Examinar las prácticas recomendadas de seguridad

ArcGIS Enterprise on Kubernetes incluye una herramienta de script de Python, kubernetesScan.py, que detecta algunos de los problemas de seguridad más habituales. Se incluye con el script de instalación en setup/tools/security. La herramienta comprueba si hay problemas basándose en algunas de las prácticas recomendadas para configurar un entorno seguro de ArcGIS Enterprise. Analiza muchos criterios y propiedades de configuración y los divide en tres niveles de gravedad: Critical, Important y Recommended. En la siguiente tabla se describen estos criterios:

Id.GravedadPropiedadDescripción

ES01

Crítico

Restricciones de proxy

Determina si la capacidad proxy está restringida. De manera predeterminada, el servidor proxy del portal está abierto a cualquier dirección URL. Para minimizar los posibles ataques por denegación de servicio (DoS) o falsificación de solicitud de servidor (SSRF), es muy recomendable restringir la función proxy del portal a direcciones web aprobadas.

ES02

Crítico

Filtrado de contenido web

Genera una lista de servicios de entidades en los que la propiedad de filtro de contenido web está deshabilitada. Deshabilitar esta propiedad permite al usuario introducir cualquier texto en los campos de entrada, lo que expone el servicio a posibles ataques de script de sitios cruzados (XSS). Esta propiedad está habilitada de manera predeterminada; a menos que se requieran entidades HTML o atributos no compatible, no debe deshabilitarse.

ES03

Importante

Directorios de servicios de empresariales

Determina si se puede acceder al directorio de los servicios empresariales mediante un navegador web. A menos que los usuarios lo utilicen activamente para buscar servicios, debe estar deshabilitado para reducir las posibilidades de que sus servicios se puedan buscar, encontrarse en una búsqueda web o hacer consultas en ellos a través de formularios HTML. Esto también proporciona mayor protección frente a ataques de script de sitios cruzados (XSS).

ES04

Importante

Comunicación web

Determina si HTTPS está habilitado para ArcGIS Enterprise. Para impedir la interceptación de cualquier comunicación, se recomienda configurar ArcGIS Enterprise y el servidor web que aloja el proxy inverso o ArcGIS Web Adaptor (si se ha instalado) para que apliquen el cifrado SSL.

ES05

Recomendado

Registro de cuenta incorporado

Determina si los usuarios pueden hacer clic en el botón Crear una cuenta en la página de registro de la organización para crear una cuenta integrada. Si utiliza cuentas específicas de la organización o desea crear todas las cuentas manualmente, deshabilite esta opción.

ES06

Recomendado

Acceso anónimo

Determina si se permite el acceso anónimo. Para impedir que los usuarios accedan al contenido sin proporcionar primero las credenciales, es recomendable configurar la organización para deshabilitar el acceso anónimo.

ES07

Recomendado

Almacén de identidades LDAP

Si su organización está configurada con un almacén de identidades LDAP, esto determina si se utiliza comunicación encriptada. Se recomienda utilizar LDAPS para la URL de LDAP para usuarios y grupos.

ES08

Recomendado

Certificado TLS del controlador de entrada

Determina si el controlador de entrada utiliza un certificado autofirmado. Para ayudar a reducir las advertencias del navegador web u otros comportamientos inesperados en los clientes que se comunican con el portal, se recomienda importar y utilizar un certificado TLS firmado por una autoridad certificadora vinculado al controlador de entrada.

ES09

Recomendado

Solicitudes entre dominios

Determina si las solicitudes entre dominios (CORS) no tienen restricciones. Para reducir la posibilidad de que una aplicación desconocida acceda a un elemento de portal compartido, se recomienda restringir las solicitudes entre dominios a las aplicaciones alojadas únicamente en los dominios de confianza.

ES10

Crítico

URL administrativa del servidor federado

Determina si el portal puede llegar a la URL del administrador del servidor federado y si el certificado TLS utilizado en dicha URL es de confianza. Si no es de confianza ni se puede llegar a ella, muchas funciones y operaciones del portal darán error.

ES11

Recomendado

URL de los servicios del servidor federado

Determina si el portal puede llegar a la URL de servicios del servidor federado y si el certificado SSL utilizado en dicha URL es de confianza. Si no es de confianza ni se puede llegar a ella, el portal seguirá funcionando, pero algunas operaciones del portal darán error.

ES12

Recomendado

Contenido público

Si su organización está configurada para que los miembros no puedan compartir contenido públicamente, se enumerarán los elementos que aún están compartidos con Todos.

ES13

Importante

Espacio de trabajo dinámico

Genera una lista de servicios donde se puede acceder a la base de datos a través de un espacio de trabajo dinámico. A menos que estén adecuadamente protegidos, esto expone a la base de datos o al espacio de trabajo a que terceros malintencionados puedan tener acceso a través de REST. Los espacios de trabajo dinámicos deben habilitarse únicamente si el servicio y la capacidad de capa o espacio de trabajo dinámicos están diseñados para su uso activo en una aplicación web. En estos casos, es importante asegurarse de que la conexión de base de datos utilizada por el servicio de mapas para conectarse al espacio de trabajo o a la base de datos tiene al menos los privilegios necesarios para la aplicación, por ejemplo, el acceso de solo lectura exclusivamente a aquellas tablas adicionales del espacio de trabajo que se necesitan.

ES14

Recomendado

Permisos del servicio de entidades

Devuelve una lista de servicios de entidades que tienen las operaciones actualizar o eliminar habilitadas y están abiertos al acceso anónimo. Esto permite cambiar o eliminar los datos de los servicios de entidades sin autenticación.

ES15

Importante

Ajustes de configuración de SAML

Si su organización está configurada para utilizar la autenticación SAML, esto determina si las aserciones cifradas y solicitudes firmadas están habilitadas. Si el proveedor de identidades lo permite, se recomienda configurar el portal para que se requieran tanto las aserciones cifradas como las solicitudes firmadas.