Skip To Content

Diretrizes de Implementação em desktop

Este tópico descreve algumas das melhores práticas para implementações da aplicação ArcGIS Desktop. É importante que saiba que os produtos ArcGIS Desktop são autocertificados, de acordo com a United States Government Configuration Baseline (USGCB, anteriormente FDCC). O ArcGIS Pro (1.4.1 e posteriores) também é autocertificado pela USGCB. Para obter mais informações, consulte Conformidade.

Proteções para desktop

Considere implementar e configurar os seguintes elementos no cliente para desktop para contribuir para mitigar potenciais riscos:

  • Antivírus instalado no anfitrião (A/V)
  • Firewall instalada no anfitrião
  • Sistemas de deteção de intrusão instaladas no anfitrião

Autenticação

A autenticação envolve a verificação das credenciais numa tentativa de ligação para confirmar a identidade do cliente. Considere um início de sessão único (SSO) ou uma solução de autenticação federada.

Autorização

A autorização é o processo através do qual as permissões de clientes são verificadas antes do acesso a um recurso. Isto ocorre após uma autenticação bem-sucedida. É importante implementar o princípio do menor privilégio e controlo de acesso baseado em papéis. Uma vez que a arquitetura da aplicação ArcGIS Desktop inclui, tradicionalmente, interação entre o desktop cliente e uma fonte centralizada, como um sistema de gestão de bases de dados relacionais (RDBMS), é importante considerar o modo como os privilégios são concedidos aos níveis da base de dados. Os privilégios de utilizadores podem ser definidos a diferentes níveis, tais como os seguintes:

  • Sistema de gestão de base de dados (DBMS)
    • Os privilégios a este nível afetam todo o sistema de gestão de base de dados. Geralmente aplica-se apenas aos administradores de bases de dados que poderão precisar de aceder e gerir todos os objetos no sistema.
  • Base de dados
    • Os privilégios a este nível determinam o que um utilizador ou grupo de utilizadores podem fazer na base de dados.
  • Versão de Geodatabase
    • Pode ser definido um privilégio para controlar o acesso a uma versão da base de dados. Este é um tipo especial de privilégio que não é atribuído através do DBMS. Para obter mais informações, consulte Criar versões e definir permissões.
  • Conjunto de Dados
    • Os privilégios de conjuntos de dados determinam o que um utilizador pode fazer com um conjunto de dados em particular, por exemplo: Selecionar, Atualizar, Inserir ou Eliminar. Consulte Atribuir e revogar privilégios em conjuntos de dados para obter mais informações.

Encriptação

Encriptação é o processo de transformação de dados para que sejamilegíveis por aqueles que não têm uma chave de desencriptação.

  • Encripte dados em trânsito com HTTPS (TLS 1.2 e versões posteriores) para todas as comunicações, inbound e outbound, do cliente para desktop.
    • Utilize uma infraestrutura de certificados existente e utilize certificados confiáveis assinados por uma autoridade de certificação independente de confiança.
  • Encripte dados armazenados (quando possível).
    • Para estações de trabalho, considere a utilização de encriptação total do disco.
    • Para as bases de dados, considere a utilização de Encriptação Transparente de Dados (Transparent data Encryption - TDE)
    • Para repositórios de ficheiros considere a utilização de encriptação total do disco.
  • Assegure-se de que utiliza algoritmos de encriptação fortes
    • O campo da criptografia está em constante mudança e os algoritmos mais antigos continuarão a ser considerados inseguros.
    • Acompanhe entidades normativas, como o NIST, para obter recomendações.

Registo e auditoria

O Registo consiste em registar eventos importantes de determinado sistema. Auditoria é a prática de inspecionar os registos para assegurar que o sistema está a funcionar adequadamente ou responder a uma questão específica sobre uma transação específica.

  • Registe eventos como inícios de sessão bem sucedidos, inícios de sessão falhados e outros eventos, de acordo com a política organizacional.
  • Considere o início de sessão aos níveis da aplicação, sistema operativo e rede.
  • Considere a utilização de uma solução de gestão de eventos e informações de segurança empresariais para efetuar análise e correlação de eventos. Isto irá contribuir para a identificação de potenciais atividades maliciosas.

Hardening

Hardening é o processo de configuração segura de sistemas para impedir tantos riscos de segurança quanto possível. A superfície de ataque pode ser minimizada num sistema específico através de:

  • Implementação de hardening ao nível das aplicações, como as diretrizes mencionadas acima.
  • Remoção de software desnecessário.
  • Desativação de serviços desnecessários.
  • Utilização de uma imagem de segurança reforçada. Os produtos ArcGIS Desktop e ArcGIS Pro têm autocertificação de acordo com a United States Government Configuration Baseline (USGCB, anteriormente FDCC).