El diseño de una estrategia de seguridad exhaustiva en Amazon EC2 exige planificar la seguridad en diversos niveles.
El acceso a los servicios y aplicaciones web se administra mediante los mismos mecanismos de seguridad empleados con ArcGIS Enterprise fuera de Amazon EC2. Esto se describe en la ayuda de ArcGIS Server y Portal for ArcGIS.
Además, existen consideraciones sobre seguridad específicas para la implementación en la nube. En las secciones siguientes se describen algunas de las consideraciones sobre seguridad y enfoques específicos para la implementación en Amazon Web Services (AWS).
Proteger el entorno de administración en la nube
La administración de identidad y acceso de Amazon (IAM) permite administrar grupos de usuarios con distintos niveles de permisos sobre su cuenta de AWS. Antes de iniciar sesión en ArcGIS Server Cloud Builder on Amazon Web Services, debe usar IAM para crear al menos un usuario con acceso a su cuenta. A continuación deberá descargar la clave de acceso y la clave de acceso secreta asociadas a ese usuario. Al iniciar sesión por primera vez en Cloud Builder, puede decidir si desea guardar esas claves o solicitarlas en cada inicio de sesión. También puede utilizar un rol de IAM para configurar un sitio de ArcGIS Server de alta disponibilidad.
La administración avanzada de ArcGIS Enterprise on Amazon Web Services se lleva a cabo con la Consola de administración de AWS. Deberá iniciar una sesión en la consola con el nombre de usuario y la contraseña de la cuenta de Amazon para poder iniciar o terminar instancias de EC2, configurar balanceadores de carga elásticos (ELB) e IP elásticos de Amazon, y realizar otras tareas administrativas del entorno virtual. Además, tras iniciar sesión podrá ver información de actividad y de facturación de la cuenta.
Comparta los datos de nombre, contraseña, claves de acceso y claves de acceso secretas de la cuenta de Amazon exclusivamente con un número reducido de personas de la organización que sepan cómo se inician, se editan y se detienen correctamente los recursos con Cloud Builder o con la Consola de administración de AWS. Si se permite el acceso generalizado a personal no capacitado, la implementación será vulnerable a graves trastornos del sistema y a excesivos cambios de la cuenta. En última instancia, este tipo de problemas suele ser más perjudicial que el asalto de un pirata externo.
Amazon ofrece una capa adicional de protección para la Consola de administración de AWS, que va más allá del nombre de cuenta y loa contraseña. Esta opción, AWS Multi-Factor Authentication, MFA, requiere que tenga en su poder un código de seis dígitos generado por un pequeño dispositivo de hardware. Este código cambia con frecuencia, de tal manera que incluso si un usuario malintencionado consiguiese obtener el nombre y la contraseña de la cuenta, no podría iniciar una sesión de la Consola de administración de AWS.
Proteger la administración de instancias
Iniciar una sesión de Cloud Builder o de la Consola de administración de AWS no es más que uno de los diversos aspectos de la administración de ArcGIS en Amazon EC2. Otra parte de la configuración de la implementación en la nube consiste en iniciar instancias de EC2 para autorizar o actualizar software, ejecutar herramientas instaladas con ArcGIS Enterprise, transferir datos, configurar aplicaciones y agregar inicios de sesión.
Primero iniciará una sesión en una instancia de EC2 de Windows como administrador de la máquina, utilizando una contraseña generada aleatoriamente que obtendrá mediante el archivo de par de claves. Guarde el archivo de par de claves en un lugar seguro. La primera vez que inicie una sesión de la instancia, deberá cambiar la contraseña por otra que le resulte más fácil de recordar. No es seguro apuntar la contraseña ni guardarla en texto no codificado en alguna ubicación de la máquina local.
Sugerencia:
Considere seleccionar una contraseña que se ajuste a los requisitos de complejidad de Windows Server, a saber:
- Las contraseñas no deben contener el nombre del usuario ni partes del nombre completo del mismo que superen dos caracteres consecutivos.
- Las contraseñas deben tener al menos ocho caracteres de longitud.
- Las contraseñas deben contener caracteres de tres de las cuatro categorías siguientes:
- Caracteres latinos en mayúscula (entre la A y la Z)
- Caracteres latinos en minúscula (entre la a y la z)
- Los diez dígitos básicos (del 0 al 9)
- Caracteres no alfanuméricos (por ejemplo, !, $, #, %)
Una vez que haya iniciado una sesión de la instancia, podrá optar por utilizar las herramientas de Windows para definir a los usuarios no administrativos autorizados para iniciar sesión.
Proteger las instancias contra ataques externos
Todas las instancias de EC2 utilizan un firewall como protección contra el acceso exterior no autorizado o desconocido. El firewall se configura creando grupos de seguridad y abriendo el acceso a una serie de direcciones, puertos y protocolos IP en cada grupo. Cada vez que inicie una instancia de EC2 nueva, deberá especificar a qué grupo de seguridad pertenecerá la instancia.
De manera predeterminada, los nuevos grupos de seguridad no tienen el acceso autorizado. Como mínimo, deberá autorizar el acceso de escritorio remoto y el acceso HTTP para iniciar una sesión de la instancia de EC2 y comprobar el servidor. Consulte las instrucciones en Apertura de un grupo de seguridad de Amazon EC2 para ArcGIS . Además, consulte Configuraciones comunes de grupos de seguridad para obtener ideas sobre configuraciones de grupos de seguridad adecuadas para ArcGIS Enterprise on Amazon Web Services.
Cuando utiliza ArcGIS Server Cloud Builder on Amazon Web Services para crear un sitio de ArcGIS Server o una plantilla de AWS CloudFormation suministrada por Esri, se crea y configura un grupo de seguridad. Se abrirán los puertos necesarios del grupo de seguridad para permitir que el sitio funcione, aunque de ser necesario podrá utilizar la Consola de administración de AWS para justar las opciones de configuración de este grupo de seguridad. Por ejemplo, si desea conectarse a alguna de las instancias con el escritorio remoto de Windows, deberá abrir el puerto 3389.
En el Centro de Seguridad de Amazon encontrará informes técnicos y documentos de buenas prácticas para el diseño de una arquitectura segura de EC2. Estas directrices son aplicables a ArcGIS Enterprise on Amazon Web Services.