Prácticas recomendadas de seguridad

Al proteger su portal de ArcGIS Enterprise, es importante que el entorno en el que se ejecuta el portal también esté protegido. Hay varias prácticas recomendadas que puede seguir para garantizar la seguridad más sólida.

Configurar ajustes de correo electrónico

Puede configurar su organización para que envíe notificaciones por correo electrónico a los miembros y administradores en caso de olvido de la contraseña, actualización de la política de contraseñas, etc. En Configuración de correo electrónico encontrará los pasos y detalles del proceso.

Restringir el recurso proxy del portal

En algunas situaciones, el portal se utiliza como servidor proxy. Como consecuencia, el recurso proxy del portal se puede usar de forma indebida para lanzar ataques de denegación de servicio (DoS) o de falsificación de solicitud de servidor (SSRF) contra cualquier equipo al que pueda tener acceso el equipo del portal. Para minimizar esta vulnerabilidad potencial, se recomienda encarecidamente restringir el acceso del recurso proxy del portal a las direcciones web aprobadas. Para obtener información adicional y las instrucciones completas, consulte Restringir el recurso proxy del portal.

Deshabilitar el acceso anónimo

La opción de acceso anónimo del portal controla el acceso al sitio web del portal. Para impedir que un usuario acceda al sitio web del portal sin proporcionar primero las credenciales para el portal, es recomendable deshabilitar el acceso anónimo. Aunque deshabilitar el acceso anónimo no impide que los usuarios anónimos accedan a contenido compartido con todos, ayuda a garantizar que un usuario público no pueda utilizar el sitio web del portal para buscar contenido o recursos compartidos con todo el mundo. Para ver cómo se deshabilita el acceso anónimo en su portal de ArcGIS Enterprise, consulte Deshabilitar el acceso anónimo.

Configurar y confiar en certificados TLS firmados por una autoridad certificadora

Configurar un certificado de una autoridad de confianza es una práctica segura para los sistemas basados en web y evitará que los usuarios reciban advertencias del navegador u otros comportamientos inesperados. Durante la implementación, su organización debe proporcionar o generar un certificado de identidad TLS para que lo utilice el controlador de entrada. En muchas configuraciones de implementación, este certificado TLS es el que está expuesto a todos los usuarios finales. Significa que se recomienda encarecidamente que el certificado asignado al controlador de entrada lo firme una autoridad certificadora (CA) de confianza. Si se generó un certificado autofirmado durante la implementación, se puede reemplazar importando un nuevo certificado y asignándolo al controlador de entrada después de crear la organización.

Si la autoridad certificadora que ha firmado el certificado es una autoridad certificadora corporativa o de dominio y no es muy conocida, el certificado público de la autoridad certificadora también se debe importar como un certificado de confianza. Así, se garantiza que ArcGIS Enterprise pueda validar y confiar en cualquier certificado firmado por esa autoridad certificadora.

Para obtener instrucciones sobre cómo importar un certificado de identidad o de confianza, consulte Importar certificados.

Configurar HTTPS

Cuando se configura inicialmente su implementación de ArcGIS Enterprise, siempre que se piden las credenciales, el nombre de usuario y la contraseña se envían utilizando HTTPS. Esto significa que las credenciales enviadas a través de una red interna o de Internet están cifradas y no se pueden interceptar. De forma predeterminada, toda la comunicación del portal se envía por medio de HTTPS.

Si se impone la comunicación HTTPS, toda la comunicación externa del portal de Enterprise como, por ejemplo, los servicios de ArcGIS Server y los servicios del Consorcio Geoespacial abierto (OGC), está protegida ya que el portal solo accederá al contenido web externo si HTTPS está disponible. Si no es así, se bloquea el contenido externo.

Sin embargo, puede haber casos en los que desee habilitar la comunicación HTTP y HTTPS del portal. Para saber cómo aplicar HTTP y HTTPS en todas las comunicaciones de ArcGIS Enterprise, consulte Configurar HTTPS.

Deshabilitar directorios de API no administrativos

Desde el directorio de administrador, puede deshabilitar el acceso HTML tanto al Directorio de Portal for ArcGIS /<context>/sharing/rest como al directorio de servicios REST de ArcGIS /<context>/rest/services. Así, se podría ayudar a reducir el riesgo de que los elementos, los servicios, los mapas web, los grupos y otros recursos del portal se puedan examinar, aparezcan en los resultados de las búsquedas web o se consulten mediante formularios HTML. Deshabilitar el acceso a estos directorios también proporciona mayor protección frente a los ataques de vulnerabilidad de scripts entre sitios (XSS).

La decisión de deshabilitar el acceso a estos directorios dependerá del propósito del portal y de hasta qué punto es necesario que los usuarios y desarrolladores puedan examinarlo. Si deshabilita el acceso a estos directorios, puede que tenga que crear listas de operaciones o metadatos disponibles sobre los elementos y servicios disponibles en el portal.

Para obtener más información, consulte el tema Deshabilitar directorios de API no administrativos.

Especificar el tiempo de caducidad de token

Un token es una cadena de caracteres de información cifrada que contiene el nombre de usuario, el tiempo de espera del token y otros datos de información confidencial. Cuando se emite un token para el miembro, puede acceder al portal hasta que el token caduca. Cuando caduca, el miembro debe volver a facilitar el nombre de usuario y la contraseña.

Cada vez que genera un token nuevo mientras utiliza ArcGIS Enterprise, debe especificar un tiempo de caducidad. De lo contrario, se utilizará un valor de caducidad predeterminado.

Hay tres tipos de tokens que se utilizan en el portal: tokens de ArcGIS, tokens de access de OAuth y tokens de refresh de OAuth. Cada uno tiene su propio valor de caducidad predeterminado.

No es posible aumentar estos valores predeterminados y solo se pueden reducir definiendo la propiedad maxTokenExpirationMinutes en el Directorio de Portal for ArcGIS como un valor menor que el valor predeterminado. A pesar de que estos valores pueden ser adecuados para su organización, es importante tener en cuenta las implicaciones para la seguridad que supone un token. Un token con un tiempo de caducidad más largo es menos seguro. Por ejemplo, un token interceptado por un usuario malintencionado puede ser utilizado hasta que el token caduca. Por el contrario, un tiempo de caducidad más breve es más seguro pero menos cómodo, puesto que los miembros tendrán que introducir su nombre de usuario y contraseña con mayor frecuencia.

Para cambiar el tiempo de espera de token predeterminado, siga los pasos indicados en Especificar el tiempo de espera de token predeterminado.