El vaso medio lleno o medio vacío: La gestión de identidad y acceso

Hola,

Sin duda, uno de los grandes tópicos del 2010 es la Gestión de Identidad y Acceso (Identity and Access Management, IAM). No es para menos, ya que este tipo de soluciones aporta enormes beneficios a aquellos que logran implantarlas adecuadamente. Ya no sólo es una cuestión de poder afrontar la siempre deseada reducción -razonable- de costes, sino el hecho de ser flexible, una cualidad que nunca está de más en el ámbito corporativo. Todo ello aderezado con otros atractivos beneficios de distinta naturaleza.

Las soluciones IAM suelen constar de al menos tres funcionalidades principales: provisión de usuarios, gestión de roles y cumplimiento. Para el grueso de organizaciones la provisión automática de usuarios es ya en sí un logro relevante. Automatizar y controlar los procesos de altas, bajas y cambios es un sueño para muchos. Si además conseguimos montar encima de la provisión la gestión y el ciclo de vida de roles y capacidades, el cambio pasa de ser significativo a espectacular. La guinda del pastel es la automatización de tareas de cumplimiento basadas en los dos puntos anteriores: esto abre la veda a procesos que en pocos minutos resolverán la papeleta que ahora cuesta muchas horas de auditoría, como por ejemplo, la segregación de funciones en tiempo real, la recertificación automatizada de usuarios o la generación de informes de cumplimiento con pocos clicks del ratón. ¿Quieres ser la vanguardia de la industria? Añade un portal de autoservicio de identidad y soporte single sign on real y transparente para tus usuarios, servicios y aplicaciones, y no te faltará trabajo como ponente en una interminable lista de eventos de primer nivel.

¿Suena bien verdad? Ahora ve al mercado, y pregúntale a cualquiera que haya implementado o esté implementando una solución IAM, y escucharás la parte menos romántica. Estos proyectos son tremendamente complejos, costosos y por desgracia para muchos, a veces suelen terminar en implementaciones fallidas o que no responden a las expectativas. Si se trata a fin de cuentas de un juego de herramientas software y un conjunto de procesos estándar y conocido por todos, ¿por qué pasa esto? ¿por qué razón implementar estas soluciones no es tan fácil como desplegar cualquier otro servicio?

Sobre esta problemática hay mucho escrito y más que queda por escribir. La extrema dificultad que tienen este tipo de integraciones es objeto de análisis constante por parte de analistas, y aunque las causas de la problemática son más o menos conocidas, todavía nadie ha dado con un enfoque universal que produzca una tasa pequeña de fracasos. Y mucho me temo que aquí no hay lugar para la magia.

Problemas, muchos. Entender estos proyectos como proyectos de TI y no como transformación de negocios, escoger inadecuadamente la tecnología y los integradores, carecer de un modelo de identidades robusto y definido, la impaciencia, la inacción, la heterogeneidad de servicios a conectar, la dificultar de alinear a los distintos jugadores, la indefinición de casos de usuario, carecer de una organización consensuada, la ausencia de soporte de la alta dirección correspondiente … podríamos estar horas enumerando los problemas. Pero lo más significativo es que implementar IAM requiere, en todas y cada uno de sus fases, personalizar todos y cada uno de los aspectos que conforman el proyecto. Y esto requiere concentración, paciencia y conocimiento desde el segundo uno hasta que se entrega el servicio en producción. Y esto que resulta tan fácil de escribir no es tan sencillo de llevar a la práctica teniendo en cuenta las limitaciones, presupuestarias y no presupuestarias, de estas integraciones.

Creo que el principal atractivo de los proyectos de integración IAM reside en su elevada exigencia. Si hay un buen ejemplo para confrontar la percepción pesimista (una interminable cuesta arriba repleta de obstáculos) frente a la optimista (un reto complejo para las organizaciones repleto de oportunidades), no busques más: lo has encontrado. Bienvenido a la Gestión de Identidad y Acceso.

Un saludo,

¿Cómo seleccionar la herramienta de clonado de discos más acorde a nuestras necesidades?

Buenas,

Estuve hace poco invirtiendo un poco de tiempo en examinar la situación actual del mercado de las herramientas de clonado de discos con la idea de actualizarme. Este es un segmento donde casi todos los días aparece nuevo software, bien sea libre o propietario, con lo que a veces no es fácil tener claro qué herramientas son las mejores para nuestras necesidades.

El que tenga prisa y no quiera seguir leyendo que se vaya a Wikipedia. Esta fantástica tabla resume bien los distintos productos que estuve evaluando. Los demás son libres de seguir leyendo :)

Criterio 1 : ¿Soportada o DIY?

Muchos cometen el error de discutir primero si lo que debemos usar ha de ser libre o propietario. Es siempre mejor empezar a preguntarse si necesitamos o no soporte para la herramienta. Las herramientas comerciales suelen contar con soporte, ya que el cobro de una licencia suele implicar el derecho al soporte de la solución. En el software libre el soporte también existe, ya que este puede provenir de la comunidad (foros de ayuda, listas de correo, etc.) o bien del desarrollador del producto. Lo relevante en este punto es preguntarse si necesitamos ayuda o si podemos operar la solución nosotros solos.

Criterio 2 : ¿Copias crudas o copias inteligentes?

En este punto debemos preguntarnos si lo que necesitamos es ejecutar copias crudas, es decir, sector a sector, o bien copias inteligentes, que son aquellas en las que se detecta qué sectores del disco están ocupados para copiar únicamente aquellos que estén siendo usados. Típicamente la diferencia entre uno y otro provocará que el tamaño del clonado sea igual al del disco si la copia es cruda o bien igual al tamaño de lo que se ocupa si la copia es inteligente.

Aunque cada caso es un mundo, salvo que el tamaño sea pequeño, yo recomiendo el uso de copias inteligentes. Ojo a este factor, ya que no todas las soluciones admiten ambas posibilidades.

Criterio 3 : ¿Ejecutables en caliente o no?

Igualmente relevante es determinar si tenemos necesidad de ejecutar el clonado en caliente, es decir, a la par que usamos el sistema a clonar, o no. Estos métodos son frecuentes cuando se usan tecnologías de clonado Microsoft en las que se hace uso de shadow copies.

El clonado en caliente siempre es recomendable para las personas con menos nociones o cuando es estrictamente necesario mantener el sistema en línea. Habida cuenta que las copias en línea suelen estar vinculadas a tecnologías Microsoft, suelen además ser herramientas gráficas dotadas de una alta simplicidad de uso.

Criterio 4 : ¿Ejecutables mediante LiveCD/LiveUSB?

Este criterio normal es excluyente con el anterior, ya que suele aplicar a aquellas soluciones que no operan en caliente. Independientemente de este hecho, que no siempre tiene que darse (véanse los entornos de preinstalación de Windows) este criterio nos dirá si la herramienta que queremos ejecutar está disponible en formatos LiveCD y LiveUSB, es decir, ejecutables sin instalación desde medios ópticos y flash.

Dependiendo del nivel de noción del usuario y de las ganas que se tengan de hacer DIY este criterio puede tener más o menos peso. La experiencia me dice que la mayoría de la gente no quiere o no sabe generar entornos live, con lo que disponer de versiones LiveCD y LiveUSB suele ser bastante importante.

Criterio 5 : ¿Clonado de discos completos o de particiones?

Tener claro si queremos clonar un disco completo o una partición es relevante, especialmente por el hecho de que las particiones suelen ser menores que los discos (a no ser que el disco tenga una única partición, claro) con lo que la velocidad del proceso puede ser acelerada considerablemente. Con los tamaños actuales, clonar un disco completo es una tarea que requiere bastante tiempo y no es recomendable salvo que sea estrictamente necesario, generalmente cuando no existe un particionado no primario.

Este criterio es especialmente relevante en sistemas donde existe particionado múltiple en el disco a clonar, como por ejemplo, los derivados Unix donde se generan particiones para /home, y otras distintas para temporales y otras partes del sistema. Aunque la enorme mayoría de las herramientas admite ambos modelos no siempre es así, con lo que debemos dedicar un cierto tiempo a investigar este concepto.

Otros criterios

En este cajón misceláneo podemos meter todos los demás criterios que consideremos relevantes, como por ejemplo saber si la herramienta que vamos a emplear admite cifrado de los medios a generar, partición de tamaños elevados en ficheros pequeños, conectividad en red para operaciones remotas, soporte de distintos sistemas de fichero, ejecución independiente o mediante cliente-servidor, etc. Para ello lo ideal es referirse a los manuales y la documentación una vez se haya escogido la herramienta a emplear en función a los criterios anteriores.

No dejéis de consultar estas opciones adicionales cuando tengáis claro qué herramienta usar. Tenéis una relación de herramientas y funcionalidades en esta tabla de la Wikipedia.

Mis recomendaciones

Aunque no resulta fácil recomendar ya que existen muchas y buenas soluciones ahí fuera, me suelo decantar por:

  • Soluciones comerciales: Acronis True Image. Es tremendamente fácil de usar, el soporte es de alta calidad y la relación calidad precio es excelente ($29.99 la versión Home). Puede ser usado en caliente si utilizamos Microsoft o fuera de línea mediante un medio ejecutable facilitado por el propio producto. Ojo a los sistemas Mac, ya que Acronis no admite HFS+
  • Soluciones no comerciales: Clonezilla. Aunque no admite operaciones en caliente y es puramente offline, es una herramienta sencilla y soporta prácticamente todos los escenarios imaginables. Si se requieren operaciones en caliente, es factible emplear ODIN, aunque esta herramienta está limitada a entornos Microsoft.

¿Tienes experiencia con alguna de las soluciones de clonado habituales? ¿Quieres recomendarla? Déjanos un comentario :)

Un saludo,