Je profite également de cet article pour rappeler deux autres recommandations de sécurité, plus générales et intemporelles :

1. Configurer la liste autorisée des proxys Portal for ArcGIS (allowedProxyHosts) 

ArcGIS Enterprise inclut un proxy de partage qui doit toujours être configuré par l'administrateur IT afin de réduire le risque d'attaques par déni de service (DoS) ou par falsification de requête côté serveur (SSRF) exploitant ses opérations. La propriété allowedProxyHosts était initialement répertoriée comme élément de profil avancé dans le guide de renforcement d'ArcGIS Enterprise en raison de difficultés d'implémentation potentielles. 

Esri l'a toutefois déplacée vers le profil de base, ce qui signifie que TOUTES les organisations doivent la configurer. Vous consulterez l'annexe J pour plus de détails sur les instructions de configuration dans le dernier guide de renforcement. On notera également qu'Esri travaille à la désactivation de l'utilisation du proxy de partage par défaut pour les nouveaux déploiements à partir de la version 12.0 d'ArcGIS Enterprise. En attendant, configurez toujours allowedProxyHosts.

Esri a introduit de nouvelles clés API dans ArcGIS Location Platform, ArcGIS Online et ArcGIS Enterprise. Ces clés intègrent des mécanismes de sécurité renforcés et peuvent être étendues pour une sécurité nettement renforcée. Bien qu'ArcGIS Enterprise ne puisse pas créer ni traiter de clés API héritées, certains clients les ont intégrées à leur déploiement ArcGIS Enterprise en les ajoutant à des URL appelant ArcGIS Online et Location Platform. Les clés API héritées sont intrinsèquement non sécurisées, car elles ne sont pas étendues et n'expirent jamais. Bien qu'Esri autorise les clés API héritées à fonctionner pour accéder aux services ArcGIS jusqu'à leur retrait en 2026, les clients doivent immédiatement adopter les nouvelles informations d'identification de clé API et supprimer les clés API héritées de tous les systèmes ArcGIS.

Si votre organisation nécessite le routage de tout le trafic Internet de vos systèmes ArcGIS Enterprise vers un proxy géré par votre organisation, veuillez vous assurer des points suivants. L'authentification de base utilisée entre ArcGIS Enterprise et le système de proxy direct d'un client a été intégrée il y a de nombreuses années pour réduire l'accès des systèmes utilisant le proxy direct pour communiquer avec les systèmes Internet. En raison de la fréquence à laquelle nous avons constaté des configurations incorrectes de proxys directs lors de l'utilisation de l'authentification de base, Esri recommande désormais fortement de NE PAS UTILISER l'authentification de base entre ArcGIS Enterprise et les proxys directs, et d'utiliser plutôt des communications restreintes standard entre les systèmes, telles que les contrôles d'accès réseau. Cette recommandation a été ajoutée dans le dernier guide de renforcement d'ArcGIS Enterprise en tant que recommandation de sécurité du profil de base (voir page 46). Esri envisage de supprimer la prise en charge de l'authentification de base avec les proxys directs des clients dans les prochaines versions en raison du risque qu'elle peut présenter.

Rappelons ici que l'utilisation de produits dont le cycle de vie est mature ou retiré constitue un déploiement extrêmement risqué et ne doit PAS être exposée au réseau Internet. Cela inclut par exemple ArcGIS Enterprise 11.0 et ArcGIS Enterprise 10.9 et bien entendu des versions antérieures. Esri recommande vivement de maintenir vos systèmes à jour avec au moins les versions de disponibilité générale de nos produits, voire la dernière version.