Al proteger su portal de ArcGIS Enterprise, es importante que el entorno en el que se ejecuta el portal también esté protegido. Hay varias prácticas de seguridad mejores que puede seguir para garantizar la seguridad más sólida.
Restringir el recurso proxy del portal
En algunas situaciones, el portal se utiliza como servidor proxy. Como consecuencia, el recurso proxy del portal se puede usar de forma indebida para lanzar ataques de denegación de servicio (DoS) o de falsificación de solicitud de servidor (SSRF) contra cualquier equipo al que pueda tener acceso el equipo del portal. Para minimizar esta vulnerabilidad potencial, se recomienda encarecidamente restringir el acceso del recurso proxy del portal a las direcciones web aprobadas. Para obtener información adicional y las instrucciones completas, consulte Restringir el recurso proxy del portal.
Deshabilitar el acceso anónimo
Para impedir que los usuarios accedan al contenido sin proporcionar primero las credenciales para el portal, es recomendable configurar el portal para deshabilitar el acceso anónimo. Deshabilitar los usuarios anónimos ayuda a garantizar que un usuario público no podrá tener acceso a los recursos del portal.
Para ver cómo se deshabilita el acceso anónimo en su portal de ArcGIS Enterprise, consulte Deshabilitar el acceso anónimo. Si se utiliza la autenticación de niveles web (es decir, si se realiza la autenticación través de ArcGIS Web Adaptor), también será necesario deshabilitar el acceso anónimo en el servidor web. Para obtener instrucciones, consulte la documentación del producto del servidor web.
Configurar certificados de servidor firmados por CA
El portal de ArcGIS Enterprise se suministra preconfigurado con un certificado de servidor autofirmado que permite probar el portal inicialmente y ayuda a verificar de forma rápida que la instalación se realizó correctamente. Sin embargo, en la mayoría de los casos, una organización debe solicitar un certificado a una autoridad certificadora (CA) de confianza y configurar el portal para que lo use. El certificado puede estar firmado por una entidad de certificación (CA) corporativa (interna) o comercial.
Debe configurar cada uno de los componentes de ArcGIS que corresponda en su organización con un certificado de una entidad de certificación corporativa o comercial. Entre los ejemplos más comunes se encuentran ArcGIS Web Adaptor y ArcGIS Server. Por ejemplo, ArcGIS Server también se suministra con un certificado autofirmado preconfigurado. Si va a federar un sitio de ArcGIS Server con su portal, es importante que solicite un certificado firmado por una entidad de certificación (CA) y que configure el servidor y Web Adaptor para que lo utilicen.
Configurar un certificado de una autoridad de confianza es una práctica segura para los sistemas basados en web y además evitará que los usuarios reciban advertencias del navegador u otros comportamientos inesperados. Si elige usar el certificado autofirmado que se incluye con ArcGIS Enterprise durante la prueba, experimentará lo siguiente:
- Advertencias de su navegador web y de ArcGIS Desktop sobre que el sitio no es de confianza. Cuando un navegador web encuentra un certificado autofirmado, normalmente muestra una advertencia y pide al usuario que confirme que quiere acceder al sitio. Muchos navegadores muestran iconos de advertencia o un color rojo en la barra de dirección mientras se usa el certificado autofirmado.
- Incapacidad para abrir un servicio federado en el portal de Map Viewer, para agregar un elemento de servicio protegido al portal, para iniciar sesión en ArcGIS Server Manager en un servidor federado o para conectarse al portal desde ArcGIS Maps for Office.
- Comportamiento inesperado al configurar servicios de utilidades, imprimir servicios alojados y acceder al portal desde aplicaciones cliente.
Precaución:
La lista anterior de los problemas que se experimentan al usar un certificado autofirmado no es exhaustiva. Es obligatorio utilizar un certificado firmado por una entidad de certificación para probar e implementar por completo su portal.
Para obtener las instrucciones sobre cómo configurar ArcGIS Enterprise con un certificado firmado por una entidad de certificación, consulte los temas siguientes:
Configurar HTTPS
Cuando se configura inicialmente su implementación de ArcGIS Enterprise, siempre que se piden las credenciales, el nombre de usuario y la contraseña se envían utilizando HTTPS. Esto significa que las credenciales enviadas a través de una red interna o de Internet están cifradas y no se pueden interceptar. Sin embargo, las demás comunicaciones del portal se envían a través de HTTP, que no es seguro. Para impedir la interceptación de cualquier comunicación dentro del portal, es recomendable configurar el portal y el servidor web que aloja ArcGIS Web Adaptor de modo que aplique HTTPS. Si tiene accesos directos o marcadores del sitio web del portal que usen HTTP, tendrá que actualizarlos para que usen HTTPS.
La aplicación de HTTPS en el portal también controla la comunicación con el contenido web externo; por ejemplo, los servicios de ArcGIS Server, los servicios de Consorcio Geoespacial abierto (OGC), etc. Al aplicar HTTPS, el portal de ArcGIS Enterprise solo tendrá acceso al contenido web externo usando HTTPS. Si HTTPS no está disponible, se bloquea el contenido externo.
Para saber cómo aplicar HTTPS en todas las comunicaciones de ArcGIS Enterprise, consulte Configurar HTTPS.
Deshabilitar el directorio de Portal for ArcGIS
Puede deshabilitar el directorio de Portal for ArcGIS para reducir el riesgo de que los elementos, los servicios, los mapas web, los grupos y otros recursos del portal se puedan examinar, aparezcan en los resultados de las búsquedas web o se consulten mediante formularios HTML. Deshabilitar el directorio de Portal for ArcGIS también proporciona mayor protección frente a ataques de cross-site-scripting (XSS).
La decisión de deshabilitar el directorio de Portal for ArcGIS depende del propósito del portal y de hasta qué punto es necesario que los usuarios y desarrolladores puedan examinarlo. Si se deshabilita el directorio de Portal for ArcGIS, tal vez sea necesario prepararse para crear otras listas o metadatos de los elementos disponibles en el portal.
Para ver las instrucciones completas, consulte Deshabilitar el directorio de Portal for ArcGIS.
Configurar el cortafuegos para que funcione con el portal
Cada equipo tiene miles de puertos a través de los cuales otros equipos pueden enviar información. Un firewall es un mecanismo de seguridad que limita la cantidad de puertos en el equipo a través de los cuales otros equipos pueden comunicarse. Cuando utiliza un firewall para restringir la comunicación a una pequeña cantidad de puertos, puede controlar mejor esos puertos para evitar un ataque.
El portal de ArcGIS Enterprise usa ciertos puertos para comunicarse, por ejemplo, 7005, 7080, 7099, 7443 y 7654. Como práctica recomendada de seguridad, es conveniente abrir el firewall para permitir la comunicación en esos puertos; de lo contrario, es posible que el portal no funcione correctamente. Para obtener más información, consulte Puertos utilizados por Portal for ArcGIS.
Especificar el tiempo de espera de token predeterminado
Si está utilizando el almacén de identidades integrado del portal, se utiliza un token para autenticar miembros. Cuando un usuario intenta acceder al portal, proporciona su nombre de usuario y contraseña. Portal for ArcGIS verifica las credenciales suministradas, genera un token y emite un token para el miembro.
Un token es una cadena de caracteres de información cifrada que contiene el nombre de usuario, el tiempo de espera del token y otros datos de información confidencial. Cuando se emite un token para el miembro, puede acceder al portal hasta que el token caduca. Cuando caduca, el miembro debe volver a facilitar el nombre de usuario y la contraseña.
El tiempo predeterminado de espera es dos semanas (20.160 minutos). Aunque esto pueda resultar adecuado para su organización, un token con un tiempo de espera más largo es menos seguro. Por ejemplo, un token interceptado por un usuario malintencionado puede ser utilizado hasta que el token caduca. Por el contrario, un tiempo de espera más breve resulta más seguro, pero los miembros tendrán que introducir su nombre de usuario y contraseña con mayor frecuencia.
Para cambiar el tiempo de espera de token predeterminado, siga los pasos indicados en Especificar el tiempo de espera de token predeterminado.
Restringir los permisos de archivos
Se recomienda que los permisos de archivo se establezcan de forma que solo se otorgue el acceso necesario al directorio de instalación y al directorio de contenido de Portal for ArcGIS. La única cuenta que el software de Portal for ArcGIS exige para el acceso es la cuenta de Portal for ArcGIS. Esta es la cuenta que se utiliza para ejecutar el software. Su organización puede requerir que las cuentas adicionales tengan también acceso. Recuerde que la cuenta de portal necesita pleno acceso a los directorios de instalación y contenido para que el sitio funcione correctamente.
Portal for ArcGIS hereda los permisos de archivo de la carpeta principal en la que está instalado. Además, otorga permisos a la cuenta de portal para que pueda acceder al directorio en el que está instalado. Los archivos que se crean cuando se ejecuta el portal heredan los permisos de la carpeta principal. Si desea proteger el directorio de contenido, establezca permisos restringidos en la carpeta principal.
Cualquier cuenta que tenga acceso de escritura al directorio de contenido puede cambiar la configuración del portal, que normalmente solo puede ser modificada por un administrador del sistema. Si el almacenamiento de seguridad incorporado se utiliza para el mantenimiento de los usuarios, el directorio de contenido incluirá las contraseñas cifradas de esos usuarios. En tal caso también deberá restringirse el acceso de lectura al directorio de contenido.