Las mejores prácticas para configurar un entorno seguro
Cuando asegure el ArcGIS Server, es importante garantizar que el entorno ArcGIS Server se ejecuta de modo seguro también. Hay varias prácticas de seguridad mejores que puede seguir para garantizar la mayor seguridad.
Restringir los permisos de archivo
Se recomienda que los permisos de archivo se establezcan de forma que solo sea necesario otorgar acceso al directorio de instalación de ArcGIS Server, configuración almacenar, y los directorios del servidor. La única cuenta que el software de ArcGIS Server requiere para tener acceso es la cuenta de ArcGIS Server. Esta es la cuenta que se utiliza para ejecutar el software. Su organización puede requerir que las cuentas adicionales tengan también acceso. Tenga en cuenta que la cuenta de ArcGIS Server necesita pleno acceso a la configuración de directorio de instalación, almacenamiento y directorios del servidor en orden para que su sitio funcione correctamente.
ArcGIS Server se instala con los permisos de archivo que sólo permiten que la cuenta ejecute el acceso ArcGIS Server a los archivos. Los archivos creados por ArcGIS Server como la configuración de almacenamiento y directorios del servidor ya están bloqueadas sólo para que la cuenta que ejecuta ArcGIS Server pueda acceder a ellos.
Cualquier cuenta que tenga acceso de escritura a la configuración de almacenamiento puede cambiar la configuración de ArcGIS Server que normalmente sólo puede ser modificado por un administrador del sistema. Si el almacenamiento de seguridad integrado se utiliza para el mantenimiento de usuario, la configuración de almacenamiento contendrá las contraseñas cifradas de dichos usuarios. En tal caso también deberá restringirse el acceso de lectura a la configuración de almacenamiento.
Si dispone de servicios cartográficos o de geoprocesamiento protegidos, es importante bloquear los permisos de acceso a los archivos de los directorios del servidor para asegurarse de que cuentas no autorizadas no puedan acceder a los mapas ni resultados de trabajos de geoprocesamiento.
Deshabilitar la cuenta de administrador de sitio principal
La cuenta de administrador de sitio principal es la cuenta que se especifica cuando crea primero un sitio en el Administrador de ArcGIS Server. El nombre y la contraseña se reconocen sólo por ArcGIS Server; no es una cuenta del sistema operativo, y está administrado por separado de los usuarios en cuenta en su identidad almacenar.
Se recomienda deshabilitar el administrador del sitio principal. Esto garantiza que no hay otra forma de administrar ArcGIS Server más que el grupo o rol que haya especificado en su almacenamiento de identidad. Consulte Deshabilitar el administrador del sitio principal cuenta para obtener instrucciones completas.
Definición de la clave compartida empleada para generar un token de ArcGIS
Un token de ArcGIS es una cadena de caracteres de información cifrada. La clave es criptográfics y se utiliza para generar esta cadena de caracteres cifrada. Cuanto más compleja sea la clave compartida, resulta más difícil para un usuario malicioso romper el cifrado y descifrar la clave compartida. Si un usuario puede descifrar la clave compartida, replicar el algoritmo de cifrado de ArcGIS for Server y obtener la lista de usuarios autorizados, el usuario deberá ser capaz de generar tokens y de consumir cualesquiera recursos protegidos en dicho ArcGIS for Server.
Antes de definir una clave compartida, considere lo siguiente:
- La clave compartida se debería establecer en 16 caracteres (si tiene menos de 16 no funciona). Se recomienda utilizar un conjunto de caracteres aleatorios para la clave. Se puede utilizar cualquier carácter, incluidos los caracteres que no son alfanuméricos.
- La clave no debería ser una palabra o un valor común que se adivine con facilidad. Puesto que no hay necesidad de recordar la clave o en otros lugares, la complejidad de la clave no representa los mismos problemas que las contraseñas.
- El token se cifra con la clave compartida utilizando el Estándar de cifrado avanzado (AES), también conocido como Rijndael. Los 16 caracteres de la clave representan los 128 bits utilizados para el cifrado. Para obtener más información sobre el cifrado y el AES, consulte las referencias de seguridad o a alguna persona en la organización que tenga experiencia en seguridad y criptografía.
- En entornos de muy alta seguridad, se recomienda cambiar la clave compartida periódicamente. Recuerde que si cambia la clave compartida, posiblemente necesite actualizar las aplicaciones para utilizar la nueva clave compartida. Todos los tokens incrustados existentes dejarán de ser válidos una vez que cambie la clave compartida.
Consulte más información en Acerca de los tokens de ArcGIS.
Transmisión segura de tokens de ArcGIS
Para evitar el robo y uso indebido de tokens, es recomendable el uso de una conexión segura que utilice HTTPS (Secure Sockets Layer o SSL). El uso de HTTPS y SSL garantiza que el nombre de usuario y la contraseña enviadas desde el cliente y el token devuelto dsde ArcGIS Server no pueden ser interceptados. Para obtener más información, consulte Habilitar SSL en ArcGIS for Server.