Formas de implementar seguridad en ArcGIS Server
Su servidor SIG representa una inversión de esfuerzo y recursos que desea proteger. ArcGIS Server contiene mecanismos de seguridad que pueden evitar que usuarios no autorizados accedan a sus servicios y aplicaciones. También puede utilizar ArcGIS Server para configurar niveles de acceso para distintos grupos dentro de su organización.
Hay varios aspectos del servidor SIG que puede proteger:
-
Proteger el sistema entero
Proteger el sistema entero incluye proteger el hardware y el software y configurar ArcGIS Server para que funcione dentro de la infraestructura de seguridad existente de la organización. La organización probablemente utilice un firewall para proteger la red interna de usuarios de Internet maliciosos. El sistema de ArcGIS Server, protegido con un firewall, no necesita que se coloquen firewalls individuales entre los componentes.
Los sistemas de ArcGIS Server deben protegerse de ataques maliciosos físicos y de red como cualquier otro sistema de TI. Siga las recomendaciones de los administradores de TI para problemas como seguridad física, actualización de software y mantenimiento de antivirus.
Las aplicaciones Web deben estar alertas ante ataques por inyección de código SQL y otros ataques maliciosos. Los servicios Web de ArcGIS Server están probados minuciosamente contra ataques por inyección de código SQL y uso malicioso. Las aplicaciones Web personalizadas deberían ser probadas de igual manera para asegurarse de que acatan las mismas pautas de seguridad.
Finalmente, cuando los usuarios envían información confidencial al servidor, como cuando inician sesión en el Administrador, se recomienda utilizar una conexión de Capa de sockets seguros (SSL). SSL cifra los datos, protegiendo los nombres de usuario y contraseñas de aquellos que quisieran interceptar la transacción maliciosamente.
-
Asegurar conexiones locales
Las conexiones locales al servidor SIG se administran mediante los usuarios y grupos del sistema operativo. Los dos grupos que se crean en el proceso de instalación, agsadmin y agsusers, obtienen acceso al servidor SIG. Cualquier usuario que realice conexiones locales al servidor SIG debe agregarse a estos grupos.
-
Asegurar las conexiones de Internet (servicios Web)
Puede configurar la seguridad para las conexiones de Internet de ArcGIS Server (servicios Web) a través de la aplicación Administrador. Esto incluye definir los usuarios y roles y determinar qué privilegios tendrán los roles para trabajar con los servicios.
-
Asegurar las aplicaciones Web
Puede utilizar el Administrador para definir los usuarios y roles que podrán acceder a las aplicaciones Web y el nivel de privilegios que tendrán.
Zonas de seguridad
Puede considerar a ArcGIS Server como dividido en dos zonas de seguridad, como se muestra en el siguiente gráfico. Esta sección de la ayuda contiene libros que corresponden a las zonas.
Todos los administradores de servidor SIG deben ocuparse de la zona de seguridad local, ya que la administración del servidor requiere una cuenta que se haya agregado al grupo agsadmin. Puede comenzar a configurar la seguridad local de inmediato agregando u omitiendo usuarios de los grupos agsadmin y agsusers. Por otro lado, la seguridad de Internet requiere de un trabajo previo de preparación para la configuración del almacenamiento de usuario y rol y para la habilitación explícita de la seguridad antes de poder evitar que los usuarios accedan a las aplicaciones y servicios Web.
Los usuarios del servidor SIG determinarán dónde enfocar la estrategia de seguridad. Si tiene una aplicación o servicio Web que exponga varios niveles de acceso ante cualquier persona que intercepte la conexión de Internet (por ejemplo, Invitado, Empleado, Administrador), debe ocuparse de la zona de seguridad de Internet, a saber, la configuración de los usuarios y roles y la manera de almacenarlos. Por otro lado, si tiene un conjunto de servicios que sólo los usuarios de la red local agregarán a ArcMap, sólo debe ocuparse de la zona de seguridad local y de configurar los grupos agsadmin y agsusers.
Algunas aplicaciones requieren atención en ambas zonas, como la aplicación Web utilizada por los empleados en la LAN para editar datos SIG. Debe ejecutar la aplicación como miembro del grupo agsusers, involucrando la zona de seguridad local. Al mismo tiempo, el acceso a la aplicación debe administrarse a través de usuarios y roles, involucrando la zona de seguridad de Internet.