Seguridad de ArcGIS for Server en Amazon Web Services
En este tema
- Proteger el entorno de administración en la nube
- Proteger la administración de instancias
- Proteger las instancias contra ataques externos
- Proteger servicios y aplicaciones web de SIG
El diseño de una estrategia de seguridad exhaustiva para ArcGIS for Server en Amazon EC2 exige planificar la seguridad a diversos niveles. Considere las siguientes cuestiones:
- ¿Por qué tengo necesidad de crear y destruir sitios de ArcGIS for Server utilizando mi cuenta de Amazon?
- ¿Por qué debo ser capaz de iniciar una sesión de instancias de EC2 para instalar nuevo software o para administrar directamente el servidor?
- ¿Qué ordenadores deberían poder descubrir mi servidor una vez que se esté ejecutando en EC2 y con qué fin?
- ¿Quién debería poder conectarse a mi sitio como usuario, responsable de publicación o administrador?
- ¿Hay usuarios a los que debería autorizar el acceso a determinados servicios, y negárselo a otros?
- ¿Mis aplicaciones web van a requerir un procedimiento de inicio de sesión?
Tendrá que conocer y utilizar diversas técnicas de seguridad para diseñar una solución segura que responda a todas las preguntas precedentes de manera satisfactoria. Este tema describe cómo abordar cada una de ellas.
Proteger el entorno de administración en la nube
La administración de identidad y acceso de Amazon (IAM) permite administrar grupos de usuarios con distintos niveles de permisos sobre su cuenta de AWS. Antes de iniciar sesión en Cloud Builder, deberá usar IAM para crear por lo menos un usuario con acceso de administrador a su cuenta. A continuación deberá descargar la clave de acceso y la clave de acceso secreta asociadas a ese usuario. Consulte las Preguntas frecuentes para obtener información sobre cómo se hace. Al iniciar sesión por primera vez en Cloud Builder, puede decidir si desea guardar esas claves o solicitarlas en cada inicio de sesión.
La administración avanzada de ArcGIS Server on Amazon Web Services se lleva a cabo mediante la Consola de administración de AWS. Deberá iniciar una sesión en la consola con el nombre de usuario y la contraseña de la cuenta de Amazon para poder iniciar o terminar instancias de EC2, configurar balanceadores de carga elásticos (ELB) e IP elásticos de Amazon, y realizar otras tareas administrativas del entorno virtual. Además, tras iniciar sesión podrá ver información de actividad y de facturación de la cuenta.
Comparta los datos de nombre, contraseña, claves de acceso y claves de acceso secretas de la cuenta de Amazon con un número reducido de personas de la organización que entiendan cómo se inician, editan y detienen correctamente los recursos con Cloud Builder o la Consola de administración de AWS. Si se permite el acceso generalizado a personal no capacitado, la implementación será vulnerable a graves trastornos del sistema y a excesivos cambios de la cuenta. En última instancia, este tipo de problemas suele ser más perjudicial que el asalto de un pirata externo.
Amazon ofrece una capa adicional de protección para la Consola de administración de AWS, que va más allá del nombre de cuenta y loa contraseña. Esta opción, AWS Multi-Factor Authentication, MFA, requiere que tenga en su poder un código de seis dígitos generado por un pequeño dispositivo de hardware. Este código cambia con frecuencia, de tal manera que incluso si un usuario malintencionado consiguiese obtener el nombre y la contraseña de la cuenta, no podría iniciar una sesión de la Consola de administración de AWS.
Proteger la administración de instancias
Iniciar una sesión de Cloud Builder o de la Consola de administración de AWS no es más que uno de los diversos aspectos de la administración de ArcGIS for Server en Amazon EC2. Otra parte de la configuración de la implementación en la nube consiste en iniciar instancias de EC2 para transferir datos y configurar los servicios y aplicaciones del SIG.
Inicialmente, iniciará una sesión de su instancia de EC2 de Windows como administrador del equipo, utilizando una contraseña generada aleatoriamente que obtendrá utilizando el archivo de par de claves- Guarde el archivo de par de claves en un lugar seguro. La primera vez que inicie una sesión de la instancia, deberá cambiar la contraseña por otra que le resulte más fácil de recordar. No es seguro apuntar la contraseña ni guardarla en texto no codificado en alguna ubicación de la máquina local.
Sugerencia:
Considere seleccionar una contraseña que se ajuste a los requisitos de complejidad de Windows Server 2012, a saber:
- Las contraseñas no deben contener el nombre del usuario ni partes del nombre completo del mismo que superen dos caracteres consecutivos.
- Las contraseñas deben tener al menos ocho caracteres de longitud.
- Las contraseñas deben contener caracteres de tres de las cuatro categorías siguientes:
- Caracteres latinos en mayúscula (entre la A y la Z)
- Caracteres latinos en minúscula (entre la a y la z)
- Los diez dígitos básicos (del 0 al 9)
- Caracteres no alfanuméricos (por ejemplo, !, $, #, %)
Una vez que haya iniciado una sesión de la instancia, podrá optar por utilizar las herramientas de Windows para definir a los usuarios no administrativos autorizados para iniciar sesión.
Proteger las instancias contra ataques externos
Todas las instancias de EC2 utilizan un firewall como protección contra el acceso exterior no autorizado o desconocido. El firewall se configura creando grupos de seguridad y abriendo el acceso a una serie de direcciones, puertos y protocolos IP en cada grupo. Cada vez que inicie una instancia de EC2, deberá especificar a qué grupo de seguridad pertenecerá la instancia.
De manera predeterminada, los nuevos grupos de seguridad no tienen el acceso autorizado. Como mínimo, deberá autorizar el acceso de escritorio remoto y el acceso HTTP para iniciar una sesión de la instancia de EC2 y comprobar el servidor. Consulte instrucciones en Abrir un grupo de seguridad de Amazon EC2 para ArcGIS for Server. Además, consulte Configuraciones comunes de grupos de seguridad para obtener ideas sobre configuraciones de grupos de seguridad adecuadas para ArcGIS Server on Amazon Web Services.
Si utiliza ArcGIS Server Cloud Builder on Amazon Web Services para crear un sitio, se crea y se configura un grupo de seguridad por usted. Se abrirán los puertos necesarios del grupo de seguridad para permitir que el sitio funcione, aunque de ser necesario podrá utilizar la Consola de administración de AWS para justar las opciones de configuración de este grupo de seguridad. Por ejemplo, si desea conectarse a alguna de las instancias con el escritorio remoto de Windows, deberá abrir el puerto 3389.
En el Centro de Seguridad de Amazon encontrará informes técnicos y documentos de buenas prácticas para el diseño de una arquitectura segura de EC2. Estas directrices son aplicables a ArcGIS Server on Amazon Web Services.
Proteger servicios y aplicaciones web de SIG
El acceso a los servicios y aplicaciones web se administra mediante los mismos mecanismos de seguridad empleados con ArcGIS for Server fuera de Amazon EC2. Estos se describen en el libro de la Ayuda de ArcGIS Proteger un sitio de ArcGIS for Server.
La pestaña Seguridad del Administrador de ArcGIS for Server ayuda a configurar usuarios y roles, así como a seleccionar cuáles tendrán acceso a los servicios. ArcGIS for Server dispone de un almacén integrado de usuarios y roles que puede resultar una opción atractiva para sitios en la nube que no tienen acceso a los almacenes de usuarios de la red local.