Das aktuelle Release des service.monitor bietet neben zahlreichen Optimierungen eine weitergehende Unterstützung der BSI Sicherheitsrichtlinien.
service.monitor Monitoring
Zu Authentifizierungszwecken nutzte das Monitoring bisher immer einen security.manager. Fortan wird in der Standardauslieferung eine einfache, interne Authentifizierung genutzt. Kunden, die mehrere con terra Produkte einsetzen, können jedoch weiterhin mit security.manager integrieren.
Kleine Verbesserungen gibt es bei der Überwachung von zugangsgeschützen Diensten und bei der Möglichkeit die HTTP-Antwort der Monitoring-Requests zu prüfen.
Für ArcGIS Server Dienste wird jetzt Token Authentifizierung angeboten. Der service.monitor Nutzer hinterlegt Nutzernamen und Passwort, service.monitor holt dynamisch ein Token ab, um dieses dem Monitoring-Request hinzuzufügen.
HTTP Header Expectations machen die Prüfung auf eine korrekte Server-Antwort noch stärker auf die Bedürfnisse der Administratoren möglich. So kann beispielsweise geprüft werden, ob ein bestimmter HTTP Header in der Antwort vorliegt, ebenso sind einfache Vergleichsoperationen auf den Werten der HTTP Header möglich (Anwendungsfall: Ist das zurückgelieferte Bild größer als 10 kbyte?)
Hinsichtlich der BSI Sicherheitsrichtlinien wurden Maßnahmen ergriffen, die das Produkt mit den dortigen Vorgaben konform macht. Dies betrifft insbesondere die Validierung von Nutzereingaben. Zusätzlich wurde das Produkt von solchen Dritt-Bibliotheken bereinigt, die laut dem Open Web Application Security Project (OWASP) Schwachstellen aufweisen.
service.monitor Analytics
Analytics integriert sich jetzt offiziell mit allen zum Release-Zeitpunkt verfügbaren Versionen von map.apps und security.manager. In der service.monitor Analytics Logstash Pipeline wurden zahlreiche Detailverbesserungen mit positiven Effekten für Datenschutz und Betrieb vorgenommen. Nutzernamen werden nun immer anonymisiert. Um die Wartung der Elasticsearch Index-Dateien zu vereinfachen, werden die Analytics-Ereignisse ab sofort getrennt nach ihrem Ereignis-Typ abgespeichert. Ereignisse mit geringem Wert für den Betreiber des Produktes können so regelmäßig und einfach aus dem Datenbestand entfernt werden.
Das Produkt unterstützt nun eine Laufzeitumgebung mit Apache Tomcat 9 und OpenJDK/OpenJRE 8, sowie PostgreSQL 10. Alle Änderungen sind in den Release Notes zu finden.