarak, ArcGIS Online web haritalarında katman olarak bu servisleri tanıtıp paylaşım yapabilirsiniz.

Artılar

  1. Veri tabanını ArcGIS Server’a kaydedildikten sonra istenilen coğrafi tablolar ArcGIS Online içerisinde kullanılır.
  2. Veri kopyalama yapılmayıp, veri referansı edildiğinden, ArcGIS Online’da veri değişiklikleri direkt olarak veri tabanında gerçekleştirilir.
  3. Verinin her zaman en güncel versiyonu veri tabanında bulunur ve tekildir.

Eksiler

  1. Güvenli bir altyapıya ihtiyaç duyulmaktadır.
  2. Kullanım yoğunluğuna göre sunucu donanımları iyi olmalı.

Bu paylaşım şeklinde size ait olan veri tabanındaki bilgiler ile ArcGIS Online içerisinde servis olarak bulunan altlık haritaları kullanılarak bir web haritasında paylaşımıdır. Bu yapıda verileriniz hiçbir zaman ArcGIS Online ortamına taşınmaz. Web haritasını kim istekte bulunursa örneğin bir internet tarayıcı, o erişim istemektedir.

Yukarıdaki şekilde görüldüğü üzere, kendi iç ağınızda bulunan verileri içeren bir ArcGIS Server REST servisi, ArcGIS Online içerisinde bulunan bir web haritasında katman olarak eklenildiğinde, en sağdaki görüntü, istemcinin (tarayıcı) ekranında oluşur. Ve sizin ArcGIS Server’da bulunan servise istemci istek gönderir, ArcGIS Online değil. ArcGIS Online sadece aracı rolündedir.

ArcGIS Server kullanılarak veri tabanındaki bilgileri dış kullanıma açılacağı zaman, sistem mimarinin aşağıdaki resimde belirtildiği gibi uygun şekilde yapılandırılması gerekmektedir.

Genel Kullanım İçin Veri Paylaşımı Süreçleri

Öncelikle veri tabanınızda bulunan bir coğrafi tabloyu ArcGIS Server üzerinde servis olarak yayınlanmalı. Servisin genel kullanıma (“public”) açık şekilde paylaşılması gerekmektedir.

Sonra ArcGIS Online organizasyon hesabınızda bir web haritası oluşturup, katman olarak ArcGIS Server üzerinde paylaşmış olduğunuz servisin URL adresini katman olarak ekliyorsunuz. Oluşturulan web haritası da genel kullanıma açık şekilde paylaşılmalı.

Kurum dışında internet üzerinde bulunan dış kullanıcılar mobil cihaz veya bilgisayarlardan istekte bulundukları zaman, ArcGIS Online organizasyon hesabınızda oluşturduğunuz web haritasına erişim yapılacaktır. Web haritasında katman olarak tanıtılan servis, kurum içindeki veri tabanındaki bilgileri ArcGIS Server üzerinden paylaşılarak istemcinin ekranında verileriniz görüntülenecektir.

Özel çözümler ve profesyonel destek için Esri Türkiye Profesyonel Hizmet birimi ile iletişim kurabilirsiniz.

Esri Türkiye 2020

ArcGIS Server Güvenlik Bilgilendirmesi – ArcGIS Server Security 2020 Upgrade Patch 1 Yayınlandı

Esri, ArcGIS Enterprise’ın ArcGIS Server bileşeninde, dağıtıma ağ erişimi bulunan kişiler tarafından belirli işlem adımları gerçekleştirildiğinde Sunucu Taraflı İstek Sahteciliği (SSRF) ile sonuçlanabilen kritik bir sistem açığı keşfetti. Bu, kimliği doğrulanmamış kişilerin diğer altyapı kaynaklarına erişmesine ya da kaynakları kontrol etmesine yol açabilir.

Bu sorun, altyapıya ve yapılandırmaya bağlı olarak herhangi bir dağıtımı etkileyebilir ve tüm müşterilerden en kısa zamanda uygun yamayı yüklemeleri istenmektedir. Amazon Web Services’de (AWS) bu sorunu özellikle bu dağıtımlar için acil hale getiren bilinen kötüye kullanım vektörleri bulunmaktadır.

Bu güvenlik sorunu Windows ve Linux’ta ArcGIS Server 10.8’den önceki desteklenen tüm versiyonları etkiler.

Ne yapmanız gerekiyor?

10.4’ten 10.7.1’e kadar tüm ArcGIS Server versiyonları için yamalar yayınlanmıştır. Esri, mümkün olan en kısa sürede ilgili yamayı kurmanızı tavsiye etmektedir. ArcGIS Server 10.8 bu düzeltmeleri içermektedir ve bu sorundan etkilenmemektedir.

Tüm yamalar, daha fazla bilginin bulunduğu Esri Destek sitesinden indirilebilir. ArcGIS Server Security 2020 Upgrade 1 Patch, 10.4, 10.4.1, 10.5, 10.5.1, 10.6, 10.6.1, 10.7, ve 10.7.1 versiyonları için mevcuttur.

Ayrıca, uygun olan yamayı indirmek ve kurmak için Patch Notification Tool’u da kullanabilirsiniz. Bu aracın nasıl kullanıldığı ile ilgili yazılım dokümantasyonunu inceleyebilirsiniz. Bu yamanın tüm ArcGIS Server makinelerinizde kurulu olduğundan emin olunuz.

Daha fazla bilgi için;

Detaylı bilgi için buradan ilgili teknik makaleyi inceleyebilirsiniz.

Bu konu ile ilgili sonraki güncellemeler ve diğer güvenlik ile ilgili konular için trust.arcgis.com RSS Feed’ine abone olabilirsiniz.

Esri Türkiye 2020

ArcGIS Enterprise 10.7’deki yenilikler: Sunucu yönetimi

ArcGIS Server yöneticileri, sitelerini izlemek, güvenli hale getirmek, optimize etmek ve sorun gidermek için her zaman daha iyi araçlar ararlar. ArcGIS Enterprise 10.7; sunucu yöneticilerinin arka planda neler olup bittiğini daha iyi anlamak ve sunucu sitelerinin en iyi şekilde çalışmasını sağlamak için kullanabilecekleri birçok yeni özellik getiriyor. Yazımızda bahsi geçen tüm bu yeni özellikler, hem portal ile federe edilmiş hem de bağımsız (stand-alone) çalışan GIS sunucularına uygulanabilir.

ArcGIS Server Manager Arayüzünde Coğrafi İşlem (Geoprocessing) görevleri ile çalışma

10.6.1’de, ArcGIS Server Administrator Directory’de sitenizin mevcut coğrafi işlerini izlemenize ve bunlara müdahale etmenize izin veren bir dizi işlem ve kaynak talıtılmıştı. 10.7 ile birlikte artık bu araçlara, ArcGIS Server Manager arayüzünden de erişebileceksiniz.

Site sekmesinin altındaki menüye yeni eklenen İşler (Jobs) sayfası, çeşitli kategorilerde filtreleme imkanına sahip tam bir sorgu işlevi sunar. Bu sayfada, belirli bir servis üzerinde çalışan tüm işleri görüntüleyebilir, durumlarını izleyebilir (BEKLİYOR veya ÇALIŞIYOR gibi) veya işin hangi makineye atandığını öğrenebilirsiniz.

Sorgulamanızın sonucuna bağlı olarak listelenen bu işlerle etkileşime girebilir ve bunlara müdahale edebilirsiniz.
Bir iş henüz bitmediyse, duraklatabilir veya iptal edebilirsiniz. Bir iş yavaş çalışıyor veya tamamlanmıyorsa ya da belirli bir işe öncelik vermek için çalışmayı bekleyen sıradaki işleri temizlemeniz gerektiğinde bu özellik sizin için kullanışlı olabilir.
Bir işi silebilir, çalışıyorsa işi iptal edebilir ve işle ilgili tüm dosya ve klasörleri sistemden silebilirsiniz. Yakın bir zaman içinde GIS sunucunuza çok sayıda iş gönderileceğini biliyorsanız, disk alanınızı temizlemek için bu özellikleri kullanabilirsiniz.

Paylaşılan örnek havuzu kullanarak belleği etkili kullanın

ArcGIS Server; GIS sunucunuzda çalışan her servisin kendisine ait bir kaynak havuzunun bulunduğu mevcut modelin aksine, 10.7’den itibaren paylaşımlı örnek havuzu (shared instance pool) adı verilen yeni bir özellik içerir. Paylaşılan havuzu kullanan servisler, taleplerini yerine getirmek için havuzun kaynaklarını kullanır, boşta kaldıklarında ise ek bellek kullanmazlar.

Paylaşılan örnekler, mevcut makine kaynakları ile site performansını dengeleme sorununa daha iyi bir çözüm sunmaktadır. Sürekli kullanılmayan ve az trafiğe sahip uygun servisler için paylaşılan havuzun kullanılması, sunucu makinenizin boşa bellek kullanımının büyük ölçüde önüne geçecektir.

Log kayıtlarını İstek Kimliğine (Request ID) göre filtreleme

ArcGIS Server’daki tüm servis isteklerine, her bir isteği benzersiz olarak tanımlayan yeni bir özellik eklenmiştir. İstek Kimliği (Request ID) olarak adlandırılan bu değer, ArcGIS Server sitesinizdeki istekler için yazılan her günlük mesajına kaydedilir.

Bu özellik, daha önce olduğundan çok daha basit bir şekilde, yalnızca aradığınız olayla ilgili günlük iletilerini bulmanızı sağlar. İstek Kimliği sayesinde, sorun gidermeye çalıştığınız belirli bir istekle eşzamanlı olarak gerçekleşen diğer isteklerden ve olaylardan dolayı araya giren ve görmek istemediğiniz günlük iletilerini filtreleyebilmeniz çok daha kolaylaşmaktadır.

İstek Kimliği (Request ID), sorun gidermeye nasıl yardımcı olur?

Diyelim ki ArcGIS Server sunucunuz düzenli olarak belirli bir işi başaramadı. ArcGIS Server Manager’daki Loglar sayfasına giderek, görüntülenen sütunlara İstek Kimliği sütununu eklemek için Sütunlar düğmesini kullanınız.Tüm log kayıtlarını sorgulamak için uygun filtreleme seçeneklerini kullanarak sorgulamayı çalıştırınız. Çıkan sonuçlar içerisinden, başarısız olan işle ilgili bir günlük mesajı bulduğunuzda İstek Kimliği sütunundaki değeri kopyalayınız. ArcGIS Server Administrator Directory sayfasındaki log kayıtları kısmına gidiniz ve kopyaladığınız İstek Kimliğini kullanarak yeni bir sorgulama yapınız. Sorgulama sonucunda ekrana gelecek olan kayıtlar, sadece kimliğini girdiğiniz işle ilgili kayıtlar olacaktır.

Java Heap Size değerini servis bazında ayarlama

Bir servisle ilişkilendirilmiş Java Heap Size, servisin bir kerede işleyebileceği veri miktarını etkiler. Bu gelişmiş ayar, büyük dosyaların bir servise yüklenmesi gerektiğinde veya büyük miktardaki yanıtların istemciye gönderilmesi gerektiğinde devreye girmektedir.

ArcGIS Server Administrator Directory’deki heap size özelliklerini kullanarak sitenizde çalışan tüm servisler için varsayılan yığın boyutu sınırını zaten değiştirebilirsiniz. Ancak,bu kısımdaki yapacağınız ayarlama ile tüm servisler için limiti yükseltirseniz, sunucu makinelerinizin bellek kaynaklarını oldukça zorlayabilirsiniz. Bunun yerine, 10.7 ile birlikte gelen javaHeapSize özelliğini kullanarak sitenizde yayınlanan her bir hizmetin heap size değerini ayrı ayrı değiştirebilirsiniz. Bu özellikle ilgili detaylı bilgiyi Edit Service yardım sayfasında bulabilirsiniz.

Çok makineli sitelerde verimliliği artırın

10.7’den önce, çok makineli bir sitedeki bir veya daha fazla makine çökterse ya da kullanılamaz duruma gelirse, bir site yöneticisi sorunu çözene ya da makineyi siteden kaldırana kadar yönetim ve servis yayınlama işlemlerinin performansı yavaşlamaktaydı. 10.7 ile birlikte, makine faaliyetlerini izlemeyi otomatikleştirmenin ve bir makinenin bir süredir tepkisiz kaldığında müdahale etmenin bir yolu sunulmuştur.

Öncelikle, bir ArcGIS Server sitesinin parçası olan makineler aktif durumlarını düzenli olarak konfigürasyon deposuna bildirir. Makinelerin aktif olma durumlarını kalp atışına (hearbeat) benzetebiliriz. ArcGIS Server sitenizdeki bir makine belirli bir süre boyunca durumunu güncellemezse, başka bir deyişle kalp atışı göstermezse, yönetici olarak sistemimizi inceleyip müdahale etmemiz gereken durumlar olabilir. ArcGIS Enterprise 10.7 ile birlikte bu süreci otomatikleştirebileceğiniz yeni özellikler sunulmuştur.

İlk özellik, belirli bir süre kullanılmadığında makineyi otomatik olarak askıya alır. Askıya alma (suspension), makinenin ArcGIS Server sitesinden yönetim veya yayınlama istekleri almayacağı anlamına gelir. Varsayılan olarak, machineSuspendThreshold olarak isimlendirilen bu özellik 60 dakikaya ayarlanmıştır. Bunun anlamı; eğer bir makine son 60 dakika içinde “kalp atışını” yani aktiflik durumunu güncellemezse, ArcGIS Server siteniz, makinenin yönetim ve servis yayınlama taleplerini askıya alacak demektir. Dolayısıyla siteniz; söz konusu makinenin yanıt vermesini beklemek zorunda kalmayacak, böylece makine hata verdiğinde veya çöktüğünde ArcGIS Server sitenizin performansı bu durumdan fazla etkilenmeyecektir. Makine tekrar çevrimiçi duruma gelir ve “kalp atışını” güncellerse, istekleri almak için ArcGIS Server siteniz tarafından yeniden eski durumuna getirilir.

Siz de ArcGIS Server siteniz için machineSuspendThreshold değerini, ArcGIS Server Administrator Diroctory içerisinden yeni bir değer belirterek özelleştirebilirsiniz. Detaylı bilgi için yardım sayfasındaki açıklamaları inceleyebilirsiniz.

 

Bir diğer özellik ise, SuspendedMachineUnregisterThreshold olarak isimlendirilen ve bir adım daha ileri giderek sorunlu makinenin kaydını ArcGIS Server sitenizden ne zaman tamamen sileceğini belirleyen bir özelliktir. Bu işlemin geri dönüşü yoktur ve varsayılan olarak bu özellik (-1 olarak atanmış) devre dışı bırakılmıştır. Bu değeri güncellerseniz, machineSuspendThreshold değerinden yüksek ayarlamanız gerekmektedir. Bu özelliğin bulut sistemlerle çalışan büyük ArcGIS Server sitelerinin yöneticileri için yararlı olması muhtemeldir; eğer bir makine arızalanırsa veya otomatik ölçeklendirme mekanizmalarıyla kapatılırsa, siteden otomatik olarak çıkarılabilir.

Varsayılan güvenlik geliştirmeleri

Esri; ArcGIS Server siteleri için varsayılan güvenlik durumunu ve yöneticilerin sitelerini daha güvenli hale getirmek için alabilecekleri sıkı önlemleri her zaman güçlendirmektedir. 10.7’de, sunucu yöneticilerinin bilmesi gereken birkaç güvenlik değişikliği bulunmaktadır.

HTTPS Only

10.7 ile birlikte ArcGIS Server artık varsayılan olarak yalnızca HTTPS ve 6443 portu üzerinden iletişime izin verir. Önceden, varsayılan ayar hem HTTP hem de HTTPS haberleşmesine izin vermekti. Kullanım sırasında verilerinizin gizliliğini sağlamak için bu ayarın “Sadece HTTPS” de tutulması önemle tavsiye edilir.

TLS Protokolü

Aktarım Katmanı Güvenliği olarak da bilinen TLS protokolü, ArcGIS Server ile istekte bulunan istemci uygulamaları arasındaki etkileşimi güvence altına alır. 10.7’de, varsayılan ayar artık yalnızca TLS 1.2 üzerinden iletişimi desteklemektedir. Bu ayarı, ArcGIS Server Administrator Directory içerisinden TLS 1.0 ve/veya 1.1 üzerinden iletişime de izin vermek için değiştirebilirsiniz, ancak TLS protokolünün yalnızca en yeni sürümüne izin vermek en iyi güvenlik yöntemidir.

NOT: Bu değişiklikler sadece ArcGIS Server için yapılmamaktadır. 10.7 ile birlikte, ArcGIS Enterprise portalı da varsayılan olarak yalnızca HTTPS ve TLS 1.2’yi desteklemektedir. Esri’nin çeşitli platformlarda yaptığı duyurulara istinaden; Nisan ayının ortasından itibaren ArcGIS ONline sadece TLS 1.2 bağlantılarına izin verecektir. Konuyla ilgili detaylı bilgi edinmek için Esri Support sayfalarını veya blog yazımızı inceleyebilirsiniz.

No-sniff header

ArcGIS Enterprise 10.7; HTTPS ve TLS 1.2 ile ortadaki adam (man-in-the-middle) saldırılarına karşı korunmanıza yardımcı olur. İnternet ortamındaki bir diğer yaygın güvenlik tehdidi ise, siteler arası komut dosyası çalıştırma (cross-site scripting XSS) saldırılarına karşı güvenlik açığıdır.

Birçok internet tarayıcısı; sunucu tarafından kendilerine gelen içerik türünün belirtilmediği durumlarda, içerik üzerinde “MIME Type Sniffing” adı verilen bir analiz gerçekleştirerek, içeriğin tipine karar vermeye çalışırlar. Upload fonksiyonları ile birlikte sniffing işlemi bazı tehlikeli sonuçlara neden olabilmektedir. Örneğin; bir kullanıcı zarasız olabilecek bir metin dosyasını sitenize upload ettiğini ve sitenize yüklenen bu dosyaların tekrardan diğer kullanıcılara sunulduğu bir iş akışınız var diyelim. Kullanıcının yüklediği metin dosyası, bünyesinde çeşitli HTML veya Javascript kodları barındırıyor ve sitenize yüklenen yüklenen bu dosyaları diğer kullanıcılara sunarken Content-Type belirtmiyorsanız; internet tarayıcıları bu içeriği koklayarak (sniffing) anlamaya çalışacak ve bu dosyanın TEXT/HTML biçiminde olduğuna karar vererek dosyadaki kodları çalıştıracaklardır.

Bu güvenlik açığı sınıfına karşı korunmak için, ArcGIS Server 10.7 kullanıcıların web tarayıcılarının MIME Type Sniffing analizini engelleyen bir içerik türü başlığını varsayılan olarak göndermektedir.

Yeniden düzenlenen dokümantasyon

ArcGIS Enterprise 10.7 ile birlikte; yöneticiler için ArcGIS Server dokümanları da önemli ölçüde güncellenmiştir. Bir siteyi planlama ve yazılımı yükledikten sonraki yapılandırma da dahil olmak üzere kurulum işlemlerinden, sitenizi yönetmeye ve yazılım geliştirmeye kadar çok çeşitli konulardaki dokümanlar kullanım kolaylığı açısından yeniden düzenlenmiştir.

 

Faydalı Bağlantılar:

© Esri Türkiye 2019
ArcGIS Enterprise Güvenlik Temelleri – 2.Bölüm

ArcGIS Enterprise Güvenlik Temelleri – 2.Bölüm

ArcGIS Enterprise güvenlik temelleriyle ilgili bilgileri derlemeye çalıştığımız yazı serimizde, Esri’nin kullanıcılarına tavsiye ettiği iyi uygulamaları sizlere aktarmaya devam ediyoruz. ArcGIS Server ve Portal for ArcGIS yazılımlarında gerçekleştireceğiniz  küçük ayarlamalarla verilerinizin ve servislerinizin güvenlik seviyesini arttırabilirsiniz.

ArcGIS Enterprise teknolojisinin kurumsal güvenlik kontrollerini yürütmek diğer BT çözümlerindeki güvenlik kontrollerini yürütmenin mantığıyla benzerdir. Güvenlik ilke ve kontrolleri mimarinin/sistemin her seviyesinde uygulanmalıdır. Bu süreç güvenlik politikalarınıza ve kurumunuzun gereksinimlerine göre ağınıza, işletim sistemlerinize ve VTYS’lerinize göre değişkenlik gösterebilir.

ArcGIS Server ve Portal for ArcGIS üzerinde veya bunlara ek olarak yürütebileceğiniz güvenlik ilkelerini CBS ve BT uzmanlarınızın ortak kararlarıyla iş akışınıza uygun biçimde yapılandırabilirsiniz. Güvenlik seviyenizi arttıracak bu işlem adımlarının bazılarından kısaca aşağıda bahsediyor olacağız.

ArcGIS Server Güvenlik Durumunuzu Kontrol Edin

ArcGIS Server güvenlikle ilgili sisteminizi tarayıp kontrol edebileceğiniz bir araç barındırmaktadır. “serverScan.py” Python aracı sisteminizi Esri’nin önermiş olduğu iyi uygulamalar açısından yapılandırıp yapılandırmadığınıza göre tarar ve size tespit ettiği hatalarla ilgili bir rapor oluşturur.

“serverScan.py” aracı ArcGIS Server kurulum dizininizin altında \tools\admin klasörünün altında yer alır.  Bu araca komut istemciniz üzerinden erişerek çalıştırabilirsiniz.

Örneğin oluşturacağınız komut ;

python serverScan.py -n gisserver.domain.com -u admin -p my.password -o C:\Temp

şeklinde olabilir.

Aracı çalıştırmanızın ardından aynı dizinde HTML formatında, serverScanReport_[hostname]_[date].html. adında bir rapor oluşacaktır. Aracı çalıştırmayla ilgili ve çalıştırmanızın ardından oluşacak rapordaki hata kodları ile ilgili detaylı bilgiye https://enterprise.arcgis.com/en/server/latest/administer/windows/scan-arcgis-server-for-security-best-practices.htm bağlantısından ulaşabilirsiniz.

ArcGIS Server İçerisine Güvenlik Sertifikasının Tanıtılması

İstemci-sunucu arasındaki iletişimde güvenli bir yol izlenmesinin ve kurum içi/dışı bu güvenilirliğinin doğrulanmasında Certification Authority (CA) imzalı sertifikalar, HTTPS üzerinden yürütülecek iletişimde güvenilir bir ortam sağlar. ArcGIS Server Administrator Directory üzerinden kurumunuzun sahip olduğu CA imzalı sertifikayı, ArcGIS Server’ınıza tanıtabilirsiniz.

  1. ArcGIS Server Administrator Directory’e giriş yapınız. https://gisserver.domain.com:6443/arcgis/admin
  2. machines>[machine name]>sslcertificates>importRootOrIntermediate sayfasına geliniz. Root (kök) sertifikanızı bu arayüzden içeri aktarabilirsiniz.
  3. “importSignedCertificate” sertifikanıza verdiğiniz takma adı giriniz, “Root Ca Certificate” için dosya yoluna gidiniz ve son aşamada sertifikayı seçmenizin ardından “Import” butonuna tıklayınız
  4. Sertifika yüklemenizin ardından yapılandırma için machines>[machinename]>Supported Operations: edit üzerinden “Web server SSL Certificate” yüklemiş olduğunuz sertifikanın takma adını girerek “Save Edits” butonuna tıklayınız.
  5. ArcGIS Server servisinizin yenilenmesinin ardından https://gisserver.domain.com:6443/arcgis/admin adresine erişip erişemediğinizden emin olunuz. Eğer bu adres üzerinden erişim gerçekleştiremiyorsanız http://gisserver.domain.com:6080/arcgis/admin adresine giderek sertifikanızı yükleyip yüklemediğinize dair durumu kontrol ediniz.

Görsel 1: ArcGIS Server Administrator Directory SSL Sertifika Yüklenmesi

Görsel 2 : ArcGIS Server İçerisinde SSL Sertifikasının Güncellenmesi

ArcGIS Server’a Yalnızca HTTPS Üzerinden Erişim İçin Yapılandırma

Halihazırda kurumunuza ait Certificate Authority (CA) imzalı bir sertifikanız bulunuyor ise bu sertifikayı ArcGIS Server’ınıza tanıtma işleminizin ardından yalnızca HTTPS üzerinden erişim için yapılandırabilirsiniz. Çoklu makineli üzerine kurulu bir ArcGIS Enterprise mimariniz var ise her ArcGIS Server için bu işlemi gerçekleştirmeniz gerekmektedir.

  1. ArcGIS Server Directory sayfanıza giderek giriş yapın  https://gisserver.domain.com:6443/arcgis/admin
  2. Security>config>update yolunu izleyiniz
  3. Açılan sayfada “Protocol” parametresinde “HTTPS only” seçerek “Update” butonuna tıklayınız

Görsel 3 : ArcGIS Server HTTPS Erişimini Yapılandırma İşlemi

Services Directory’i Kapalı Hale Getirme

Services Directory, ArcGIS Server web servislerinizi HTML tabanlı sunan ve REST üzerinden çeşitli işlemler  gerçekleştirebileceğiniz bir arayüz sunar. Services Directory yazılım geliştirme(development) kısmı için oldukça kullanışlıdır. Eğer bu amaçla kullanmıyorsanız, Esri kullanıcılarınızın tüm servislerinizin listesini görmemesi için canlı/üretim sistemlerinde bu arayüzün erişimini kapatmanızı önerir.

Services Directory arayüzünü erişime kapatmak için ArcGIS Server Administrator Directory arayüzüne admin yetkilerine sahip bir kullanıcı ile giriş yapmanız gerekmektedir.

https//gisserver.domain.com:6443/arcgis/admin veya https://gisserver.domain.com/webadaptoradı/admin adresiyle bu arayüze erişebilirsiniz

  1. ArcGIS Server Administrator Directory içerisinde system>handlers>rest>servicesdirectory>edit yoluyla Services Directory ayarlarına erişebilirsiniz.
  2. “Services Directory Enabled” seçeneğinin işaretini kaldırarak Save (Kaydet) butonuna basınız.

Görsel 4 : ArcGIS Server Services Directory Erişiminin Kapatılması

Yukarıda bahsettiğimiz işlem adımları daha önce de değindiğimiz gibi sizin iş akış sürecinize ve yürüttüğünüz CBS operasyonlarınıza, kurumunuzun IT politikalarına göre değişiklik gösterecektir. Yazımıza Portal for ArcGIS güvenliği ile ilgili yapabileceğiniz değişikliklerden de bahsedeceğiz.

ArcGIS Server için gerçekleştirebildiğiniz güvenlik kontrolü taramasını Portal for ArcGIS için de gerçekleştirebilirsiniz. Benzer adımların yürütüldüğü bu işlem için http://enterprise.arcgis.com/en/portal/latest/administer/windows/scan-your-portal-for-security-best-practices.htm bağlantısındaki dokümanı takip edebilirsiniz.

Portal for ArcGIS İçerisine Güvenlik Sertifikasının Tanıtılması

Portal for ArcGIS, ArcGIS Server’a HTTPS üzerinden istek gönderdiğinde, sunucu tarafından döndürülen sertifikanın güvenilir olup olmadığını kontrol eder. Eğer güvenilir bir sertifika kullanmıyor iseniz bu iki yazılım arasında iletişim başarısız olacaktır.

Portal for ArcGIS kurulum sırasında varsayılan olarak self-signed bir sunucu sertifikası oluşturmaktadır. Bu sertifika yalnızca kurulum sonrası ilk testleri gerçekleştirebilmeniz ve kurulumun başarı ile tamamlanıp tamamlanmadığını kontrol etmenize yardımcı olmaktadır. Eğer güvenli bir ArcGIS Enterprise mimarisine ihtiyacınız varsa, çalıştığınız ortam test değil üretim ortamı ise CA (Certificate Authority) tarafından onaylanmış bir güvenlik sertifikasını yüklemeniz gerekmektedir. Bu işlemi hem ArcGIS Server hem de Portal for ArcGIS içerisinde yürütmelisiniz.

Güvenilir bir sertifikayı ArcGIS Enterprise sisteminiz için kullanmanız güvenliğinizi sağlamanızın yanı sıra tarayıcı uyarıları almanızı veya diğer beklenmedik davranışlarla karşılaşmanızı engeller. Eğer güvenilir bir sertifika değil self-signed imzalı bir sertifika kullanmaya devam ederseniz aşağıda örnek olarak verilen durumlarla karşılaşabilirsiniz :

  • Web tarayıcınız ve ArcGIS Desktop uygulamanız tarafından sahip olduğunuz site’ın güvenilir olmadığına dair uyarılırsınız.
  • Federe bir ortamda Portal for ArcGIS Harita Görüntüleyici üzerinde bir servis görüntülemeye çalıştığınızda, güvenilir bir servis öğesini portalınız içerisine eklemeye çalıştığınızda veya ArcGIS Maps for Office üzerinden portalınıza bağlanmaya çalıştığınızda hatalarla karşılaşabilirsiniz.
  • Utility servislerinizin yapılandırılmasında, barındırılan servislerinizin yazdırılmasında ve portala istemci uygulamalar üzerinden erişim esnasında beklemediğiniz hatalar alabilirsiniz.

Kurumunuzun sahip olduğu CA imzalı sertifikanızı Portal for ArcGIS içerisine tanıtmak ve HTTPS üzerinden gerçekleştirilen iletişimlerde bu sertifikayı kullanmak için aşağıdaki işlem adımlarını yürütmelisiniz.

  1. ArcGIS Portal Directory içerisine Admin (Yönetici) hesabınız ile giriş yapınız. Gitmeniz gereken adresin URL formatı https://webadaptorhost.domain.com/webadaptoradı/portaladmin şeklinde olacaktır.
  2. Security>SSLCertificates>Import Root or Intermediate Certificate yolunu izleyerek sertifikanızı yükleyeceğiniz panele gidiniz.
  3. “Gözat” diyerek root (kök) sertifikanızın konumuna giderek “Import” butonuna tıklayınız. Eğer Intermediate seviyede bir sertifikanız var ise benzer adımlarla onu da yükleyiniz
  4. Portal for ArcGIS servisinizi işletim sisteminizin servisler penceresi üzerinden yenileyiniz.
  5. Var olan CA imzalı sertifikanızı da “Import Existing Server Certificate” paneli üzerinden yüklemeniz gerekmektedir. Sertifikanızın uzantısı “.p12” veya “.pfx” olmalıdır. Security>SSLCertificates>Import Existing Server Certificate yolunu izleyerek gideceğiniz panelden sertifikanızın parolası ve takma adını girerek Portal for ArcGIS içerisine yükleyebilirsiniz.

Portal for ArcGIS yazılımının yüklediğiniz bu sertifikaları kullanabilmesi için Security>SSLCertificates>Update arayüzünden yapılandırılması gerekmektedir. Bu arayüzde Web server SSL Certificate alanına varolan CA imzalı sertifikanızın takma adını girmelisiniz. “Update” butonuna bastığınızda Portal for ArcGIS yazılımınız HTTPS iletişimi için yüklemiş olduğunuz sertifikaları kullanıyor olacaktır.

ArcGIS Enterprise Portalınıza Güvenilir Domain Adları Ekleyin

Varsayılan ayarlarda, ArcGIS Enterprise portalınız cross-domain üzerinden Cross-Origin Resource Sharing (CORS) ile gelen isteklere izin vermektedir. Bu herhangi bir domainde yer alan Javascript istemcilerinin, örneğin bir web uygulaması, portal kaynaklarınızla iletişim kurabileceği anlamına gelmektedir.

ArcGIS Enterprise 10.6 ile gelen cross-domain isteklerinin engellenmesi özelliğiyle, belirli domain adreslerinden gelen isteklerin portalınıza erişmesini istiyorsanız, portalınıza bu domainleri güvenilir olarak tanıtabilirsiniz. Bu işlemi ArcGIS Enterprise portalınızın güvenlik ayarlarında izin verilen kaynak listesine domain adlarını ekleyerek gerçekleştirmeniz gerekmektedir. Bu ayarlama bilinmeyen bir uygulamanın web hizmetlerinize kötü amaçlı komutlar gönderebilme olasılığını azaltacaktır.

  1. Portalınıza yönetici olarak giriş yapınız.
  2. Organization>Edit Settings>Security sekmesine geliniz.
  3. Allow Origins kısmında portalınızdaki öğelere erişmesi gereken web uygulamalarının bulunduğu domain adlarını ekleyebilirsiniz. Bu domain adlarını tanıtırken mutlaka http veya https protokollerini de girmiş olmanız gerekmektedir. Örneğin domain adı formatınız https://webapp.domain.com şeklinde olabilir. Makine adını girerken fully qualified domain name olarak girmelisiniz.
  4. Add Domain butonuna basarak bu adresleri listeye ekleyebilirsiniz. Bir veya birden fazla domain eklemenizle beraber portalınız artık yalnızca bu adreslerden istek kabul edecektir.
  5. Tüm domainleri eklediğinizde “Save” diyerek işleminizi tamamlayabilirsiniz.

Yararlanılan Kaynaklar : 

  • https://trust.arcgis.com
  • https://enterprise.arcgis.com/en/server/latest/administer/windows/scan-arcgis-server-for-security-best-practices.htm
  • https://enterprise.arcgis.com/en/server/latest/administer/windows/configuring-https-using-a-new-ca-signed-certificate.htm
  • https://enterprise.arcgis.com/en/server/latest/administer/windows/disabling-the-services-directory.htm
  • https://enterprise.arcgis.com/en/portal/latest/administer/windows/security-best-practices.htm
  • https://enterprise.arcgis.com/en/portal/latest/administer/windows/import-a-certificate-into-the-portal.htm
  • https://enterprise.arcgis.com/en/portal/latest/administer/windows/restrict-cross-domain-requests-to-your-portal.htm

Bu yazının hazırlanmasında destek olan ekip arkadaşım Belkiya Ercan’a teşekkür ederim..

Esri Türkiye, 2018