Configuraciones comunes de grupos de seguridad
Una instancia de Amazon Elastic Compute Cloud (EC2) admite solamente tráfico de red procedente de orígenes y de puertos definidos en su grupo de seguridad. Al utilizar Amazon EC2, deberá configurar algunos grupos de seguridad que se correspondan con los tipos de actividades que va a realizar en sus instancias de EC2. Este tema describe algunos grupos de seguridad comunes que podrá configurar para diferentes implementaciones de ArcGIS for Server.
De manera predeterminada, un grupo de seguridad está completamente bloqueado. Podrá agregar reglas a un grupo de seguridad especificando el tipo de tráfico permitido, los puertos a través de los cuales se canalizará y los ordenadores desde los que se admitirán comunicaciones. Los puertos que decida abrir y el tipo de tráfico que necesite permitir dependerán de lo que vaya a hacer con la instancia.
A continuación sugerimos nombres y reglas para grupos de seguridad que podrá configurar en la Consola de administración de AWS. Los puertos y protocolos admisibles podrán variar en función de las directivas de TI de su organización. Para las siguientes sugerencias utilizamos los números de puerto más habituales. Si su organización tiene un especialista en TI, considere consultarle para que diseñe la mejor estrategia de diseño para las instancias de EC2.
Desarrollo de ArcGIS for Server
Considere crear un grupo de seguridad específicamente para instancias de EC2 empleadas a efectos de desarrollo y pruebas. Este tipo de grupo podría permitir los siguientes accesos:
- Acceso de RDP a través del puerto 3389 para la dirección IP o una serie de direcciones IP autorizadas internas de la organización (solo Windows). Esto permitirá administrar la instancia de EC2 a través de Conexión a Escritorio remoto de Windows. Debe utilizar la notación de Enrutamiento entre dominios sin clase (CIDR) para especificar un rango de direcciones IP (o una dirección IP) que puedan hacer conexiones. Por ejemplo, 0.0.0.0/0 permite que todos se conecten, en tanto que 92.23.32.51/32 permite que solamente una dirección IP específica se conecte. Consulte al administrador del sistema si necesita ayuda para obtener la dirección IP de cara al exterior de la máquina local.
- Acceso de TCP a través del puerto 22 para la dirección IP o una serie de direcciones IP autorizadas internas de la organización (solo Linux). La apertura del puerto 22 permite trabajar con las instancias de Linux a través de SSH.
- Acceso TCP a través del puerto 6080 para todos (si no se utiliza un balanceador de carga elástico), o para 10.0.0.0/8 (si se un balanceador de carga elástico). El puerto 6080 se utiliza para las comunicaciones con ArcGIS for Server. Si no va a instalar un balanceador de carga elástico delante del sitio, tendrá que abrir el puerto 6080 a todos los usuarios de los servicios web de ArcGIS for Server. Si utiliza un balanceador de carga elástico, tendrá que abrir el puerto 6080 al balanceador de carga elástico. No es posible predecir la IP del balanceador de carga elástico, aunque al menos podrá bloquear el puerto 6080 al tráfico externo admitiendo solamente el rango de direcciones IP 10.0.0.0/8.
- Acceso desde otras máquinas del grupo. Es necesario para que las máquinas del servidor SIG se comuniquen entre sí. Además, facilita compartir archivos. Podrá agregar una regla que permita este tipo de acceso seleccionando el tipo de regla Todos los ICMP, especificando su Id. de grupo de seguridad (por ejemplo, sg-xxxxxxxx) en el cuadro Origen, y haciendo clic en Agregar regla. Con este método, las máquinas del grupo se comunicarán entre sí a través de todos los puertos y protocolos.
Producción de ArcGIS for Server
Una vez que haya desarrollado y comprobado la aplicación, cuando esté listo para pasar a la fase de producción sería una buena idea desactivar el acceso de Escritorio remoto. Si se produce algún problema y necesita iniciar una sesión de la máquina, podrá cambiar temporalmente la configuración del grupo de seguridad para acceder. Un grupo de producción de ArcGIS for Server permite el siguiente acceso:
- Acceso TCP a través del puerto 6080 para todos (si no se utiliza un balanceador de carga elástico), o para 10.0.0.0/8 (si se un balanceador de carga elástico).
- Acceso desde otras máquinas del grupo
Producción segura de ArcGIS for Server
Si desea especificar comunicaciones cifradas con su máquina, debe configurar un balanceador de carga elástico en el sitio para que reciba tráfico a través del puerto 443, que es el que suele utilizarse para las comunicaciones cifradas a través de SSL. A continuación, configure el balanceador de carga para dirigir el tráfico hacia el puerto 6443. En el grupo de seguridad, abra los puertos descritos anteriormente para Producción de ArcGIS for Server.
Geodatabase corporativa
Si opta por tener una geodatabases corporativa en una instancia separada de la instancia de ArcGIS for Server, podrá configurar un grupo de seguridad específicamente para la instancia de geodatabase corporativa, con lo que tendrá lo siguiente:
- Acceso de TCP a través del puerto 22 (Linux) para la dirección IP o una serie de direcciones IP autorizadas internas de la organización Tendrá que conectarse remotamente a la máquina al menos una vez para cambiar las contraseñas predeterminadas de PostgreSQL. Posteriormente, si lo desea podrá eliminar esta regla de acceso remoto del grupo de seguridad.
- Acceso RDP a través del puerto 3389 (Windows) Puede agregar esta regla si necesita conectarse remotamente a la instancia de SQL Server o de SQL Server Express (por ejemplo, para agregar usuarios o geodatabases adicionales) y, a continuación, eliminarla cuando haya terminado.
- Acceso desde máquinas del grupo de seguridad de ArcGIS for Server Esto permite que las instancias que se ejecuten en ArcGIS for Server puedan ver la instancia de su geodatabase corporativa. Si las máquinas que no participan en los grupos de seguridad tienen que conectarse a la geodatabase, deberá abrir explícitamente el puerto 5432, que permite las comunicaciones con PostgreSQL.
Puertos utilizados habitualmente
A continuación indicamos algunos de los puertos más habituales con los que posiblemente tenga que trabajar durante la creación de grupos de seguridad. Algunos de estos puertos no necesitan estar explícitamente abiertos. Más bien, puede limitarse a decidir dar a las máquinas incluidas dentro del grupo de seguridad pleno acceso mutuo. Si desea permitir el acceso desde máquinas que no participan en sus grupos de seguridad (por ejemplo, la estación de trabajo de sobremesa de la oficina), deberá abrir números de puerto específicos.
Puerto | Propósito común |
|---|---|
80 | Acceso HTTP al servidor web de IIS o al balanceador de carga |
443 | Acceso HTTPS al servidor web de IIS o al balanceador de carga |
445 | Uso compartido de archivos de Windows |
1433 | Conexiones a Microsoft SQL Server |
3389 | Conexiones a Escritorio remoto de Windows |
5432 | Conexiones a PostgreSQL |
6080 | Acceso HTTP a ArcGIS for Server |
6443 | Acceso HTTPS a ArcGIS for Server |
Windows Firewall estará activado en cada instancia que inicie utilizando las AMI facilitadas por Esri, incluyendo en los sitios que haya creado con Cloud Builder. Si instala una aplicación de terceros que requiera puertos distintos de los anteriormente enumerados, asegúrese de configurar también Windows Firewall para admitir el puerto.