sigurnost gis portala
TRANSCRIPT
SIGURNOST GIS PORTALA
Davor Racić, Davor ŠelendićHrvatske šume d.o.o.
GIS Dan - HAOP, 18.11.2015.
Geoportal HŠ d.o.o.
• Interni Geoportal HŠ d.o.o. – WEB preglednik i servisi u produkciji od rujna 2013. god.• Oko 600 korisnika mjesečno posjeti WEB preglednik ili koristi
servise• Prezentiran na GIS danu otvorenih vrata AZO, 26.11.2013.
god.• Nove funkcionalnosti – prikaz vanjskih OGC servisa,
pretraživač kataloga NIPP-a• Novi slojevi I kontinuirano ažuriranje podataka• Hrvatske šume d.o.o. – subjekt NIPP-a• Vanjski preglednik i servisi u planu
Geoportal HŠ d.o.o.
Podaci
• Vektorski podaci – cca 30 slojeva• Rasterski podaci – 3 sloja• Baza podataka – cca 50 000 000 objekata• Slojevi grupirani po kategorijama – državne
šume, privatne šume, katastar, zaštita prirode itd.
Korisnici
• HŠ d.o.o. – Direkcija, Podružnice, Šumarije• Ministarstvo poljoprivrede – sektor šumarstva, od
lipnja 2014. god.• Savjetodavna služba• Šumarski fakultet – nastava i znanstveni projekti• Novi zahtjevi: Agencija za poljoprivredno zemljište,
Agencija za plaćanja u poljoprovredi, ribarstvu i ruralnom razvoju
Sigurnost GIS portala?
• Većina današnjih WEB GIS rješenja koriste OGC servise (WMS, TMS, WFS) pomoću JavaScript biblioteka koje se izvršavaju u preglednicima na strani klijenta
Sigurnost GIS portala = Sigurnost OGC servisa
Sigurnost OGC servisa
• Sigurnost protokola za prijenos podataka (SSL)• Autentikacija korisnika (tko pristupa
podacima?)• Autorizacija pristupa servisima (prava i
dozvole pristupa autenticiranome korisniku)
Osnovni modeli sigurnosti OGC servisa
• Sustav sigurnosti integriran u WEB Map Server (npr. GeoServer)• Proxy sustav – serverska komponenta ispred
WEB Map Servera (52°North security, MapBender OWS Proxy, Mapproxy)• “Security by obscurity”
Izazovi• Skalabilnost Proxy komponenti u odnosu na
Geoserver i isplativost programiranja prilagođenog sustava za servise i WEB aplikacije• Povećenjam broja korisnika servisa u HŠ ne
želimo kreirati glomaznu paralelnu autentikacijsku infrastrukturu• Proxy nam je ipak potreban zbog osiguravanja
sigurnog pristupa vanjskim servisima sa zaštitom
Naš pristup sigurnosti OGC servisa
• Zaštita HŠ OGC servisa sigurnosnim mehanizmima ugrađenima u GeoServer• GeoServer kao Proxy prema instutucijama s
kojima HŠ imaju sklopljene sporazume o izmjeni podataka• Fina granulacija pristupa svim podacima
putem GeoFence aplikacije
Geoserver security• Baziran na JAVA Spring Security Frameworku• Fleksibilan odabir autentikacijskih baza:
Geoserver lokalna baza, LDAP, Active Directory, SSO/CAS, X.509 autentikacija putem certifikata• Autorizacija pristupa do nivoa sloja• GUI/tekstualne konfiguracijske datoteke, REST
API• Nedostatak: nema fine granulacije pristupa
resursima, poprilično kompleksan za administraciju
Geoserver kao Proxy
GeoFence security• Zasebna JAVA serverska aplikacija + GeoServer Plugin• Autentikacijske baze: GeoFence lokalna baza, LDAP• Fina granulacija pristupa: user, group, IP adresa,
cluster, server, workspace, servis (WMS, WFS, WCS), vrsta upita (GetMap, GetFeatureInfo), autorizacija pristupa servisima (čitanje/pisanje/zabrana) do nivoa atributa, prostorni limiti• Jednostavno i skalabilno rješenje• GUI + REST API• Nedostatak: Nema fleksibilnog odabir autentikacijskih
backend-a
Geofence - sučelje
Primjer pristupa s prostornim ograničenjem
Novosti: GeoServer – 2.9
• Integrirani GeoFence server• Kombinacija GeoServer opcija autentikacije i
fine granulacije pristupa koju nudi GeoFence
Novosti: QGIS – 2.12
• Kriptirana pohrana korisničkih podataka• Autentikacija putem
certifikata
Hvala na pažnji!