Seguridad de ArcGIS for Server en Amazon EC2
El diseño de una estrategia de seguridad exhaustiva para ArcGIS for Server en Amazon EC2 exige planificar la seguridad a diversos niveles. Considere las siguientes cuestiones:
- ¿Por qué tengo necesidad de crear y destruir sitios de ArcGIS for Server utilizando mi cuenta de Amazon?
- ¿Por qué debo ser capaz de iniciar una sesión de instancias de EC2 para instalar nuevo software o para administrar directamente el servidor?
- ¿Qué equipos deben poder "ver" mi servidor una vez que esté ejecutando EC2, y para qué finalidad?
- ¿Quién debería poder conectarse a mi sitio como usuario, responsable de publicación o administrador?
- ¿Hay usuarios a los que debería autorizar el acceso a determinados servicios, y negárselo a otros?
- ¿Mis aplicaciones web van a requerir un procedimiento de inicio de sesión?
Tendrá que conocer y utilizar diversas técnicas de seguridad para diseñar una solución segura que responda a todas las preguntas precedentes de manera satisfactoria. Este tema describe cómo abordar cada una de ellas.
Protección del entorno de administración en la nube
El acceso a ArcGIS Server Cloud Builder on Amazon Web Services está controlado mediante una clave de acceso y una clave de acceso secreto asociadas con la cuenta de Amazon. (Consulte cómo obtenerlas en Preguntas frecuentes.) Deberá indicar la clave de acceso y la clave de acceso secreto la primera vez que utilice Cloud Builder y, a partir de ese momento, podrá decidir si desea guardarlas o que la aplicación la pida en cada inicio de sesión.
La administración avanzada de ArcGIS Server on Amazon Web Services se efectúa a través de la Consola de administración de AWS. Deberá iniciar una sesión en la consola con el nombre de usuario y la contraseña de la cuenta de Amazon para poder iniciar o terminar instancias de EC2, configurar balanceadores de carga elásticos (ELB) e IP elásticos de Amazon, y realizar otras tareas administrativas del entorno virtual. Además, tras iniciar sesión podrá ver información de actividad y de facturación de la cuenta.
Comparta el nombre, la contraseña, la clave de acceso y la clave de acceso secreto de Amazon solamente con un pequeño número de usuarios de la organización, que sepan cómo iniciar, editar y terminar adecuadamente recursos con Cloud Builder o la Consola de administración de AWS. Si se permite el acceso generalizado a personal no capacitado, la implementación será vulnerable a graves trastornos del sistema y a excesivos cambios de la cuenta. En última instancia, este tipo de problemas suele ser más perjudicial que el asalto de un pirata externo.
Amazon ofrece una capa adicional de protección para la Consola de administración de AWS, que va más allá del nombre de cuenta y loa contraseña. Esta opción, AWS Multi-Factor Authentication, MFA, requiere que tenga en su poder un código de seis dígitos generado por un pequeño dispositivo de hardware. Este código cambia con frecuencia, de tal manera que incluso si un usuario malintencionado consiguiese obtener el nombre y la contraseña de la cuenta, no podría iniciar una sesión de la Consola de administración de AWS.
Protección de la administración de instancias de EC2
Iniciar una sesión de Cloud Builder o de la Consola de administración de AWS no es más que uno de los diversos aspectos de la administración de ArcGIS for Server en Amazon EC2. Otra parte de la configuración de la implementación en la nube consiste en iniciar instancias de EC2 para transferir datos y configurar los servicios y aplicaciones del SIG.
Inicialmente, iniciará una sesión de su instancia de EC2 como administrador de la máquina, utilizando una contraseña generada aleatoriamente que obtendrá utilizando el archivo de par de claves- Guarde el archivo de par de claves en un lugar seguro. La primera vez que inicie una sesión de la instancia, deberá cambiar la contraseña por otra que le resulte más fácil de recordar. No es seguro apuntar la contraseña ni guardarla en texto no codificado en alguna ubicación de la máquina local.
Sugerencia:Considere selecciona una contraseña que se ajuste a los requisitos de complejidad de Windows Server 2008, a saber:
- Las contraseñas no deben contener el nombre del usuario ni partes del nombre completo del mismo que superen dos caracteres consecutivos.
- Las contraseñas deben tener al menos seis caracteres de longitud.
- Las contraseñas deben contener caracteres de tres de las cuatro categorías siguientes:
- Caracteres latinos en mayúscula (entre la A y la Z)
- Caracteres latinos en minúscula (entre la a y la z)
- Los diez dígitos básicos (del 0 al 9)
- Caracteres no alfabéticos (por ejemplo, !, $, #, %)
Una vez que haya iniciado una sesión de la instancia, podrá optar por utilizar las herramientas de Windows para definir a los usuarios no administrativos autorizados para iniciar sesión.
Protección de las instancias de EC2 contra ataques externos
Todas las instancias de EC2 utilizan un firewall como protección contra el acceso exterior no autorizado o desconocido. El firewall se configura creando grupos de seguridad y abriendo el acceso a una serie de direcciones, puertos y protocolos IP en cada grupo. Cada vez que inicie una instancia de EC2, deberá especificar a qué grupo de seguridad pertenecerá la instancia.
De manera predeterminada, los nuevos grupos de seguridad no tienen el acceso autorizado. Como mínimo, deberá autorizar el acceso de escritorio remoto y el acceso HTTP para iniciar una sesión de la instancia de EC2 y comprobar el servidor. Consulte instrucciones en Apertura de un grupo de seguridad de Amazon EC2 para ArcGIS for Server. Además, consulte en Configuraciones comunes de grupos de seguridad ideas para la configuración de grupos de seguridad adecuados para ArcGIS Server on Amazon Web Services.
Al utilizar ArcGIS Server Cloud Builder on Amazon Web Services para crear un sitio, la aplicación creará y configurará automáticamente un grupo de seguridad. Se abrirán los puertos necesarios del grupo de seguridad para permitir que el sitio funcione, aunque de ser necesario podrá utilizar la Consola de administración de AWS para justar las opciones de configuración de este grupo de seguridad. Por ejemplo, si desea conectarse a alguna de las instancias con el escritorio remoto de Windows, deberá abrir el puerto 3389.
En el Centro de Seguridad de Amazon encontrará informes técnicos y documentos de buenas prácticas para el diseño de una arquitectura segura de EC2. Estas directrices son de aplicación a ArcGIS Server on Amazon Web Services.
Protección de las aplicaciones y servicios web del SIG
El acceso a los servicios y aplicaciones web se administra mediante los mismos mecanismos de seguridad empleados con ArcGIS for Server fuera de Amazon EC2. Estos se describen en el libro de la Ayuda de ArcGIS Proteger un sitio de ArcGIS for Server.
La pestaña Seguridad del Administrador de ArcGIS for Server ayuda a configurar usuarios y roles, así como a seleccionar cuáles tendrán acceso a los servicios. ArcGIS for Server dispone de un almacén integrado de usuarios y roles que puede resultar una opción atractiva para sitios en la nube que no tienen acceso a los almacenes de usuarios de la red local.