Al proteger su portal de ArcGIS Enterprise, es importante que el entorno en el que se ejecuta el portal también esté protegido. Hay varias prácticas recomendadas que puede seguir para garantizar la seguridad más sólida.
Configurar ajustes de correo electrónico
Puede configurar su organización para que envíe notificaciones por correo electrónico a los miembros y administradores en caso de olvido de la contraseña, actualización de la política de contraseñas, etc. En Configuración de correo electrónico encontrará los pasos y detalles del proceso.
Restringir el recurso proxy del portal
En algunas situaciones, el portal se utiliza como servidor proxy. Como consecuencia, el recurso proxy del portal se puede usar de forma indebida para lanzar ataques de denegación de servicio (DoS) o de falsificación de solicitud de servidor (SSRF) contra cualquier equipo al que pueda tener acceso el equipo del portal. Para minimizar esta vulnerabilidad potencial, se recomienda encarecidamente restringir el acceso del recurso proxy del portal a las direcciones web aprobadas. Para obtener información adicional y las instrucciones completas, consulte Restringir el recurso proxy del portal.
Deshabilitar el acceso anónimo
Para impedir que los usuarios accedan al contenido sin proporcionar primero las credenciales para el portal, es recomendable configurar el portal para deshabilitar el acceso anónimo. Deshabilitar los usuarios anónimos ayuda a garantizar que un usuario público no podrá tener acceso a los recursos del portal.
Para ver cómo se deshabilita el acceso anónimo en su portal de ArcGIS Enterprise, consulte Deshabilitar el acceso anónimo. Si se utiliza la autenticación de nivel web (es decir, si se realiza la autenticación través de ArcGIS Web Adaptor), también será necesario deshabilitar el acceso anónimo en el servidor web. Para obtener instrucciones, consulte la documentación del producto del servidor web.
Configurar certificados de servidor firmados por CA
El portal de ArcGIS Enterprise se suministra preconfigurado con un certificado de servidor autofirmado que permite probar el portal inicialmente y ayuda a verificar de forma rápida que la instalación se realizó correctamente. Sin embargo, en la mayoría de los casos, una organización debe solicitar un certificado a una autoridad certificadora (CA) de confianza y configurar el portal para que lo use. El certificado puede estar firmado por una entidad de certificación (CA) corporativa (interna) o comercial.
Debe configurar cada uno de los componentes de ArcGIS que corresponda en su organización con un certificado de una entidad de certificación corporativa o comercial. Algunos ejemplos habituales son ArcGIS Web Adaptor y ArcGIS Server. Por ejemplo, ArcGIS Server también se suministra con un certificado autofirmado preconfigurado. Si va a federar un sitio de ArcGIS Server con su portal, es importante que solicite un certificado firmado por una entidad de certificación (CA) y que configure el servidor y Web Adaptor para que lo utilicen.
Configurar un certificado de una autoridad de confianza es una práctica segura para los sistemas basados en web y además evitará que los usuarios reciban advertencias del navegador u otros comportamientos inesperados. Si elige usar el certificado autofirmado que se incluye con ArcGIS Enterprise durante la prueba, experimentará lo siguiente:
- Advertencias de su navegador web, de ArcGIS Desktop o de ArcGIS Pro que indican que el sitio no es de confianza. Cuando un navegador web encuentra un certificado autofirmado, normalmente muestra una advertencia y pide al usuario que confirme que quiere acceder al sitio. Muchos navegadores muestran iconos de advertencia o un color rojo en la barra de dirección mientras se usa el certificado autofirmado.
- Incapacidad para abrir un servicio federado en el portal de Map Viewer, para agregar un elemento de servicio protegido al portal, para iniciar sesión en ArcGIS Server Manager en un servidor federado o para conectarse al portal desde ArcGIS for Office.
- Comportamiento inesperado al configurar servicios de utilidades, imprimir servicios alojados y acceder al portal desde aplicaciones cliente.
Precaución:
La lista anterior de los problemas que se experimentan al usar un certificado autofirmado no es exhaustiva. Es obligatorio utilizar un certificado firmado por una entidad de certificación para probar e implementar por completo su portal.
Para obtener las instrucciones sobre cómo configurar ArcGIS Enterprise con un certificado firmado por una entidad de certificación, consulte los temas siguientes:
Configurar HTTPS
Cuando se configura inicialmente su implementación de ArcGIS Enterprise, siempre que se piden las credenciales, el nombre de usuario y la contraseña se envían utilizando HTTPS. Esto significa que las credenciales enviadas a través de una red interna o de Internet están cifradas y no se pueden interceptar. De forma predeterminada, toda la comunicación del portal se envía por medio de HTTPS. Para impedir la interceptación de cualquier comunicación, es recomendable configurar el servidor web que aloja ArcGIS Web Adaptor de modo que aplique HTTPS.
Si se impone la comunicación HTTPS, toda la comunicación externa del portal de Enterprise como, por ejemplo, los servicios de ArcGIS Server y los servicios del Consorcio Geoespacial abierto (OGC), está protegida ya que el portal solo accederá al contenido web externo si HTTPS está disponible. Si no es así, se bloquea el contenido externo.
Sin embargo, puede haber casos en los que desee habilitar la comunicación HTTP y HTTPS del portal. Para saber cómo aplicar HTTP y HTTPS en todas las comunicaciones de ArcGIS Enterprise, consulte Configurar HTTPS.
Utilizar una cuenta de servicio administrada por un grupo
Al instalar su portal, le recomendamos utilizar una cuenta de servicio administrada por un grupo (gMSA) como la cuenta que ejecute el servicio del portal. Al utilizar una gMSA, se disfruta de las ventajas de una cuenta de dominio de Active Directory y se mantiene protegida esa cuenta mediante actualizaciones periódicas de la contraseña.
Más información sobre las cuentas de servicio administradas por un grupo
Deshabilitar el directorio de Portal for ArcGIS
Puede deshabilitar el directorio de Portal for ArcGIS para reducir el riesgo de que los elementos, los servicios, los mapas web, los grupos y otros recursos del portal se puedan examinar, aparezcan en los resultados de las búsquedas web o se consulten mediante formularios HTML. Deshabilitar el directorio de Portal for ArcGIS también proporciona mayor protección frente a ataques de cross-site-scripting (XSS).
La decisión de deshabilitar el directorio de Portal for ArcGIS depende del propósito del portal y de hasta qué punto es necesario que los usuarios y desarrolladores puedan examinarlo. Si se deshabilita el directorio de Portal for ArcGIS, tal vez sea necesario prepararse para crear otras listas o metadatos de los elementos disponibles en el portal.
Para ver las instrucciones completas, consulte Deshabilitar el directorio de Portal for ArcGIS.
Configurar el cortafuegos para que funcione con el portal
Cada equipo tiene miles de puertos a través de los cuales otros equipos pueden enviar información. Un firewall es un mecanismo de seguridad que limita la cantidad de puertos en el equipo a través de los cuales otros equipos pueden comunicarse. Cuando utiliza un firewall para restringir la comunicación a una pequeña cantidad de puertos, puede controlar mejor esos puertos para evitar un ataque.
El portal de ArcGIS Enterprise usa ciertos puertos para comunicarse, por ejemplo, 7005, 7080, 7099, 7443 y 7654. Como mejor práctica de seguridad, se recomienda abrir el firewall para permitir la comunicación en estos puertos; de lo contrario, el portal podría no funcionar correctamente. Para obtener más información, consulte Puertos utilizados por Portal for ArcGIS.
Especificar el tiempo de caducidad de token
Un token es una cadena de caracteres de información cifrada que contiene el nombre de usuario, el tiempo de espera del token y otros datos de información confidencial. Cuando se emite un token para el miembro, puede acceder al portal hasta que el token caduca. Cuando caduca, el miembro debe volver a facilitar el nombre de usuario y la contraseña.
Cada vez que genera un token nuevo mientras utiliza ArcGIS Enterprise, debe especificar un tiempo de caducidad. De lo contrario, se utilizará un valor de caducidad predeterminado.
Hay tres tipos de tokens que se utilizan en el portal: tokens de ArcGIS, tokens de access de OAuth y tokens de refresh de OAuth. Cada uno tiene su propio valor de caducidad predeterminado.
No es posible aumentar estos valores predeterminados y solo se pueden reducir definiendo la propiedad maxTokenExpirationMinutes en ArcGIS Portal Administrator Directory como un valor menor que el valor predeterminado. A pesar de que estos valores pueden ser adecuados para su organización, es importante tener en cuenta las implicaciones para la seguridad que supone un token. Un token con un tiempo de caducidad más largo es menos seguro. Por ejemplo, un token interceptado por un usuario malintencionado puede ser utilizado hasta que el token caduca. Por el contrario, un tiempo de caducidad más breve es más seguro pero menos cómodo, puesto que los miembros tendrán que introducir su nombre de usuario y contraseña con mayor frecuencia.
Para cambiar el tiempo de espera de token predeterminado, siga los pasos indicados en Especificar el tiempo de espera de token predeterminado.
Restringir los permisos de archivos
Se recomienda que los permisos de archivo se establezcan de forma que solo se otorgue el acceso necesario al directorio de instalación y al directorio de contenido de Portal for ArcGIS. La única cuenta que el software de Portal for ArcGIS exige para el acceso es la cuenta de Portal for ArcGIS. Esta es la cuenta que se utiliza para ejecutar el software. Su organización puede requerir que las cuentas adicionales tengan también acceso. Recuerde que la cuenta de portal necesita pleno acceso a los directorios de instalación y contenido para que el sitio funcione correctamente.
Portal for ArcGIS hereda permisos de archivo de la carpeta principal en la que está instalado. Además, otorga permisos a la cuenta de portal para que pueda acceder al directorio en el que está instalado. Los archivos que se crean cuando se ejecuta el portal heredan los permisos de la carpeta principal. Si desea proteger el directorio de contenido, establezca permisos restringidos en la carpeta principal.
Cualquier cuenta que tenga acceso de escritura al directorio de contenido puede cambiar la configuración del portal, que normalmente solo puede ser modificada por un administrador del sistema. Si el almacenamiento de seguridad incorporado se utiliza para el mantenimiento de los usuarios, el directorio de contenido incluirá las contraseñas cifradas de esos usuarios. En tal caso también deberá restringirse el acceso de lectura al directorio de contenido.