Administración / 20 de diciembre de 2018 / Chris Whitmore
Una actualización de ArcGIS Online a
principios de este año introdujo un par de cambios en la configuración de
seguridad disponible para tu organización de ArcGIS Online. Los cambios están
relacionados a la configuración de seguridad Permitir acceso a la organización
solo a través de HTTPS y Permitir solo búsquedas estándares SQL. Para ayudar a
asegurar una plataforma segura para los recursos alojados de tu organización,
hemos realizado un par de cambios para estas configuraciones. Si tu
organización ya tiene habilitadas estas opciones, está listo. Estas
configuraciones no aparecerán más como configurables en tu organización. Si
tienes una o ambas opciones deshabilitadas, verás una advertencia con una
recomendación para que habilites estas opciones para tu organización. Estos
cambios son parte de un compromiso más amplio para asegurar una plataforma
segura. En 2019, verás mejores adicionales de seguridad en la plataforma
ArcGIS. El Director de Seguridad de la Información de Esri, Michael Young,
detalló estas mejoras en una reciente publicación en el blog 2019 ArcGIS
Transport Security Improvements.
Políticas de Seguridad de ArcGIS Online
¿Qué es HTTPS?
HTTPS, abreviatura de Protocolo de
Transferencia de Hipertexto para una comunicación segura (y, en general, se
conoce como TLS o SSL), proporciona una capa de seguridad para la transmisión
de datos a través de Internet. Cuando HTTPS es utilizado, la comunicación
entrante y saliente entre tu buscador y el servidor que provee los datos es
encriptada, lo que asegura la información en tránsito. Cualquier persona que
monitoree el tráfico entre tu organización y la capa no puede ver la
información que está siendo transmitida.
Uno de los principales inconvenientes del
uso de HTTPS ha sido que no es tan rápido como HTTP. Sin embargo, los avances
en la tecnología web han cerrado la brecha, específicamente con la introducción
de HTTP/2. En muchos casos, HTTPS es actualmente más veloz que HTTP. HTTPS se
ha convertido en un estándar de internet, con la mayoría de los sitios web y el
tráfico de internet más populares usando HTTPS. Se recomienda que toda la
comunicación en internet use HTTPS.
Por qué HTTPS es importante para tu organización
HTTPS ayuda a asegurar los activos de tu
organización. Por ejemplo, cuando ves datos (como parte de una capa, mapa o
aplicación) o recolectas datos (como parte de una encuesta, por ejemplo), HTTPS
ayuda a asegurar que nadie pueda ver los datos además de las personas con las
que los compartes. Muchas agencias del gobierno, especialmente a nivel federal,
tienen requisitos estrictos sobre cómo deben ser asegurados los datos. Esri ha
hecho una cantidad de trabajo considerable para satisfacer estos requisitos
(siguiendo lineamientos de FedRamp, FISMA y GDRP por nombrar algunos), y
continuará mejorando la seguridad para ArcGIS Online y toda la plataforma
ArcGIS. Puedes ir al ArcGIS Trust Center para más información sobre el
compromiso de Esri con estas inciativas.
Cuando la configuración de solo HTTPS está habilitada para tu
organización, solo se puede acceder a tus datos alojados en ArcGIS Online a
través de HTTPS. HTTP queda efectivamente deshabilitado. Cualquier comunicación
que sucede con tu organización de ArcGIS Online será solo a través de HTTPS, ya
sea a través de un navegador, un dispositivo o una aplicación de escritorio.
Con un Software como un Servicio basado en
la nube como ArcGIS Online, el uso de HTTPS para la comunicación en internet es
uno de los pasos más importantes que puedes tomar para asegurar información
sensible.
Adicionalmente, los buscadores principales
(Google Chrome, Mozilla Firefox, Microsoft Edge/Internet Explorer 11 y Apple
Safari) se están volviendo cada vez más estrictos con el tráfico HTTP, con
actualizaciones que frecuentemente introducen más controles que pueden alertar
sobre problemas de seguridad con sitios web o bloquear la entrada a los sitios
que el buscador considere inseguros.
Puedes leer ¿Por qué mi organización debería utilizar solo HTTPS? para más
información.
Cómo actualizar tu organización a sólo HTTPS
Para habilitar la configuración solo HTTPS
para tu organización, ve a la pestaña de configuración en la página de tu
organización y selecciona Seguridad. En la sección de Políticas, verás la
opción Habilitar acceso a la organización con HTTPS solo bajo el anuncio de
Advertencia. Si no ves esta opción o la opción está habilitada, tu organización
ya está habilitada solo para HTTPS.
Aquí hay un par de puntos a tener en cuenta
cuando habilitas la configuración solo HTTPS para tu organización.
·
Las capas alojadas en ArcGIS
Online como las proporcionadas por Esri, como las capas del Living Atlas o
mapas base, están listas por defecto para HTTPS. Para muchas organizaciones, la
transición a HTTPS será sin contratiempos.
·
Si necesitas actualizar las
capas en tus mapas o escenas para utilizar HTTPS, puedes hacerlo desde la
página de detalles del elemento. Para obtener instrucciones, consulta Actualización de capas de mapas web parausar HTTPS.
·
Puedes verificar la
compatibilidad de tu Story Maps con HTTPS utilizando la herramienta Check
Stories en el sitio web de Story Maps. Puedes ver Un mensaje importante sobre la seguridad web y Story Maps para más
información.
·
Si tienes un sitio ArcGIS Hub,
puedes configurarlo para ejecutar solo HTTPS. Sin embargo, HTTPS no es actualmente
compatible con dominios personalizados. La compatibilidad HTTPS para dominios
personalizados llegará en un futuro muy cercano. Cuando esto suceda, Esri
automáticamente actualizará tu dominio personalizado para admitir HTTPS (si has
habilitado Ejecutar HTTPS). Aprende más
sobre configuración para tu sitio Hub.
·
Una vez que hayas habilitado la
opción solo HTTPS, verifica todas las aplicaciones importantes, mapas o
cualquier otro contenido alojado en ArcGIS Online.
·
Si has habilitado la opción
solo HTTPS y surgen problemas, puedes revertir la configuración para permitir
acceso HTTP. Una vez que el problema es resuelto, puedes volver a habilitar
HTTPS. La opción para deshabilitarlo estará disponible por 60 días. Una vez que
hayan pasado ese período de tiempo sin ser deshabilitado, la opción ya no
estará disponible en la configuración de tu organización.
Permanece atento a la próxima publicación
con más instrucciones sobre cómo actualizar tu organización a sólo HTTPS.
Permite solo Consultas SQL Estándar
SQL es un lenguaje de programación
utilizado comúnmente por desarrolladores cuando trabajan con datos de entidades
alojados en ArcGIS Online. SQL estandarizado es una versión específica de SQL y
es generalmente considerado como más seguro. Todas las aplicaciones ArcGIS son
compatibles con SLQ estandarizado. Por lo tanto, ya no es necesario exponer el
SQL estandarizado como una opción configurable para tu organización.
Esri recomienda que tu organización ArcGIS
Online permita solo consultas SQL estándar. Si tu organización ya tiene esta
opción de seguridad habilitada, no lo verás como una opción configurable. Si tu
organización no tiene esta opción habilitada, verás la opción bajo el anuncio
de Advertencia en la sección Seguridad en la configuración de tu organización.
Para aprender más, puedes ver Funciones SQLestandarizadas en ArcGIS Online.
Bibliografía adicional
Para aprender más sobre HTTPS, puedes
consultar los recursos adicionales listados debajo. Un buen recurso es El Estándar Sólo HTTPS, una página web
del gobierno de los Estados Unidos que detalla cómo las páginas federales
deberían ser aseguradas. A pesar de que el foco está puesto en páginas para el
gobierno federal, la mayoría de la información puede ser considerada como
buenas prácticas para cualquier página web.
Debajo se encuentran recursos específicos
que discuten HTTPS y la seguridad y privacidad en general. Visita el Centro deConfianza ArcGIS para más información sobre el compromiso de Esri con la
seguridad.
