Windows Azure Pack: Mejoras de seguridad de Sitios web

Se aplica a: Windows Azure Pack

Tras la instalación, puede mejorar la seguridad si implementa otras prácticas recomendadas adicionales. Esto incluye la configuración del filtrado de IP (también conocido como "generación de listas negras"), el establecimiento de cuotas para contrarrestar ataques por denegación de servicio (DoS) y otros pasos.

Configuración del filtrado de IP

Es muy importante establecer un filtro de IP porque una de las formas más sencillas de iniciar un ataque por denegación de servicio (DoS) consiste en iniciar el ataque desde dentro del propio servicio. Por tanto, como mínimo, el proveedor de servicios de hosting debe generar una lista negra de la granja de servidores desde sí misma.

Por ejemplo, si la granja de servidores web se implementa en una subred, se deben filtrar las direcciones IP de la subred para evitar que los sitios web devuelvan las llamadas a la granja e inicien (por ejemplo) un ataque de DoS.

Para impedir que los procesos de trabajo de inquilino tengan acceso a los intervalos de direcciones IP correspondientes a servidores dentro de la nube de Sitios web, puede configurar el filtrado de IP en el Portal de administración de Windows Azure Pack o mediante PowerShell.

Para configurar el filtrado de IP en el Portal de administración

Para configurar el filtrado de IP en el Portal de administración para administradores, realice los pasos siguientes:

1. En el panel izquierdo del portal, elija Nubes de sitios web.

2. Seleccione la nube de sitios web que desea configurar.

3. Elija Lista de bloqueo.

4. En la barra de comandos de la parte inferior del portal, haga clic en Agregar.

5. En el cuadro de diálogo Escriba un intervalo de direcciones IP, escriba una dirección IP en los cuadros Dirección inicial y Dirección final para crear el intervalo.

6. Haga clic en la marca de verificación para completar la operación.

Para configurar el filtrado de IP mediante PowerShell

Para configurar el filtrado de IP mediante PowerShell, ejecute los siguientes cmdlets de PowerShell en el controlador. Reemplace <start-of-ip-blacklist-range> y <end-of-ip-blacklist-range> por direcciones IP válidas.

Add-pssnapin WebHostingSnapin
Set-Hostingconfiguration -WorkerRegKeyRejectPrivateAddresses 1
Set-Hostingconfiguration –WorkerRegKeyPrivateAddressRange <start-of-ip-blacklist-range>, <end-of-ip-blacklist-range>

Reiniciar el servicio WAS dinámico

Por último, reinicie el servicio WAS dinámico (DWASSVC) en los servidores configurados para ejecutar el rol de trabajo web. Ejecute los siguientes comandos en un símbolo del sistema con privilegios elevados:

net stop dwassvc
net start dwassvc

Definir cuotas

Para impedir ataques por denegación de servicio (DoS), debe establecer cuotas para el uso de CPU, memoria, ancho de banda y disco. Estas cuotas se pueden configurar en el Portal de administración para administradores como parte de la elaboración del plan.

Cuando un plan tiene establecidas cuotas y un sitio web que pertenece al plan sufre un ataque de DoS o un pico involuntario de CPU, se detendrá el sitio web cuando se alcancen las cuotas para detener el ataque.

Las cuotas mencionadas también son útiles en el caso de ataques que se originan dentro de la granja. Por ejemplo, un ataque por fuerza bruta desde dentro de la granja consumiría mucho tiempo de CPU y, suponiendo que se utilizaran contraseñas seguras, la cuota de CPU se alcanzaría antes de que se pudiera averiguar la contraseña.

Asignar un conjunto de credenciales diferente para cada rol de Sitios web

Como práctica recomendada de seguridad después de la instalación, debe editar los conjuntos de credenciales para los roles de servidor web de manera que todos sean únicos. Después de crear nuevas cuentas únicas, puede actualizar las credenciales en el Portal de administración para administradores con el fin de utilizar las cuentas nuevas.

Para editar credenciales de rol de servidor de Sitios web

1. En el Portal de administración para administradores, haga clic en Nubes de sitios web y elija la nube que desea configurar.

2. Haga clic en Credenciales. En Nombre de usuario, puede comprobar si los nombres de usuario son únicos entre los roles de Sitios web (por ejemplo, puede que todos sean 'Administrator', en cuyo caso se deben cambiar).

3. Seleccione uno de los nombres de credenciales (por ejemplo, Credenciales del servidor de administración) y haga clic en Editar en la barra de comandos de la parte inferior del portal.

4. En el cuadro de diálogo que aparecerá (por ejemplo, Actualizar Credenciales del servidor de administración), escriba una contraseña y un nombre de usuario nuevos.

5. Haga clic en la marca de verificación para completar la operación.

6. Repita los pasos 3 a 5 hasta que todos los conjuntos de credenciales sean únicos.

Cambiar ("poner al día") las credenciales periódicamente

Como práctica recomendada de seguridad, es conveniente cambiar (o "poner al día") las credenciales periódicamente. En el caso de los servicios de rol, es mejor cambiar el nombre de usuario y la contraseña a la vez, no solo la contraseña. Si se cambia el nombre de usuario y la contraseña se impide el problema de "sin sincronizar" que se produce cuando solo se cambia la contraseña, pero el cambio no se ha propagado completamente en el entorno.

Al cambiar tanto el nombre de usuario como la contraseña, ambos conjuntos de credenciales están disponibles temporalmente durante el proceso de sustitución incremental. Por ejemplo, dos sistemas desconectados que necesitan autenticarse pueden seguir conectándose después del cambio. Cuando las nuevas credenciales están en vigor y funcionando totalmente en todos los sistemas, puede deshabilitar el conjunto anterior.

Definir un perfil de confianza restrictivo para las aplicaciones .NET

Para las aplicaciones .NET debe definir un perfil de confianza restrictivo. De forma predeterminada, Windows Azure Pack: Sitios web se ejecuta en modo de plena confianza para proporcionar la mayor compatibilidad de aplicaciones posible. Elegir el nivel de confianza óptimo implica un equilibrio entre la seguridad y la compatibilidad. Puesto que cada escenario de uso es diferente, debe determinar y seguir sus propias prácticas recomendadas para la protección de los servidores web multiempresa de su entorno.

Otras prácticas recomendadas

Hay otras prácticas recomendadas entre las que se incluye el uso del principio de privilegios mínimos al crear cuentas de usuario, minimizar el área expuesta de red, y modificar las ACL del sistema para proteger el sistema de archivos y el Registro.

Al crear cuentas, utilizar el principio de privilegios mínimos

Al crear cuentas de usuario, aplique el principio de privilegios mínimos a dichas cuentas. Para obtener más información, vea Aplicar el principio de privilegios mínimos a cuentas de usuario en Windows.

Minimizar el área expuesta de red

Configure el firewall para minimizar el área expuesta de red en los servidores accesibles desde Internet. Para obtener información sobre Windows Firewall con seguridad avanzada, vea los recursos siguientes (las referencias de Windows Server 2008 R2 siguen siendo útiles para Windows Server 2012 y Windows Server 2012 R2).

• Guía paso a paso de Windows Server 2008 R2: implementar Firewall de Windows y directivas IPsec (vínculo para descargar un documento de Microsoft)

• Seguridad del firewall de Windows Server 2008 R2 (WindowsITPro)

• Solucionar problemas de Firewall de Windows con seguridad avanzada en Windows Server 2012 (TechNet)

Modificar las ACL del sistema para proteger el sistema de archivos y el Registro

Las utilidades siguientes descargables pueden ayudar a evaluar la configuración de seguridad del sistema de archivos y el Registro de un servidor.

• AccessChk

• AccessEnum

Consulte también

Implementar Windows Azure Pack: Sitios web