Skip To Content

Diretrizes de Implementação em desktop

Este tópico descreve algumas das melhores práticas para implementações de aplicações ArcGIS Desktop. É importante que saiba que os produtos ArcGIS Desktop são auto-certificados, de acordo com a United States Government Configuration Baseline (USGCB, anteriormente FDCC). ArcGIS Pro (1.4.1 e posteriores) são também auto-certificados pela USGCB. Para obter mais informações, consulte Conformidade.

Proteções para desktop

Considere implementar e configurar os seguintes elementos no cliente para desktop para contribuir para mitigar potenciais riscos:

  • Anti vírus instalado no anfitrião (A/V)
  • Firewall instalada no anfitrião
  • Sistemas de deteção de intrusão instaladas no anfitrião

Autenticação

A autenticação envolve a verificação das credenciais numa tentativa de ligação para confirmar a identidade do cliente. Considere um registo único (single-sign - SSO) ou uma solução de autenticação federada.

Autorização

Autorização é o processo através do qual as permissões de clientes são verificadas antes do acesso a um recurso. Isto ocorre após uma autenticação bem-sucedida. É importante implementar o princípio do privilégio mínimo e controlo de acesso baseado em papéis. Na medida em que a arquitetura das aplicações ArcGIS Desktop inclui, tradicionalmente, interação entre o desktop cliente e uma fonte centralizada, como um Relational Database Management System (RDBMS), importa considerar o modo como os privilégios são concedidos nos níveis da base de dados. Os privilégios de utilizadores podem ser definidos a diferentes níveis, tais como os seguintes:

  • Sistema de gestão de base de dados (DBMS)
    • Os privilégios a este nível afetam todo o sistema de gestão de base de dados. Geralmente aplica-se apenas aos administradores de bases de dados que poderão precisar de aceder e gerir todos os objetos no sistema.
  • Base de dados
    • Os privilégios a este nível determinam o que um utilizador ou grupo de utilizadores podem fazer na base de dados.
  • Versão de Geodatabase
    • Pode ser definido um privilégio para controlar o acesso a uma versão da base de dados. Este é um tipo especial de privilégio que não é atríbuido através do DBMS. Para obter mais informações, consulte Criar versões e definir permissões.
  • Conjunto de Dados
    • Os privilégios de conjuntos de dados determinam o que um utilizador pode fazer com um conjunto de dados em particulrar, por exemplo: Selecionar, Atualizar, Inserir ou Eliminar. Consulte Atribuir e revogar privilégios em conjuntos de dados para obter mais informações.

Encriptação

Encriptação é o processo de transformação de dados para que sejam ilegíveis por aqueles que não têm uma chave de decriptação.

  • Encriptar dados em trânsito utilizando HTTPS (TLS 1.0 e versões posteriores) para todas as comunicações, inbound e outbound, do cliente para desktop.
    • Utilize uma infraestrutura de certificados existente e utilize certificados confiáveis assinados por uma autoridade de certificação independente de confiança
  • Encripte dados armazenados (quando possível).
    • Para estações de trabalho, considere a utilização de encriptação total do disco.
    • Para as bases de dados, considere a utilização de Encriptação Transparente de Dados (Transparent data Encryption - TDE)
    • Para repositórios de ficheiros considere a utilização de encriptação total do disco.
  • Assegure-se de que utiliza algoritmos de encriptação fortes
    • O campo da criptografia está em constante mudança e os algoritmos mais antigos continuarão a ser considerados inseguros.
    • Acompanhe entidades normativas, como o NIST, para obter recomendações.

Registo e auditoria

O Registo consiste em registar eventos importantes de determinado sistema. Auditoria é a prática de inspecionar os registos para assegurar que o sistema está a funcionar adequadamente ou responder a uma questão específica sobre uma transação específica.

  • Registe eventos como inícios de sessão bem sucedidos, inícios de sessão falhados e outros eventos, de acordo com a política organizacional.
  • Considere o registo aos níveis da aplicação, sistema operativo e rede.
  • Considere a utilização de uma solução Security Information and Event Management empresarial para efetuar análise e correlação de eventos. Isto irá contribuir para a identificação de potenciais atividades maliciosas.

Hardening

Hardening é o processo de configuração segura de sistemas para impedir tantos riscos de segurança quanto possível. A superfície de ataque pode ser minimizada num sistema específico:

  • Implementando hardening ao nível das aplicações, como as diretrizes mencionadas acima.
  • Removendo software desnecessário.
  • Desativando serviços desnecessários.
  • Utilizando uma imagem de segurança reforçada. Os produtos ArcGIS Desktop e ArcGIS Pro são auto-certificados, de acordo com a United States Government Configuration Baseline (USGCB, anteriormente FDCC).