Una vez que comenzamos a dominar determinadas tecnologías es casi natural plantearnos el ejercicio de ver que podemos resolver con ellas. Idealmente, si tenemos claros nuestros objetivos y hemos identificado los principales problemas que nos impiden avanzar hacia esas metas, viene el proceso creativo de idear soluciones, de innovar o simplemente de aplicar lo que son buenas prácticas al contexto específico en que nos desenvolvemos.
Es en este contexto quiero reflexionar sobreel tema de la Autenticación, la Autorización y el Control (en inglés se usa la palabra Accounting) en la red Infomed.
El AAA, conocida así por las iniciales de los tres nombres mencionados en inglés, es una tecnología que permite esencialmente la movilidad y la seguridad dinámica de los clientes en una red. Sin esta solución, la red estaría configurada de manera estática para controlar el acceso, los números IP serían fijos, los sistemas no podrían moverse y las opciones de conectividad tendrían que ser fijas. Hoy día las principales redes que conforman Internet se organizan de acuerdo con este marco de referencia y es una buena práctica organizar los servicios de un proveedor de servicios de internet o ISP (Internet Service Provider) de acuerdo con este modelo.
La génesis de AAA coincide con el desarrollo del protocolo Remote Authentication Dial-In User Server (RADIUS), desarrollado por la empresa Livingston. Es interesante recordar que hace unos cuantos años compramos nuestro primer servidor de acceso precisamente de esa marca y nos condujo muy tempranamente a usar el RADIUS. Creo que ese servidor presta servicios aún en Cienfuegos. Desde 1997 RADIUS se convirtió en un estándar de Internet.
El AAA es una especie de “estado del arte” o buena práctica cuyo dominio y uso creativo puede ayudar mucho en mejorar la capacidad de Infomed para resolver tres problemas esenciales de las redes contemporáneas: Autenticar (quién es quién en la red), Autorizar (qué puede hacer cada quien en la red) y finalmente, Controlar (que es llevar un registro de qué hizo cada quién en red). Resolviendo estos problemas se facilita mucho el uso de la red de forma segura lo que es una necesidad para poder seguir avanzando en el desarrollo de los servicios y especialmente de los nuevos servicios que exige Infomed 2.0.
Es muy importante dominar a nivel teórico y práctico el AAA y esta reflexión está inspirada en la reciente publicación de dos artículos que tratan en profundidad y de manera muy clara este tema y que se publican justo en un momento que el tema está entre nuestras principales ocupaciones. Sin el dominio de los principales conceptos y prácticas del AAA es imposible resolver eficientemente los retos que nos impone el crecimiento de nuestra red, la activación de servicios como el OpenId y cuestiones tan básicas como el perfeccionamiento programado del servicio de acceso a Infomed de nuestros usuarios. Hasta ahora, este es un lenguaje muy propio del personal de redes y de desarrollo pero es muy importante su socialización para que pueda ser apropiado por un grupo más amplio de especialistas de nuestra red.
En la práctica nuestro “FR-Manager” es un sistema AAA que integra estas funciones y nos permite gerenciar de manera cada vez más fácil esta capa tan esencial de servicios de Infomed. Su desarrollo y perfeccionamiento y su alineación con este marco de referencia nos ofrece una plataforma flexible y escalable y debe ayudarnos a mejorar los servicios a los usuarios de la red facilitando todos los procesos asociados y garantizando un alto nivel de seguridad.
Hay un concepto que me parece de especial importancia en este contexto que es el de Puntos de Política, en inglés Policy Points. Los puntos de política son nodos de la red donde se implementan y/o cumplen las políticas. Así por ejemplo, en la arquitectura del AAA se proponen varios puntos que son:
PEP: Policy Enforcement Point. Punto de Cumplimiento de Política o Autenticador.
PDP: Policy Decision Point. Punto de Decisión de política o Servidor de Acceso, que es como el cerebro del sistema donde se toman las decisiones finales sobre el acceso a la red.
PIP: Policy Information Point. Punto de Información de Política. Que es un depósito de información que ayuda a tomar decisiones de acceso. Por ejemplo un directorio Lidhtweight Directory Acess Protocol (LDAP), o cualquier otro sistema que almacena datos relevantes respecto a la solicitud de acceso de un usuario o equipo a la red. en nuestro contexto si adicionamos un webservice a la base de datos de profesionales de la salud lo podemos convertir en un PIP. Algo similar podríamos lograr con otras informaciones importantes para el cumplimiento de las políticas que se pueden organizar bajo este principio.
Sistema de Contabilidad y Reporte: Además de estos puntos la arquitectura comprende un Sistema de Cotabilidad y Reporte que asegura el cumplimiento de las funciones de control mencionadas. Este es un aspecto fundamental del AAA pues considerando que las formas de acceso a la red se multiplican y multiplicarán cada vez más, este servicio nos puede mantener al tanto de lo que está sucediendo en la red. Permite saber quien entra, desde donde y que puede hacer.
Llamo la atención de nuestros especialistas a manejar estos conceptos y a socializar las experiencias de construcción usando este marco de referencia. Puede ayudarnos a pensar en nuestros servicios y en especial los servicios que como Proveedores de Servicios de Internet ofrecemos.
Utilizando este modelo de referencia nos ha sido mucho más facil ponernos de acuerdo sobre la forma de organizar mejor el servicio de atención de usuarios. Ello es un ejemplo práctico de la valía de extender conceptos y enfoques aparentemente muy técnicos a problemas de más alto nivel. El concepto de Punto de Información de Política ha sido válido para la integración de recursos como el registro de profesionales o para representar el lugar de los representantes de las unidades de salud ante Infomed el el proceso de AAA.
En reuniones recientes con el equipo de tecnología, hemos podido trabajar en la mejora de procesos vinculados con el acceso, la autorización y el control, desde la perspectiva de la arquitectura y el modelo de referencia mencionado. En Infomed hace mucho tiempo que se trabaja a nivel técnico específico con el modelo AAA y creo que puede ser muy útil aprovechar los artículos mencionados para ampliar este conocimiento por un grupo más amplio de especialistas. Esto es especialmente válido para el personal de atención de usuarios, para los desarrolladores y para todos los que queremos comprender mejor nuestro sistema.
Bibliografía:
Network Authentication, Authorization, and Accounting Part One: Concepts, Elements, and Approaches: Concepts, Elements, and Approaches by Sean Convery, Identity Engines en: The Internet Protocol Journal – Volume 10, No. 1 disponible en http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_10-1/101_aaa-part1.html consultado 11 de junio 2007
Network Authentication, Authorization, and Accounting Part Two: Protocols, Applications, and the Future of AAA by Sean Convery, Identity Engines en: The Internet Protocol Journal – Volume 10, No. 2 disponible en http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_10-2/102_aaa-part2.html consultado 20 de junio de 2007
The COPS (Common Open Policy Service) Protocol RFC 2748 disponible en http://tools.ietf.org/html/rfc2748 consultado el 20070629
A Framework for Policy-based Admission Control RFC 2753 disponible en http://tools.ietf.org/html/rfc2753 consultado el 20070629
Comentarios