El diseño de una estrategia de seguridad exhaustiva en Amazon Elastic Compute Cloud (EC2) exige planificar la seguridad en diversos niveles.
El acceso a los servicios y aplicaciones web se administra mediante los mismos mecanismos de seguridad empleados con ArcGIS Enterprise fuera de Amazon Elastic Compute Cloud. Esto se describe en la ayuda de ArcGIS Server y Portal for ArcGIS.
Además, existen consideraciones sobre seguridad específicas para la implementación en la nube. En las secciones siguientes se describen algunas de las consideraciones sobre seguridad y enfoques específicos para la implementación en Amazon Web Services (AWS).
Proteger el entorno de administración en la nube
Utiliza herramientas de AWS como la Consola de administración de AWS o la interfaz de línea de comandos de AWS para realizar una administración avanzada de la implementación de ArcGIS en AWS. Estas tareas de administración incluyen, entre otros, configurar Elastic Load Balancers de Amazon (ELB) e IP elásticas, crear buckets de Amazon Simple Storage Service (S3) y visualizar la actividad de su cuenta y la información de facturación.
Amazon recomienda que utilice los roles de administración de identidad y acceso (IAM) de Amazon para administrar grupos de usuarios con distintos niveles de permisos sobre su cuenta de AWS. Utilice la IAM para crear al menos un usuario con acceso a su cuenta de AWS y descargar la clave de acceso y la clave de acceso secreta asociadas a ese usuario. Los roles de IAM se utilizan en los siguientes flujos de trabajo de ArcGIS Enterprise:
- Configurar un sitio de ArcGIS Server de alta disponibilidad.
- Configurar un portal de alta disponibilidad.
- Almacenar cachés de mapas y servicios de imágenes en S3.
Comparta los datos de nombre, contraseña, claves de acceso y claves de acceso secretas de la cuenta de Amazon exclusivamente con un número reducido de personas de la organización que sepan cómo se inician, editan y finalizan correctamente los recursos con herramientas de AWS, como la Consola de administración, las herramientas de línea de comandos o la API. Si se permite el acceso generalizado a personal no capacitado, la implementación será vulnerable a graves trastornos del sistema y a excesivos cambios de la cuenta. En última instancia, este tipo de problemas suele ser más perjudicial que el asalto de un pirata externo.
Amazon ofrece una capa opcional de protección que va más allá del nombre y la contraseña de su cuenta. Esta opción, AWS Multi-Factor Authentication, MFA, requiere que tenga en su poder un código de seis dígitos generado por un pequeño dispositivo de hardware. Este código cambia con frecuencia, de tal manera que incluso si un usuario malintencionado consiguiese obtener el nombre y la contraseña de la cuenta, no podría iniciar sesión en su cuenta desde la Consola de administración de AWS.
Proteger la administración de instancias
Administrar su cuenta y las instancias de EC2 mediante las herramientas de AWS es tan solo un aspecto de la administración de ArcGIS en AWS. Otra parte de la configuración de la implementación en la nube consiste en iniciar sesión en sus instancias de EC2 para autorizar o actualizar software, ejecutar las herramientas instaladas con ArcGIS Enterprise, transferir datos, configurar aplicaciones y agregar inicios de sesión.
Primero iniciará sesión en las instancias de Microsoft Windows EC2 como administrador del equipo, con una contraseña generada aleatoriamente que obtendrá utilizando el archivo de par de claves. Guarde el archivo de par de claves en un lugar seguro. La primera vez que inicie una sesión de la instancia, deberá cambiar la contraseña por otra que le resulte más fácil de recordar. No es seguro apuntar la contraseña ni guardarla en texto no codificado en alguna ubicación de la máquina local.
Sugerencia:
Elija una contraseña que se ajuste a los requisitos de complejidad de Microsoft Windows Server, a saber:
- Las contraseñas no deben contener el nombre del usuario ni partes del nombre completo del mismo que superen dos caracteres consecutivos.
- Las contraseñas deben tener al menos ocho caracteres de longitud.
- Las contraseñas deben contener caracteres de tres de las cuatro categorías siguientes:
- Caracteres latinos en mayúscula (entre la A y la Z)
- Caracteres latinos en minúscula (entre la a y la z)
- Los diez dígitos básicos (del 0 al 9)
- Caracteres no alfanuméricos (por ejemplo, !, $, #, %)
Una vez que haya iniciado sesión en la instancia, puede utilizar las herramientas de Windows para definir los usuarios no administrativos autorizados para iniciar sesión.
Proteger las instancias contra ataques externos
Todas las instancias de EC2 utilizan grupos de seguridad como protección contra el acceso exterior no autorizado o desconocido. Tiene que configurar los grupos de seguridad para permitir el acceso a diversas direcciones IP, puertos y protocolos. Cada vez que inicie una instancia de EC2 nueva, deberá especificar a qué grupo de seguridad pertenecerá la instancia, lo que determinará quién puede acceder a ella.
De manera predeterminada, los nuevos grupos de seguridad no tienen el acceso autorizado. Como mínimo, deberá autorizar el acceso remoto y el acceso HTTP para iniciar sesión en la instancia de EC2 y comprobar la implementación. Consulte Abrir de un grupo de seguridad de Amazon Elastic Compute Cloud para ArcGIS para obtener instrucciones. Además, consulte Configuraciones comunes de grupos de seguridad para obtener ideas sobre configuraciones de grupos de seguridad adecuadas para ArcGIS Enterprise on Amazon Web Services.
Si utiliza herramientas de Esri para implementar un sitio, se crea y se configura un grupo de seguridad para usted. Se abrirán los puertos necesarios del grupo de seguridad para permitir que el sitio funcione, aunque de ser necesario podrá utilizar las herramientas de AWS para ajustar las opciones de configuración de este grupo de seguridad. Por ejemplo, si desea conectarse a alguna de las instancias con el Escritorio remoto de Windows, deberá abrir el puerto 3389.
En AWS Cloud Security encontrará informes técnicos y documentos de buenas prácticas para el diseño de una arquitectura segura de EC2. Estas directrices son aplicables a ArcGIS Enterprise on Amazon Web Services.