25 feb 2019

Cambio de la configuración de seguridad de tu organización


Administración / 20 de diciembre de 2018 / Chris Whitmore
Nota original Aquí

Una actualización de ArcGIS Online a principios de este año introdujo un par de cambios en la configuración de seguridad disponible para tu organización de ArcGIS Online. Los cambios están relacionados a la configuración de seguridad Permitir acceso a la organización solo a través de HTTPS y Permitir solo búsquedas estándares SQL. Para ayudar a asegurar una plataforma segura para los recursos alojados de tu organización, hemos realizado un par de cambios para estas configuraciones. Si tu organización ya tiene habilitadas estas opciones, está listo. Estas configuraciones no aparecerán más como configurables en tu organización. Si tienes una o ambas opciones deshabilitadas, verás una advertencia con una recomendación para que habilites estas opciones para tu organización. Estos cambios son parte de un compromiso más amplio para asegurar una plataforma segura. En 2019, verás mejores adicionales de seguridad en la plataforma ArcGIS. El Director de Seguridad de la Información de Esri, Michael Young, detalló estas mejoras en una reciente publicación en el blog 2019 ArcGIS Transport Security Improvements.


Políticas de Seguridad de ArcGIS Online

¿Qué es HTTPS?

HTTPS, abreviatura de Protocolo de Transferencia de Hipertexto para una comunicación segura (y, en general, se conoce como TLS o SSL), proporciona una capa de seguridad para la transmisión de datos a través de Internet. Cuando HTTPS es utilizado, la comunicación entrante y saliente entre tu buscador y el servidor que provee los datos es encriptada, lo que asegura la información en tránsito. Cualquier persona que monitoree el tráfico entre tu organización y la capa no puede ver la información que está siendo transmitida.
Uno de los principales inconvenientes del uso de HTTPS ha sido que no es tan rápido como HTTP. Sin embargo, los avances en la tecnología web han cerrado la brecha, específicamente con la introducción de HTTP/2. En muchos casos, HTTPS es actualmente más veloz que HTTP. HTTPS se ha convertido en un estándar de internet, con la mayoría de los sitios web y el tráfico de internet más populares usando HTTPS. Se recomienda que toda la comunicación en internet use HTTPS.

Por qué HTTPS es importante para tu organización

HTTPS ayuda a asegurar los activos de tu organización. Por ejemplo, cuando ves datos (como parte de una capa, mapa o aplicación) o recolectas datos (como parte de una encuesta, por ejemplo), HTTPS ayuda a asegurar que nadie pueda ver los datos además de las personas con las que los compartes. Muchas agencias del gobierno, especialmente a nivel federal, tienen requisitos estrictos sobre cómo deben ser asegurados los datos. Esri ha hecho una cantidad de trabajo considerable para satisfacer estos requisitos (siguiendo lineamientos de FedRamp, FISMA y GDRP por nombrar algunos), y continuará mejorando la seguridad para ArcGIS Online y toda la plataforma ArcGIS. Puedes ir al ArcGIS Trust Center para más información sobre el compromiso de Esri con estas inciativas.
Cuando la configuración de solo HTTPS está habilitada para tu organización, solo se puede acceder a tus datos alojados en ArcGIS Online a través de HTTPS. HTTP queda efectivamente deshabilitado. Cualquier comunicación que sucede con tu organización de ArcGIS Online será solo a través de HTTPS, ya sea a través de un navegador, un dispositivo o una aplicación de escritorio.
Con un Software como un Servicio basado en la nube como ArcGIS Online, el uso de HTTPS para la comunicación en internet es uno de los pasos más importantes que puedes tomar para asegurar información sensible.
Adicionalmente, los buscadores principales (Google Chrome, Mozilla Firefox, Microsoft Edge/Internet Explorer 11 y Apple Safari) se están volviendo cada vez más estrictos con el tráfico HTTP, con actualizaciones que frecuentemente introducen más controles que pueden alertar sobre problemas de seguridad con sitios web o bloquear la entrada a los sitios que el buscador considere inseguros.

Cómo actualizar tu organización a sólo HTTPS

Para habilitar la configuración solo HTTPS para tu organización, ve a la pestaña de configuración en la página de tu organización y selecciona Seguridad. En la sección de Políticas, verás la opción Habilitar acceso a la organización con HTTPS solo bajo el anuncio de Advertencia. Si no ves esta opción o la opción está habilitada, tu organización ya está habilitada solo para HTTPS.
Aquí hay un par de puntos a tener en cuenta cuando habilitas la configuración solo HTTPS para tu organización.
·       Las capas alojadas en ArcGIS Online como las proporcionadas por Esri, como las capas del Living Atlas o mapas base, están listas por defecto para HTTPS. Para muchas organizaciones, la transición a HTTPS será sin contratiempos.
·       Si necesitas actualizar las capas en tus mapas o escenas para utilizar HTTPS, puedes hacerlo desde la página de detalles del elemento. Para obtener instrucciones, consulta Actualización de capas de mapas web parausar HTTPS.
·       Puedes verificar la compatibilidad de tu Story Maps con HTTPS utilizando la herramienta Check Stories en el sitio web de Story Maps. Puedes ver Un mensaje importante sobre la seguridad web y Story Maps para más información.
·       Si tienes un sitio ArcGIS Hub, puedes configurarlo para ejecutar solo HTTPS. Sin embargo, HTTPS no es actualmente compatible con dominios personalizados. La compatibilidad HTTPS para dominios personalizados llegará en un futuro muy cercano. Cuando esto suceda, Esri automáticamente actualizará tu dominio personalizado para admitir HTTPS (si has habilitado Ejecutar HTTPS). Aprende más sobre configuración para tu sitio Hub.
·       Una vez que hayas habilitado la opción solo HTTPS, verifica todas las aplicaciones importantes, mapas o cualquier otro contenido alojado en ArcGIS Online.
·       Si has habilitado la opción solo HTTPS y surgen problemas, puedes revertir la configuración para permitir acceso HTTP. Una vez que el problema es resuelto, puedes volver a habilitar HTTPS. La opción para deshabilitarlo estará disponible por 60 días. Una vez que hayan pasado ese período de tiempo sin ser deshabilitado, la opción ya no estará disponible en la configuración de tu organización.
Permanece atento a la próxima publicación con más instrucciones sobre cómo actualizar tu organización a sólo HTTPS.

Permite solo Consultas SQL Estándar

SQL es un lenguaje de programación utilizado comúnmente por desarrolladores cuando trabajan con datos de entidades alojados en ArcGIS Online. SQL estandarizado es una versión específica de SQL y es generalmente considerado como más seguro. Todas las aplicaciones ArcGIS son compatibles con SLQ estandarizado. Por lo tanto, ya no es necesario exponer el SQL estandarizado como una opción configurable para tu organización.
Esri recomienda que tu organización ArcGIS Online permita solo consultas SQL estándar. Si tu organización ya tiene esta opción de seguridad habilitada, no lo verás como una opción configurable. Si tu organización no tiene esta opción habilitada, verás la opción bajo el anuncio de Advertencia en la sección Seguridad en la configuración de tu organización.
Para aprender más, puedes ver Funciones SQLestandarizadas en ArcGIS Online.

Bibliografía adicional

Para aprender más sobre HTTPS, puedes consultar los recursos adicionales listados debajo. Un buen recurso es El Estándar Sólo HTTPS, una página web del gobierno de los Estados Unidos que detalla cómo las páginas federales deberían ser aseguradas. A pesar de que el foco está puesto en páginas para el gobierno federal, la mayoría de la información puede ser considerada como buenas prácticas para cualquier página web.
Debajo se encuentran recursos específicos que discuten HTTPS y la seguridad y privacidad en general. Visita el Centro deConfianza ArcGIS para más información sobre el compromiso de Esri con la seguridad.

No hay comentarios:

Publicar un comentario