ArcGIS Enterprise on Kubernetes incluye una herramienta de script de Python, kubernetesScan.py, que detecta algunos de los problemas de seguridad más habituales. Se incluye con el script de instalación en setup/tools/security. La herramienta comprueba si hay problemas basándose en algunas de las prácticas recomendadas para configurar un entorno seguro de ArcGIS Enterprise. Analiza muchos criterios y propiedades de configuración y los divide en tres niveles de gravedad: Critical, Important y Recommended. En la siguiente tabla se describen estos criterios:
| Id. | Gravedad | Propiedad | Descripción |
|---|---|---|---|
ES01 | Crítico | Restricciones de proxy | Determina si la capacidad proxy está restringida. De manera predeterminada, el servidor proxy del portal está abierto a cualquier dirección URL. Para minimizar los posibles ataques por denegación de servicio (DoS) o falsificación de solicitud de servidor (SSRF), es muy recomendable restringir la función proxy del portal a direcciones web aprobadas. |
ES02 | Crítico | Filtrado de contenido web | Genera una lista de servicios de entidades en los que la propiedad de filtro de contenido web está deshabilitada. Deshabilitar esta propiedad permite al usuario introducir cualquier texto en los campos de entrada, lo que expone el servicio a posibles ataques de script de sitios cruzados (XSS). Esta propiedad está habilitada de manera predeterminada; a menos que se requieran entidades HTML o atributos no compatible, no debe deshabilitarse. |
ES03 | Importante | Directorios de servicios de empresariales | Determina si se puede acceder al directorio de los servicios empresariales mediante un navegador web. A menos que los usuarios lo utilicen activamente para buscar servicios, debe estar deshabilitado para reducir las posibilidades de que sus servicios se puedan buscar, encontrarse en una búsqueda web o hacer consultas en ellos a través de formularios HTML. Esto también proporciona mayor protección frente a ataques de script de sitios cruzados (XSS). |
ES04 | Importante | Comunicación web | Determina si HTTPS está habilitado para ArcGIS Enterprise. Para impedir la interceptación de cualquier comunicación, se recomienda configurar ArcGIS Enterprise y el servidor web que aloja el proxy inverso o ArcGIS Web Adaptor (si se ha instalado) para que apliquen el cifrado SSL. |
ES05 | Recomendado | Registro de cuenta incorporado | Determina si los usuarios pueden hacer clic en el botón Crear una cuenta en la página de registro de la organización para crear una cuenta integrada. Si utiliza cuentas específicas de la organización o desea crear todas las cuentas manualmente, deshabilite esta opción. |
ES06 | Recomendado | Acceso anónimo | Determina si se permite el acceso anónimo. Para impedir que los usuarios accedan al contenido sin proporcionar primero las credenciales, es recomendable configurar la organización para deshabilitar el acceso anónimo. |
ES07 | Recomendado | Almacén de identidades LDAP | Si su organización está configurada con un almacén de identidades LDAP, esto determina si se utiliza comunicación encriptada. Se recomienda utilizar LDAPS para la URL de LDAP para usuarios y grupos. |
ES08 | Recomendado | Certificado TLS del controlador de entrada | Determina si el controlador de entrada utiliza un certificado autofirmado. Para ayudar a reducir las advertencias del navegador web u otros comportamientos inesperados en los clientes que se comunican con el portal, se recomienda importar y utilizar un certificado TLS firmado por una autoridad certificadora vinculado al controlador de entrada. |
ES09 | Recomendado | Solicitudes entre dominios | Determina si las solicitudes entre dominios (CORS) no tienen restricciones. Para reducir la posibilidad de que una aplicación desconocida acceda a un elemento de portal compartido, se recomienda restringir las solicitudes entre dominios a las aplicaciones alojadas únicamente en los dominios de confianza. |
ES10 | Crítico | URL administrativa del servidor federado | Determina si el portal puede llegar a la URL del administrador del servidor federado y si el certificado TLS utilizado en dicha URL es de confianza. Si no es de confianza ni se puede llegar a ella, muchas funciones y operaciones del portal darán error. |
ES11 | Recomendado | URL de los servicios del servidor federado | Determina si el portal puede llegar a la URL de servicios del servidor federado y si el certificado SSL utilizado en dicha URL es de confianza. Si no es de confianza ni se puede llegar a ella, el portal seguirá funcionando, pero algunas operaciones del portal darán error. |
ES12 | Recomendado | Contenido público | Si su organización está configurada para que los miembros no puedan compartir contenido públicamente, se enumerarán los elementos que aún están compartidos con Todos. |
ES13 | Importante | Espacio de trabajo dinámico | Genera una lista de servicios donde se puede acceder a la base de datos a través de un espacio de trabajo dinámico. A menos que estén adecuadamente protegidos, esto expone a la base de datos o al espacio de trabajo a que terceros malintencionados puedan tener acceso a través de REST. Los espacios de trabajo dinámicos deben habilitarse únicamente si el servicio y la capacidad de capa o espacio de trabajo dinámicos están diseñados para su uso activo en una aplicación web. En estos casos, es importante asegurarse de que la conexión de base de datos utilizada por el servicio de mapas para conectarse al espacio de trabajo o a la base de datos tiene al menos los privilegios necesarios para la aplicación, por ejemplo, el acceso de solo lectura exclusivamente a aquellas tablas adicionales del espacio de trabajo que se necesitan. |
ES14 | Recomendado | Permisos del servicio de entidades | Devuelve una lista de servicios de entidades que tienen las operaciones actualizar o eliminar habilitadas y están abiertos al acceso anónimo. Esto permite cambiar o eliminar los datos de los servicios de entidades sin autenticación. |
ES15 | Importante | Ajustes de configuración de SAML | Si su organización está configurada para utilizar la autenticación SAML, esto determina si las aserciones cifradas y solicitudes firmadas están habilitadas. Si el proveedor de identidades lo permite, se recomienda configurar el portal para que se requieran tanto las aserciones cifradas como las solicitudes firmadas. |