Está en la página 1de 61

Seguridad en la Nube

Nos subimos a la

nube.....(Parte

Introducción

I)

El objetivo de esta serie de artículos es analizar como con Microsoft BRS Solutions ( Microsoft Business Ready Security Solutions) podemos proteger la información sin importar donde esté, verificando como se accede a ella y a su vez protegemos la misma manteniento los objetivos de la Seguridad de la Información (Confidencialidad-Integridad-Disponibilidad). BRS Solutions, compuesto por la familia de soluciones Forefront nos ayudará con el objetivo, pero antes de que entremos a las problemáticas puntuales, tenemos que entender algunos conceptos.

La Nube

Si buscamos en BING, el concepto de Cloud Computing, vamos a encontrar varias definiciones comunes. Para el caso, vamos a utilizar una definición que me agradó de NIST, ya que es la más completa de todas, que la describe de la siguiente manera :

"

Cloud

Computing es un modelo para permitir acceso conveniente por demanda a un conjunto

compartido de recursos computacionales configurables, por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción con el proveedor de servicios. Este modelo de nube promueve la disponibilidad y está compuesto por cinco

características esenciales, tres modelos de servicio y cuatro modelos de despliegue

"

...

Características del modelo

1) On-demand self-service: Autoservicio por demanda,un usuario de recursos de la nube puede aprovisionar de manera unilateral capacidades de cómputo, tales como tiempo de servidor y almacenamiento en red, en la medida en que las requiera sin necesidad de interacción humana por parte del proveedor del servicio. Ejemplo de ello, cuando utilizan almacenamiento provisto por los Webmails, como el caso de SkyDrive de Hotmail. 2) Broad network access: Acceso amplio desde la red, las capacidades están disponibles sobre la red y se acceden a través de mecanismos estándares que promueven el uso desde plataformas clientes heterogéneas, tales como clientes delgados (Thin Client), clientes pesados (Pc) o cualquier dispositivo móbil con acceso a Internet compatible con los estándares. (ej. Windows Mobile, IPad, IPhone, etc). 3) Resource pooling : Conjunto de recursos, los recursos computacionales del proveedor se habilitan para servir a múltiples consumidores mediante un modelo “multi-tenant*”, con varios recursos físicos como virtuales asignados dinámicamente en base a la demanda. Existe un sentido de independencia de ubicación en cuanto a que el usuario no posee control o conocimiento sobre la ubicación exacta de los recursos que se le están proveyendo aunque puede estar en capacidad de especificar ubicación a un nivel de abstracción alto (ej. país, estado o centro de datos). Algunos ejemplos incluyen almacenamiento, procesamiento, memoria, ancho de banda y máquinas virtuales. *El modelo Multi-Tenant se refiere a una arquitectura de software donde una única instancia del software se ejecuta en un servidor y al servicio de múltiples clientes. 4) Rapid elasticity: Rápida elasticidad, las capacidades pueden ser rápidamente y elásticamente aprovisionadas, en algunos casos automáticamente, para escalar hacia fuera rápidamente y también rápidamente liberadas para escalar hacia dentro también de manera rápida. Para el usuario, estas capacidades disponibles para aprovisionar a menudo aparecen

como ilimitadas y pueden ser compradas en cualquier cantidad en cualquier momento. 5) Measured Service: Servicio medido, los sistemas en la nube controlan y optimizan automáticamente el uso de los recursos mediante una capacidad de medición a algún nivel de abstracción adecuado al tipo de servicio. (ej. almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de estos recursos puede ser monitoreado, controlado y reportado, proporcionando transparencia tanto para el proveedor como para el usuario por el servicio utilizado.

Modelos de Servicios

1) Cloud Software as a Service (SaaS): Software como un service, esta capacidad provee al usuario que utiliza las aplicaciones del proveedor una infraestructura de nube. Las aplicaciones son accesibles desde varios dispositivos clientes a través de una interfaz como un navegador. (ej. Web-mail). 2) Cloud Platform as a Service (PaaS): Plataforma como un servicio: Esta capacidad le permite al usuario desplegar en la infraestructura del proveedor aplicaciones creadas por el primero, incluso adquiridas, usando lenguajes de programación y herramientas del proveedor. El usuario no administrar o controlar la infraestructura subyacente incluyendo nube de red, servidores, sistemas operativos, o de almacenamiento, pero tiene el control sobre las aplicaciones implementadas y, posiblemente, alojamiento de aplicaciones configuraciones de entorno. 3) Cloud Infrastructure as a Service (IaaS): Infraestructura como un servicio, esta capacidad permite al consumidor aprovisionar recursos computacionales como almacenamiento, procesamiento, redes y otros elementos fundamentales en donde el consumidor puede desplegar y correr software arbitrario, el cual puede incluir sistemas operacionales y aplicaciones. El usuario no administrar o controlar la infraestructura cloud subyacente pero tiene el control sobre los sistemas operativos, almacenamiento, las aplicaciones implementadas, y posiblemente un control limitado de los componentes de red seleccionados.

Modelos de Despliegue

Ahora analizamos modelos de despligue o topología de la misma.

1) Private cloud: nube privada, la infraestructura en la nube es operado exclusivamente para una organización. Puede ser administrado por la organización o de un tercero y pueden existir en las instalaciones o fuera de la premisa. 2) Community cloud: Nube comunitaria, la infraestructura en la nube es compartida por varias organizaciones y es compatible con una comunidad específica que ha compartido las preocupaciones (por ejemplo, la misión, los requisitos de seguridad, la política y las consideraciones de cumplimiento). Puede ser administrado por las organizaciones o de un tercero. 3) Public cloud, Nube pública, la infraestructura de nube se puso a disposición del público en general o a un grupo de la gran industria y es propiedad de una organización de venta de servicios en la nube. 4) Hybrid cloud: Nube Híbrida, la infraestructura en la nube es una composición de dos o más nubes (privada, comunitaria, o del público) que se mantienen las entidades únicas, pero están unidos por la tecnología estandarizada o de propiedad que permite que los datos y la portabilidad de aplicaciones (por ejemplo, nubes de ruptura de equilibrio de carga entre las nubes). Recuerden que en los modelos denominados Híbridos, existe combinaciones de algún otro formato o modelo.

Microsoft Business Ready Security Solutions

En respuesta a estos retos y oportunidades de negocio, Microsoft está adoptando un enfoque fundamentalmente diferente a la seguridad. Este enfoque se denomina Business Ready Security. Se entiende a la seguridad como un elemento necesario para ayudar a las empresas a alcanzar sus objetivos de negocio, además ayudar a asegurar que las personas con permisos adecuados siempre tengan acceso a la información que necesitan para realizar su trabajo. Microsoft entiende que la seguridad debe abarcar la protección, el acceso y la gestión, todos entorno a la identidad del usuario e integrado con una alta seguridad y plataforma interoperable. En base a esto, Microsoft está trabajando para lograr el objetivo de BRS que basa en tres principios fundamentales:

1) La seguridad debe integrar y estar extendida en toda la empresa. Seguridad debe ser incorporada a la infraestructura (no solo con el objetivo de cumplir con auditorías), en el trabajo en múltiples plataformas y entornos. Identificar al usuario donde esté y sin importar a que plataforma acceda. 2) Seguridad debe contribuir a "la protección de todas partes, el acceso en cualquier lugar ". Esto incluye proporcionar protección a través de múltiples capas y permite el acceso remoto seguro.Protección y acceso deben ser entregados dentro del contexto de la identidad de un usuario 3) Microsoft entiende que la seguridad y la experiencia de cumplimiento deben ser significativamente simplificado para nuestros clientes. Esta experiencia simplificada debe extenderse a todos los usuarios con una empresa que "interactua" con la seguridad y ayudar a gestionar los costes, la complejidad y el cumplimiento.

Por último, vamos a ver los diferentes focos que hace BRS.Business Ready of Security establece seis soluciones de uso, centrado en activos que ayudan a reducir los costos y a simplificar la administración de seguridad en el entorno de la empresa utilizado la infraestructura de TI:

1) Integrated Security - Seguridad integrada: Fácil de manejar, el malware y protección integral de información en toda la empresa. 2) Secure Messaging - Mensajería Segura: La comunicación segura de negocios desde prácticamente cualquier lugar y en cualquier dispositivo, al tiempo que evita el uso no autorizado de información confidencial. 3)Secure Collaboration- Colaboración Segura: La colaboración segura de negocios desde prácticamente cualquier lugar y en cualquier dispositivo, evitando el uso no autorizado de información confidencial. 4)Secure Endpoint- Seguro de punto final: Proteger al cliente y sistemas operativos para servidores de las amenazas emergentes y la pérdida de información, al tiempo que permite un acceso seguro desde prácticamente cualquier lugar y en cualquier dispositivo. 5) Identity and Access Management- Gestión de identidades y acceso: Simplificar y gestionar el acceso a un acceso seguro y compatible con las aplicaciones en las instalaciones y en la nube desde cualquier lugar o dispositivo. 6) Information Protection - Proteger la información: simplificar y administrar la protección de la información, evitando de esta manera fuga de la misma y ayudando al cliente en el cumplimiento de políticas.

En los artículos posteriores vamos a ir analizando cada uno de estos seis puntos, validando como soluciones Microsoft nos ayudan en la Seguridad Corporativa, y a su vez comprender el

funcionamiento de la plataforma FOREFRONT que nos permitirá sastifacer las necesidades de cada uno de los puntos mencionados anteriormente.

Visual Model of Cloud Computing

“All models are wrong, some are useful.” – George Box

This is a simple visual model we’re using on our patterns & practices Azure Security guidance team to dialogue around cloud computing concepts.

funcionamiento de la plataforma FOREFRONT que nos permitirá sastifacer las necesidades de cada uno de losAzure Security guidance team to dialogue around cloud computing concepts. Here are the key things to know: 1. Characteristics are simply the three key characteristics we defined for our working definition of cloud (see Cloud Defined .) 2. Service models includes the options Software as a Service (SaaS), Platform as a Service (PaaS), and Infrastructure as a Service (IaaS) models. 3. Deployment includes the options on-premises , off-premises, and hybrid, which is a combination of on-premises and off- premises. " id="pdf-obj-3-15" src="pdf-obj-3-15.jpg">

Here are the key things to know:

  • 1. Characteristics are simply the three key characteristics we defined for our working definition of cloud (see Cloud Defined.)

  • 3. Deployment includes the options on-premises, off-premises, and hybrid, which is a combination of on-premises and off- premises.

Aside from providing a simple lens for looking at cloud computing, this model also helps us find important or interesting intersections across various cloud efforts in the industry. For example, this can help us connect the dots to NIST’s cloud computing work. We can find useful intersections at a model level, without getting lost in the weeds.

Computación en la nube (1/6): Qué significa “servicio”

Aside from providing a simple lens for looking at cloud computing, this model also helps usNIST’s cloud computing work . We can find useful intersections at a model level, without getting lost in the weeds. Computación en la nube (1/6): Qué significa “servicio” Equipo TN Latinoamérica 17 Mar 2011 10:36 AM ∑ 0 Versión traducida del artículo original de Yung Chou ( Microsoft IT Pro Evangelist) Parte 1 de 6 La computación en la nube , o simplemente “la nube”, está cambiando la manera en la que se ofrecen los servicios de TI, y la forma en que un usuario puede acceder a recursos informáticos en el trabajo, desde su casa, o en cualquier lugar donde se encuentre. La nube permite a las organizaciones de TI responder a las oportunidades de negocios, con entregas a demanda, que cuentan con una rentabilidad adecuada y la suficiente agilidad en el largo plazo. Hoy en día, la mayoría de los departamentos de TI, están avanzando en un proceso de transformación de su infraestructura tecnológica, orientándose a la nube. Para empezar, hay conceptos clave que, como profesional de TI, debes conocer para comprender esta tendencia y contribuir de manera eficaz a los proyectos de tu organización. ¿Servicio? En el contexto TI, "servicio" es un término frecuentemente usado para describir una forma de entrega o de disponibilidad. En una máquina Windows, por ejemplo, servicios básicos para autenticar a los usuarios y comandos de proceso se inician automáticamente, y corren detrás de la escena proporcionando las funciones esenciales para el funcionamiento de una sesión de escritorio. En el cómputo en red, un servicio se explica simplemente como algo entregado "a demanda". Es decir, un recurso informático entregado como un "servicio" está disponible a demanda de un usuario autorizado. Específicamente en la computación en nube, "a demanda", tiene además una connotación adicional. “A demanda”, en el contexto de la computación en nube, sugiere que la forma en la que un recurso está disponible es transparente. Implica que la capacidad informática se puede ajustar de forma dinámica según las necesidades. En otras palabras, un usuario puede incrementar o disminuir la capacidad según lo requiera. “A demanda” también significa que hay un modelo de negocio de pago por uso, es decir "pagar de acuerdo a la cantidad que ha consumido". En un entorno de producción, puede ser de carácter administrativo o bien " id="pdf-obj-4-8" src="pdf-obj-4-8.jpg">

17 Mar 2011 10:36 AM

0

Versión traducida del artículo original de Yung Chou ( Microsoft IT Pro Evangelist)

Parte 1 de 6

La computación en la nube, o simplemente “la nube”, está cambiando la manera en la que se ofrecen los

servicios de TI, y la forma en que un usuario puede acceder a recursos informáticos en el trabajo, desde su

casa, o en cualquier lugar donde se encuentre. La nube permite a las organizaciones de TI responder a las

oportunidades de negocios, con entregas a demanda, que cuentan con una rentabilidad adecuada y la

suficiente agilidad en el largo plazo. Hoy en día, la mayoría de los departamentos de TI, están avanzando en

un proceso de transformación de su infraestructura tecnológica, orientándose a la nube. Para empezar, hay

conceptos clave que, como profesional de TI, debes conocer para comprender esta tendencia y contribuir de

manera eficaz a los proyectos de tu organización.

¿Servicio?

En el contexto TI, "servicio" es un término frecuentemente usado para describir una forma de entrega o de

disponibilidad. En una máquina Windows, por ejemplo, servicios básicos para autenticar a los usuarios y

comandos de proceso se inician automáticamente, y corren detrás de la escena proporcionando las funciones

esenciales para el funcionamiento de una sesión de escritorio. En el cómputo en red, un servicio se explica

simplemente como algo entregado "a demanda". Es decir, un recurso informático entregado como un

"servicio" está disponible a demanda de un usuario autorizado. Específicamente en la computación en nube,

"a demanda", tiene además una connotación adicional.

“A demanda”, en el contexto de la computación en nube, sugiere que la forma en la que un recurso está

disponible es transparente. Implica que la capacidad informática se puede ajustar de forma dinámica según

las necesidades. En otras palabras, un usuario puede incrementar o disminuir la capacidad según lo requiera.

“A demanda” también significa que hay un modelo de negocio de pago por uso, es decir "pagar de acuerdo a

la cantidad que ha consumido". En un entorno de producción, puede ser de carácter administrativo o bien

referirse a las limitaciones operativas de cuánto y cuán rápido a un cliente puede cambiar las asignaciones

de recursos. Esto puede y debe ser negociado y establecido en un acuerdo de nivel de servicio entre el

cliente y el proveedor de servicios. Conceptualmente, un servicio prestado a través de la nube es un

conjunto de recursos informáticos disponibles, escalables y de consumo basado en las demandas. “A

demanda” se refiere a una de las características esenciales de la nube.

Características de la computación en la nube

La computación en la nube es similar a otros términos de TI, como: base de datos, redes, seguridad,

colaboración, portal, área de trabajo, etc., que muy a menudo significan diferentes cosas para diferentes

personas. ¿Acceder a aplicaciones de una empresa a través de Internet, es computación en la nube? ¿El

empleo de una VPN para autenticarse en una red privada, implica una nube privada? ¿El acceso remoto se

considera como un tipo de computación en la nube? Estas preguntas pueden parecer triviales, pero son

fundamentales para evitar la ambigüedad, la incertidumbre y desasosiego, cuando nos enfrentamos a los

cambios y a la transición de una implementación focalizada en infraestructura a una centrada en servicios.

Para los profesionales técnicos, la nube puede significar: redes de alta velocidad, virtualización, configuración

automática, procesamiento remoto y bajo demanda, y combinaciones de estos términos. Para los usuarios no

técnicos, la nube es simplemente Internet, una cable por parte un proveedor de servicios, o simplemente

algo que hay afuera y que está conectado con el equipo. Ya sea pública, privada, o en el medio, la sabiduría

convencional, tal como se publica en la definición del NIST de computación en la nube, asume características

destacadas respecto a cómo los recursos informáticos se ponen a disposición en la nube, incluyendo:

referirse a las limitaciones operativas de cuánto y cuán rápido a un cliente puede cambiar lasl TechCenter de la Nube " id="pdf-obj-5-40" src="pdf-obj-5-40.jpg">

• Auto-servicio a demanda

• Acceso ubicuo a la red

• Ubicación independiente de la fuente de recursos

• Rápida elasticidad

• Medida de servicio con pago por uso

Destaquemos que en base a un modelo de entrega, estas características se aplican a experiencias de usuario

diferentes. Por ejemplo, auto-servicio a demanda puede implicar la capacidad para: adquirir una cuenta y

crear un perfil de usuario como en SaaS, códificar y publicar una aplicación en PaaS, o configurar e

implementar una máquina virtual en IaaS. Esto puede no tan evidente, sin una comprensión clara sobre

cómo los servicios se implementan y se entregan en la nube.

Encuentra las guías y recursos que necesitas para comprender a fondo cómo trabajar en la nube, en

Cloud computing: por dónde comenzar cuando ya ha comenzado Los problemas y las oportunidades que rodean

Cloud computing: por dónde comenzar cuando ya ha comenzado

Los problemas y las oportunidades que rodean a SOA, SaaS y cloud computing amplifican de manera eficaz la división conversacional entre negocio e IT, en parte debido a lo nuevo de la arquitectura y la tecnología. Encuentre orientación acerca de cómo vincular las oportunidades técnicas que presentan estos nuevos modelos con las necesidades de la organización.

Ric Merrifield y Dennis Stevens

Comparar un cambio empresarial de envergadura con la reparación de un avión en pleno vuelo es un paralelo bastante acertado en términos de complejidad, riesgo e interrupciones, pero con mayor enfoque en las oportunidades relacionadas con la arquitectura orientada a servicios (SOA), el software como servicio (SaaS) y el concepto de cloud computing, la comparación puede comenzar a parecer una subestimación grosera. De hecho, la mayoría de las organizaciones hoy en día experimentan el choque de dos objetivos cruciales, pero a menudo yuxtapuestos:

Conforme las organizaciones maduran, normalmente a través de una mezcla de crecimiento y adquisición orgánicos, los distintos departamentos, divisiones, grupos y empresas se vuelven más independientes, como silos, y ello deriva en una enorme duplicación de esfuerzos y alimenta la confusión al tratar de explicar todo a los clientes, asociados y empleados. La mayoría de las organizaciones hoy en día buscan mayor transparencia en su organización para presentar un esfuerzo y un mensaje más unificados para todo desde su misión, a su propuesta de valor a los clientes, a cómo llevan a cabo sus actividades cotidianas.

Aunque cada día irrumpe tecnología nueva, cambios de importancia son raros y muchas personas reconocen que la oportunidad que presenta cloud computing es uno de esos cambios importantes, así que muchas organizaciones se están apresurando a cumplir la promesa de cloud computing por delante de sus competidores.

Como podría esperarse, si una organización se divide en silos y carece de visibilidad entre sus diversos grupos, la maximización de oportunidades se hace más complicada. ¿Primero unifica y luego maximiza la oportunidad? En muchos casos, no hay tiempo para eso. La respuesta correcta en este preciso momento es seguir tras ambos objetivos de manera agresiva, pero con los ojos puestos en una priorización inteligente. Lamentablemente, hoy en día eso es mucho fácil de decir que de hacer (la mayoría de las organizaciones carecen de una mirada a sí mismas, una “lente” que les permita priorizar de manera eficaz y objetiva los pasos a la unificación, lo cual casi termina por condenar los esfuerzos de maximización de oportunidades desde el principio. ¿Por qué sucede esto? Existe una enorme división de comunicación que abarca los diversos grupos organizacionales, incluido el departamento de tecnología de la información (TI). En el corazón de esta división de comunicación se halla algo denominado “la trampa del ‘cómo’”, la cual se analiza en mayor detalle en la Sección 1 de esta nota del producto.

Ahora de vuelta a SOA, SaaS y cloud computing. Los problemas y las oportunidades que rodean a estos tres factores amplifican efectivamente la división conversacional entre

negocio y TI, en parte debido a lo nuevo de la arquitectura y la tecnología. El negocio va a buscar maneras de ofrecer nuevas capacidades y servicios tanto a los clientes existentes como a los nuevos que serán excelentes nuevas fuentes de ingreso, y crearán mayor diferenciación competitiva. Al mismo tiempo, muchos considerarán migrar tecnologías heredadas a servicios de nube para ofrecer a los clientes nuevos y antiguos más opciones en áreas como seguridad, velocidad, acceso y personalización. Probablemente el negocio proporcione al departamento de TI “requisitos” detallados que incluyen personalizaciones importantes para software empaquetado o ya personalizado. Tal como explicamos en el cuerpo de esta nota del producto, si una organización aún no ha salido de “la trampa del ‘cómo’”, la TI normalmente creará servicios excesivamente personalizados y más costosos de lo necesario, lo cual erosionará la posible rentabilidad de estos nuevos modelos para, en definitiva, ralentizar los esfuerzos de las organizaciones por conseguir sus objetivos estratégicos.

Sin embargo, tal como existe la necesidad de ser más claro con una articulación más objetiva de las necesidades y prioridades de la organización, también hay necesidad de comprender con claridad cómo estos modelos nuevos (SOA, SaaS y cloud computing) complementarán las soluciones y arquitecturas de TI heredadas ya existentes (otra vez reparar el avión en pleno vuelo). Vincular las oportunidades técnicas presentadas por estos nuevos modelos con las necesidades de la organización es vital y ésa es la orientación que se entrega en esta nota del producto.

En la Sección 1, hablamos más acerca de cómo salir de “la trampa del ‘cómo’” a través del modelado de capacidades y los mapas de actividad. En la Sección 2 se ofrece luego orientación respecto de la función los mapas de actividad en los requisitos y priorización de proyectos de negocio. En la Sección 3, nos adentramos en el significado de SOA, SaaS y cloud computing, y los tipos de oportunidades, y riesgos, que representan para las TI y el negocio. En la Sección 4 se incluye un estudio de caso de cloud computing que muestra los

beneficios hospedados básicos de soluciones que un negocio debe

esperar. .

En la sección

Conclusión, se propone que si va a pensar en cloud computing tan sólo como una solución/oportunidad de tecnología, está apuntando demasiado bajo para tener éxito en términos de valor agregado al negocio. Hasta que aplique la objetividad de análisis que obtiene a través del rigor y la disciplina de las capacidades de negocio, el riesgo de no vincular de manera explícita las estrategias y tácticas de la organización con la tecnología sube considerablemente. Cerramos con algunas consideraciones específicas sobre los próximos pasos y recursos disponibles para este análisis.

Creemos que esta nota ofrece una orientación clara, como primer paso, para ayudar a organizaciones como la suya a seguir centrada en la unificación y la maximización de oportunidades, de manera mucho más estructurada, objetiva y disciplinada de lo que experimentó en el pasado.

Cómo salir de “la trampa del ‘cómo’” con modelado de capacidades y mapas de actividad

Antes de saltar a estas oportunidades en tecnología y arquitectura, dejemos en evidencia una realidad que existe en muchas organizaciones; al lado empresarial de la casa no le interesan los aspectos específicos de la tecnología (aun cuando saben más y más al respecto cada día), aunque establecen estrategias específicas que se traducen en tácticas específicas que a menudo requieren tecnología. Sin embargo, cuando el análisis sobre la función específica de la tecnología para apoyar las tácticas y estrategias de la organización (muy similar a un paciente que describe un dolor a su médico), el negocio a menudo incluirá detalles que pueden o no ser pertinentes al problema o la oportunidad específicos. En el caso de la relación médico/paciente, esto funciona porque el médico está entrenado

para filtrar lo que puede o no puede ser probablemente pertinente para lo que el paciente realmente quiere. En cambio, en la conversación negocio/tecnología de la información (TI), como el personal de TI no es experto en el negocio, no pueden ver qué detalles no son pertinentes y, por tanto, harán muchas cosas que solicita el trabajo que no se traducen en mucho valor. Esto no sucede porque las personas no sean inteligentes o porque no trabajan duro, es porque probablemente a menudo no hablan el mismo idioma.

La trampa del ‘cómo’

En la raíz de esta división conversacional, se encuentra algo que se ha denominado “la trampa del ‘cómo’” y que nos afecta a todos. A menudo, las personas se apegan tanto a “cómo” hacen algo (como enviar un fax), que a menudo la descripción de su trabajo suele enmascarar lo “que” hacen (es más probable que comunicar el estado de algo sea lo “que” se hace, mientras que el fax es el “cómo”). Los “que” que conforman una organización corresponden a los que llamamos capacidades de negocio (esto se examina en profundidad en un artículo que escribimos en conjunto con Jack Calhoun en Harvard Business Review denominado The Next Revolution in Productivity). Descubrimos que identificar las diversas capacidades de negocio en una organización es un excelente primer paso hacia la obtención de una vista mucho más clara y más objetiva del trabajo que conforma la organización, y este trabajo es rápido y la mayoría de las personas lo disfruta. Desde allí agregar informaciones acerca de las áreas, el rendimiento y la madurez más y menos valiosos puede conducir a análisis altamente objetivos y eficientes acerca de la priorización del trabajo, sobre todo cuando el valor de negocio es un elemento de la conversación. Éste es un primer paso que recomendamos para la mayoría de las organizaciones. En vez de embarcarnos en un largo mapa de meses de toda la organización, recomendamos que las organizaciones partan de a poco por divisiones o departamentos para tener una idea acerca de cómo este enfoque difiere de otros métodos (y los complementa) que pueden usar como reingenierización de procesos, Lean, Six Sigma por nombrar algunos.

Cualquier conversación relacionada con SOA, SaaS o cloud computing que comience con tecnología, o incluso arquitectura, apunta muy bajo para el éxito. Un primer paso importante para las TI y el negocio es salirse de “la trampa del ‘cómo’”, y la buena noticia es que no demora mucho.

La mayoría de nosotros hemos tenido la conversación en el auto “¿por qué vamos por aquí?” y eso es el resultado de personas que se apegan al “cómo” llegan a un destino favorito cuando rara vez importa “cómo” logran el objetivo de llegar a tiempo. No es que las personas sean estúpidas, es simplemente que a menudo revestimos el “cómo” hacemos las cosas de manera que empieza a enmascarar “qué” tenemos por objetivo, lo cual nos hace difícil pensar en cualquier otra manera de conseguirlo.

En ningún otro lugar es más común “la trampa del ‘cómo’” que en el lugar de trabajo y la mejor manera de ilustrarlo es a través de ejemplos. Si va a tratar de recopilar requisitos de negocio para una parte específica de una organización, y sin saber nada en absoluto acerca de dicha organización, usted decide acercarse a una persona junto a la máquina de fax que está enviando un fax y le pregunta “qué” está haciendo. La respuesta más probable que recibirá es “Estoy enviando un fax” y en esa situación es probable que la mayoría de las personas tenga más preguntas como “¿Enviar un fax es parte del trabajo que realiza? ¿Tiene que enviar un fax para finalizar correctamente su trabajo?” y las respuestas más probables sean “sí”, lo cual llevará a que la persona capte “enviar un fax” como requisito.

Pero no lo es. El requisito, lo “que” esa persona está haciendo en este caso es algo más parecido a “comunicar estado” o “confirmar orden” y “cómo” lo está haciendo es con la máquina de fax. De manera que si vuelve a la persona que desenmarañó el “qué” del “cómo” y pregunta “cómo” se logra, el trabajador normalmente verá que no importa, y con

ello ya ha transformado la conversión acerca de los requisitos. Los “qué”que conforman los requisitos de la organización son lo que llamamos sus capacidades de negocio y capturar las capacidades de negocio es una manera eficaz y eficiente para sacar a las personas de “la trampa del ‘cómo’” y ése es un primer paso para llegar a los diagramas térmicos que llamamos mapas de actividad.

El mapa de rendimiento de valor

Entonces, ¿cuál es el primer paso para salir de “la trampa del ‘cómo’”? Las organizaciones de gran tamaño constan de miles de capacidades de negocio y con el tiempo ese inventario de capacidades de negocio debe afinarse, pero ahora una organización debe identificar al menos una de dos cosas:

Identificar las capacidades de negocio que poseen el mayor valor de negocio, según las definen tres pruebas medidas de igual manera (y como ejemplo, la capacidad de negocio “pagar a los empleados” reprueba esas tres pruebas; es necesaria, debe realizarse correctamente y estar en cumplimiento, pero reprueba en las tres):

¿Contribuye a la marca o identidad de la organización en términos de por qué clientes, asociados y empleados

hacen negocios con usted? ¿Es una de las cosas que las personas asocian con su organización? (puede ser sí/no, alto/medio o 1 a 5) ¿Se vincula el rendimiento de este trabajo directamente con un indicador de rendimiento clave organizacional?

(Sí/No) ¿Existe valor al mejorar el rendimiento de esta capacidad de negocio particular (Sí/No)?

Identificar las capacidades de negocio que tengan el menor valor de

negocio. Aunque puede parecer sorprendente, aquí es donde surgen muchas de las mejores oportunidades para reducción de costos, consolidación y subcontratación. De manera que mire el trabajo y quite los verbos que impliquen “cómo”; a continuación el gráfico de una empresa de seguros que tiene que crear cuotas de seguro ayuda a ilustrar la identificación de este tipo de verbos.

ello ya ha transformado la conversión acerca de los requisitos. Los “qué”que conforman los requisitos de

Por otro lado, fíjese que el verbo “Automatizar” a la izquierda apunta a la derecha con “Ninguno”, ello porque automatizar no es un verbo “cómo” ni “qué”, es una descripción secundaria de un verbo “cómo” y debe usarse con precaución en estos análisis.

A partir de aquí, el próximo paso sería documentar la vista de las capacidades de negocio, los “que” para el trabajo que conforma la creación de una cuota de seguro:

Esto por sí solo no va a sorprender a muchas personas en una organización, pero cuando

Esto por sí solo no va a sorprender a muchas personas en una organización, pero cuando pregunta sobre el valor de negocio de cada bloque de trabajo, incluido el elemento principal “Crear cuota” para una cuota de seguro, y luego también pregunta cómo funciona cada uno, puede colorear cada capacidad de negocio, en que el sombreado en rojo (rosado y rojo) son banderas para llamar su atención (valor alto y rendimiento deficiente en este caso) mientras que el sombreado en verde sugiere lo contrario (menor valor, buen rendimiento).

Aquí es donde la conversación comienza a ponerse significativamente más objetiva e interesante. Ahora puede preguntar

Aquí es donde la conversación comienza a ponerse significativamente más objetiva e interesante. Ahora puede preguntar con objetividad qué capacidades de negocio secundarias provocarán que el elemento principal rinda mejor, y en este caso, en que el elemento principal tiene un color amarillo “Completar” que indica valor de negocio medio, sólo porque el elemento secundario “Crear certificado” es de alto valor y el de menor rendimiento, puede ignorar ese problema porque el elemento principal no es muy valioso. Aquí es donde aparece el gran impacto de realizar un análisis de capacidades de negocio, el cual abre la puerta a priorización de negocio más objetiva, la cual luego conduce a la maximización de una oportunidad como cloud computing. Pero no nos adelantemos.

Cómo usar mapas de actividad como información para los análisis de priorización

En nuestra analogía de reparar un avión mientras vuelo, destacamos que es poco práctico reparar todas las cosas de una vez mientras todavía se está haciendo todo el trabajo. Debemos concentrarnos en los problemas más importantes para maximizar nuestros resultados. Sólo después de haber priorizado los problemas, debemos desarrollar soluciones y definir su alcance.

En la Sección 1, analizamos cómo salir de “la trampa del ‘cómo’” mediante modelado de capacidades y mapas de actividad. El mapa de actividad presenta su negocio en términos de lo “que” y muestra el valor de negocio y rendimiento para cada capacidad de negocio. Un aspecto crítico en el desarrollo de estos mapas de actividad es que tanto las personas de negocio como de tecnología deberían haber contribuido. De manera que ya iniciamos la conversación. ¿Cómo usamos los mapas de actividad en nuestros análisis de priorización?

Priorización

La priorización es un desafío. El mapa de actividad literalmente presentar un panorama general, una visión integral que compartir mientras se toman decisiones de priorización. Existen diversas consideraciones al priorizar sus esfuerzos e inversiones. La mayoría de las consideraciones cae dentro de una de tres categorías:

Mejorar el rendimiento

Reducir los costos

Abordar riesgos de negocio

Primero, ¿cómo pueden los mapas de actividad mostrarnos dónde invertir para mejorar el rendimiento? Revise las capacidades principales. Identifique aquellas capacidades de negocio que sean las más valiosas pero con un rendimiento deficiente. Esto muestra la brecha de rendimiento de valor donde la inversión derivará en un mejor rendimiento para la organización. Esto incluye identificación de posibles capacidades nuevas de negocio, como cloud computing. Éstos son puntos destacados en su mapa de actividad en que (valor) completo y rendimiento (borde) están ensombrecidos con rojo. Un punto menor de clarificación, en realidad no importa cuál es el color completo frente al color del borde, pero somos coherentes aquí para evitar confusión en este artículo. Los puntos destacados revelan los vacíos en rendimiento más importantes. Estas áreas requieren atención e inversión para mejorar el rendimiento y normalmente deberían ser sólo el 10 a 20% de la lista. Muy rápidamente, al “escuchar” a los propietarios y profesionales del trabajo hemos priorizado objetivamente nuestra lista de capacidades de negocio principales a sólo este puñado de capacidades críticas.

Ahora debemos definir el alcance de nuestros requisitos. Mire detenidamente cada capacidad de negocio “principal” de la lista priorizada para encontrar la(s) capacidad(es) de negocio “secundarias” que requieren mayor atención. En los términos más simples, esto se trata de causalidad: ¿qué elemento secundario tiene la mayor influencia en el rendimiento del principal? Nos centraremos en el rendimiento. ¿Por qué? La mayoría de las capacidades de negocio se pueden clasificar en una de tres maneras:

Valor agregado

Control

Soporte técnico

Normalmente, sólo el valor agregado contribuye directamente al valor (y bastante a menudo son la “causa” del rendimiento de su factor principal). Las capacidades de control y soporte técnico son necesarias para garantizar que las capacidades de negocio de valor agregado se realizan a gran nivel. Un rendimiento deficiente en cualquiera de estos tipos de capacidades de negocio secundarias podría llevar a un rendimiento deficiente a nivel de elemento principal. Por otro lado, por más importante que sea descubrir las causas del rendimiento, la mayoría de las organizaciones tiene que partir por el nivel de afirmación (donde no existe certeza absoluta respecto de la “causa” del rendimiento), pero en nuestra experiencia, como existe mucho conocimiento y experiencia en las organizaciones (a la espera de ser descubierto con una lente como ésta), las afirmaciones tienden a ser muy precisas.

Uso del mapa de actividad de rendimiento de valor

El mapa de actividad también revela áreas donde podemos agregar valor a través de la reducción de costos, la consolidación y la subcontratación. La mejor manera de hacer eso es la identificación de las capacidades de negocio con el menor valor de negocio. Éstas son las capacidades que aparecen completadas en verde completado (valor) en su mapa de actividad. Si su rendimiento es bueno o no: son de poco valor, no son básicas, así que considere recibirlas en subcontrato de alguien que pueda hacerlo mejor, alguien para quien sea una competencia básica a fin de que se pueda concentrar en lo que es más valioso para su organización. Si su rendimiento es bueno o incluso demasiado bueno: busque mejorar la eficacia, reduzca costos y restrinja su enfoque a lo que es más importante. Además, considere la consolidación de servicios. ¿Realmente hay necesidad de tener varios sistemas y departamentos para “pagar a los empleados”? Esto es mucho más fácil de ver una vez superada “la trampa del ‘cómo’”y visto el “qué” en términos de propósito y resultado. Y como hemos determinado que esto es necesario pero con un valor de negocio menor, los detalles de la implementación son menos críticos; literalmente no importa quién lo haga (o cuántas personas lo hagan), dónde suceda, cuál sea la tecnología o cuál sea el proceso siempre que cumpla los objetivos de rendimiento (incluido el cumplimiento).

Su mapa de actividad proporciona además un marco para abordar el riesgo. Analizamos ese punto en mayor detalles más adelante en la Sección 3.

Hemos presentado un enfoque para usar su mapa de actividad y priorizar los problemas y definir su alcance, mediante la lente “qué” para informar las necesidades de su organización. El siguiente paso es considerar el estado nuevo o futuro del “cómo”. Esto requiere diálogo, análisis disciplinado y solución de problemas. El resultados es ahora una lista de iniciativas que abordan los problemas principales y logran el estado futuro. Es posible que esta lista de iniciativas implique una mejora del proceso, entrenamiento o tecnología. En la siguiente sección, presentamos cómo SOA, cloud computing y SaaS ofrecen nuevas herramientas para proporcionar soluciones a menudo superiores.

Es importante comprender que los problemas y las soluciones son diferentes. Esto suena muy claro pero puede volverse confuso en el curso del análisis. En esta sección, hemos descrito un análisis de arriba abajo. Nuestra lista priorizada de problemas según se describe en esta sección se vuelve una entrada de importancia en la priorización de soluciones. Esto se hace más importante cuando reconocemos que otras iniciativas ya están en juego o en consideración.

¿Cómo priorizamos su lista existente de iniciativas? El mapa de actividad nos ayuda a relacionar problemas con soluciones. Identifique la capacidad de negocio que cada solución está diseñada para mejorar. ¿Aborda un punto crucial? Recuerde, éstas son áreas que normalmente requieren un mejoramiento del rendimiento. De manera que si el enfoque de las iniciativas es reducir los costos, nos conviene examinarlo más detenidamente; por ejemplo, aunque la reducción de costos es buena, ¿va a entregar suficiente valor para justificar la inversión y la distracción que provoca? ¿Estamos seguros de que no vamos a reducir costos en una capacidad de negocio de valor; y si es así, estamos seguros que es una movida inteligente? Es posible que otra aborde una capacidad de negocio ecológica (en términos de valor de negocio). Buscamos reducir los costos aquí. Si el enfoque de la iniciativa es mejorar el rendimiento, nos conviene revisar nuestro caso de negocio. ¿Realmente necesitamos tener la capacidad de “pagar a los empleados” en cinco minutos en vez de un día? Ciertamente hay áreas más importantes para mejorar el rendimiento.

El mapa de actividad proporciona información importante para el análisis de priorización. Podemos identificar y priorizar esas capacidades de negocio que tienen problemas de rendimiento, costo o riesgo y que requieren atención. Un mayor análisis de capacidades de

negocio ayuda a determinar el alcance del problema. Ahora bien, sabemos hacia dónde centrar nuestra atención (y hacia dónde no) y podemos considerar cómo usar SOA, SaaS y cloud computing para ofrecer soluciones superiores.

En el resumen ejecutivo, hablamos acerca de los objetivos contradictorios de unificación y maximización de oportunidades. En nuestra experiencia, el uso de los mapas de actividad es una manera de conducir las conversaciones a un nivel más táctico o granular para que las compensaciones entre unificación y maximización de oportunidades se puedan evaluar en términos claros y objetivos, en lugar de hacerlo de manera individual, tipos más subjetivos de conversaciones que se alargan ante la ausencia de algo tan objetivo.

Identificar el alcance mínimo en términos de lo que se requiere entregar para alcanzar la estrategia de negocio puede mejorar significativamente el retorno de negocio en su SOA, SaaS y esfuerzos de nube.

Oportunidades y riesgos de SOA, SaaS y cloud computing para el negocio

Primero echemos un vistazo a lo que significan estos términos. SOA, o Arquitectura orientada a servicios, es un estilo arquitectónico o manera de pensar respecto del negocio y las TI basado en componentes de acoplamiento flexible, de caja negra orquestados para entregar un nivel bien definido de servicio. SOA es arquitectura, no es tecnología: muchos tipos diferentes de tecnologías pueden admitir una arquitectura SOA así como muchas variedades de materiales de construcción pueden cumplir los requisitos de arquitectura de un edificio.

SaaS, o software como servicio, simplemente se refiere a un servicio habilitado por software que se ofrece a través de Internet. SaaS es una manera de entregar soluciones de tecnología que cumplan la visión de arquitectura de SOA. Normalmente SaaS se ofrece a base de una suscripción (un costo operacional) frente a una inversión de capital por adelantado para la licencia de software y la infraestructura de TI.

Cloud computing, en su forma más pura, es simplemente el uso de tecnología informática a través de Internet. Permite a usuarios y desarrolladores utilizar recursos informáticos sin conocimiento o control de la infraestructura de TI para esos recursos. Los recursos se virtualizan y proporcionan por Internet.

Este modelo de software consumido como un servicio lo puede entregar el proveedor al cliente de muchas maneras diferentes; al interior del entorno de TI in situ del proveedor, en un entorno hospedado virtualizado, en un entorno de nube, etc. No es necesario que SaaS se entregue a través de la nube para que se considere como tal (aunque la nube tiene un sentido de negocio para muchos proveedores de SaaS, ya que les permite concentrarse en la creación de valor de negocio en sus aplicaciones frente a la creación y mantenimiento de infraestructura de TI).

Ventajas de SOA, SaaS y cloud computing

SOA, SaaS y cloud computing permiten que su grupo de TI brinde apoye el negocio de cuatro maneras::

  • 1. Mejore la eficiencia e impulse el enfoque: SOA es la primera oportunidad que hemos tenido en que, en su mayor parte, se puede hablar de implementación de tecnología al mismo nivel de pensamiento que el negocio. Comprender y crear de manera más precisa lo que el negocio necesita en medidas cuantificables y medibles conduce a una entrega rentable. La entrega en SOA a través de SaaS y cloud computing ayuda a las organizaciones a concentrarse en lo más importante: capacitar a la administración de TI para que entregue servicios y valor a los clientes (dentro y fuera de la organización) de

manera eficaz. Mientras la mayoría de las organizaciones gasta importantes recursos en crear y mantener su propia infraestructura tecnológica, las organizaciones que aprovechan cloud computing no tienen que concentrar preciosos recursos financieros, de desarrollo y TI en implementar, administrar y escalar infraestructura tecnológica.

  • 2. Mejore la agilidad: cuando se diseñan e implementan de manera eficaz, los servicios tienen un alto nivel de interoperabilidad. Esto significa que se pueden componer con otros servicios para entregar nuevos servicios. Se pueden entregar nuevas soluciones ya sea al integrar servicios existentes de proveedores externos o al reunir plataformas anteriormente segregadas. La capacidad para federar plataformas históricamente segregadas y para componer nuevos servicios que aprovechen los servicios existentes permite que los equipos de administración y desarrollo de TI responda rápidamente a cambios en las necesidades del negocio y los clientes. Esto deriva en la capacidad de llevar una idea al mercado más rápido. La infraestructura se puede asignar rápidamente para satisfacer las crecientes demandas de tráfico/adopción mediante solicitud simple. Esto proporciona la capacidad de escalar hacia arriba y abajo sin problemas y sin los complejos procedimientos operacionales así como la capacidad para actualizar un servicio sin quitarlo. Esto es mucho más escalable que las soluciones tradicionales in situ que implican procuramiento, instalación, pruebas y entrega de infraestructura para hardware, software, red y almacenamiento.

  • 3. Entregue mayor rendimiento y disponibilidad: una verdadera plataforma de nube entrega centros de datos, recursos y plataformas distribuidos geográficamente a nivel mundial que sobrepasan en escalabilidad, rendimiento, disponibilidad, redundancia, procedimientos recomendados y seguridad lo que cualquier organización puede alcanzar razonablemente con sus propios recursos. Con sólo usar la nube, el negocio se puede concentrar en lo que es más importante, los proveedores de cloud computing pueden proporcionar lo mejor en administración de servicios y soluciones altamente disponibles que empresas individuales no pueden ofrecer.

  • 4. Ayude a las organizaciones a equilibrar flexibilidad y control: una plataforma de nube debe capacitar a las organizaciones para que seleccionen el mejor modelo de implementación para sus aplicaciones (ya sea hospedadas en sus propios servidores, hospedadas por un proveedor de nube o una combinación de ambos, lo cual ayuda a los desarrolladores y administradores de servicios a combinar recursos locales y de nube para solucionar problemas de negocio. Los beneficios de esta tecnología proporcionan nuevas oportunidades para el negocio. Primero, es posible que las empresas planeen proteger y hacer crecer sus ingresos al mejorar o ampliar ofertas a través de la federación de sistemas heredados. Por ejemplo, una empresa de servicios financieros ha podido adquirir nuevos clientes porque es capaz de presentar soluciones consolidadas de las mejores soluciones no disponibles en el mercado. Lo pueden hacer no al escribir sistemas completamente nuevo, sino al federar aplicaciones existentes a través de una implementación de SaaS. Segundo, las empresas pueden mejorar su agilidad de negocio al ensamblar ofertas dirigidas o agregar rápidamente nuevas ofertas a través de asociaciones e interoperabilidad. Por último, las empresas pueden ir reduciendo de a poco los costos de TI al mover capacidades y entornos relativamente costosos a la nube y al eliminar implementaciones redundantes de capacidades dentro de la empresa.

Riesgos de SOA, SaaS y cloud computing

Además de las nuevas oportunidades, el nuevo enfoque de tecnología y arquitectura expone los riesgos en juego al diseñar, crear y entregar servicios de manera eficaz.

  • 1. Riesgos de negocio: el conflicto entre unificación y maximización de oportunidades resalta la importancia de la identificación eficaz de límites y enfoque de los esfuerzos de servicio. No tener un enfoque de beneficios de negocio específicos para cada servicio adquirido o desarrollado en realidad puede aumentar los costos sin entregar el esperado beneficio de negocio. Por ejemplo, crear o adquirir una solución de SaaS que proporcione

una amplia gama de capacidades de administración de recursos humanos no sería valioso a menos hubiera capacidades con bajo rendimiento o los nuevos servicios reportaran drásticas mejorías en los costos. A menos que la solución ayude a proteger y hacer crecer los ingresos, mejorar la agilidad de negocio o reducir los costos de TI, puede que no sea el área adecuada del negocio sobre la cual concentrarse. El mapa de actividad proporciona una manera comprobada de trabajar con la organización para mitigar los riesgos de negocio.

  • 2. Riesgos de diseño: diseñar servicios que no cumplan con la promesa de componentes de acoplamiento flexible y caja negra orquestado para entregar un nivel bien definido de servicio limitará los eventuales beneficios que el negocio puede alcanzar. Crear servicios que no se alinean con el modelo de negocio limitará el alineamiento de negocio de TI. No seguir los principios de diseño que apoyan la interoperabilidad, la autonomía, el acoplamiento flexible y la capacidad de composición limitará la agilidad, la disponibilidad y el rendimiento potencial de los servicios. Considere lo estrechamente interconectada que es la capacidad de negocio con otras. Mientras mayor sea el nivel de interconectividad ya sea a nivel de negocio o de implementación de tecnología, más difícil será crear un servicio autónomo. Además, comprenda si hay requisitos de cumplimiento importantes al exponer una capacidad de negocio como servicio. Por ejemplo, los servicios que obtienen acceso a datos PCI se pueden diseñar para mejorar el nivel de cumplimiento con leyes de privacidad, pero si esto no se considera al exponer estos servicios puede haber problemas. Como parte de la producción del mapa de actividad, se deben evaluar los riesgos de negocio y tecnología asociados con las capacidades.

  • 3. Riesgos de desarrollo: existen nuevas destrezas y procesos de desarrollo asociados con la creación adecuada de servicios. Para obtener los beneficios del negocio y la tecnología de SOA, SaaS y cloud computing, los equipos de desarrollo deben contar con destrezas adecuadas en análisis, diseño y desarrollo. Existen nuevas herramientas, nuevos patrones de implementación y nuevos riesgos de implementación que se deben comprender y mitigar. Al asegurar el entrenamiento adecuado, los entornos y las asociaciones se establecen tempranamente para definir las competencias adecuadas y la infraestructura necesarias para mitigar los riesgos de desarrollo.

  • 4. Riesgos de entrega: por último, implementar SaaS y cloud computing requiere una inversión importante en infraestructura, nuevos procesos tecnológicos y nuevas técnicas de desarrollo. Aprovechar la opción de cloud computing puede reducir drásticamente los costos iniciales al tiempo que se reducen los riesgos asociados.

Un estudio de caso de cloud computing

Ahora que hemos hablado del modelado de capacidades de negocio y de los mapas de actividad y lo útiles que pueden ser al ayudar a priorizar decisiones relacionados con unificación y maximización de oportunidades, queremos avanzar por algunos otros aspectos específicos de una empresa real que ha concretado algunas de las ventajas de una estrategia de cloud computing similar a la que analizamos en la Sección 3.

En nuestro estudio de caso, tenemos una empresa real con base en la India con miles de empleados que ofrece servicios de desarrollo de software que ayuda a las empresas y a los clientes del sector público a mejorar sus ofertas. A esta empresa la llamaremos Contoso, y si en algún punto es importante conocer su nombre de verdad y las personas citadas, háganoslo saber y podemos preguntarles para ver si no les incomoda compartir su nombre real.

Resumen de caso

En este caso, Contoso eligió usar la plataforma Windows Azure™ de Microsoft para entregar sus aplicaciones por Internet a través del centro de datos de Microsoft®. Vale la pena considerar en este punto que aunque existen otras opciones de tecnología para soluciones

de cloud computing, no podemos decir si otras soluciones entregarían el mismo éxito que Contoso alcanzó en esta situación específica.

Ventajas

Implementación de aplicaciones simplificada

Escalabilidad flexible y rentable

Reducción de los costos

Desarrollo rápido e inexpresivo

Mejoramiento de servicios específicos de la industria (de gobierno en este caso)

Situación

Con su oficina central en Puna, India, y con operaciones en Asia, Europa y Norteamérica, Sistemas Contoso proporciona servicios de desarrollo de productos de software a una amplia gama de clientes en los sectores de telecomunicaciones, ciencias biológicas, infraestructura de datos y gobierno. Con más de 6.000 empleados, Sistemas Contoso ofrece servicios que ayudan a sus clientes a mejorar sus ofertas mientras reduce los costos generales.

Una de las ofertas principales de los Sistemas Contoso es una solución de gobierno electrónico que ofrece a gobiernos regionales y locales y agencias la capacidad de entregar servicios e interactuar con ciudadanos y empresas de manera electrónica a través de cuatro aplicaciones basadas en la Web que la empresa llama su conjunto de aplicaciones de gobierno electrónico. El conjunto de aplicaciones forma una solución cohesiva para servicio público y abarca resolución de quejas, caminos e infraestructura, censos y sistemas de administración de elecciones.

El sistema de Reparación de quejas permite que los ciudadanos registren y hagan un seguimiento de informes de incidentes en cualquier departamento gubernamental. Con la aplicación Caminos e infraestructura, los ciudadanos pueden informar problemas relacionados con caminos e infraestructura, al identificar ubicaciones específicas con una herramienta de mapas en línea. Los hospitales y médicos registrados, y otro personal autorizado puede usar la aplicación Departamento de censo para registrar nacimientos y fallecimientos. La aplicación Oficina de elecciones interactúa con el Departamento de censo para mantener las listas de votantes al día y ayudar a las autoridades a administrar y programar las elecciones.

Los Sistemas Contoso desarrollaron el conjunto de aplicaciones de gobierno electrónico con el software de base de datos Microsoft® ASP.NET y Microsoft SQL Server®, con lo cual ofrecen los componentes como aplicaciones de software basado en cliente, hospedado en el centro de datos propios del cliente. Sin embargo, la empresa descubrió que su capacidad para promover su solución de gobierno electrónico a menudo se veía limitada por las capacidades tecnológicas de los gobiernos locales.

En India, muchos gobiernos locales y regionales carecen de la infraestructura de TI necesaria para implementar en su totalidad las aplicaciones de gobierno electrónico de Sistemas Contoso como soluciones de software locales. Incluso en lugares donde gobiernos o agencias tienen fondos disponibles para desarrollar un entorno de servidor de alto rendimiento, es posible que carezcan de la experiencia en tecnología para administrar adecuadamente los problemas de redes, redundancia e infraestructura que pueden agregar costos adicionales. Además, tal vez no deseen la capacidad o experiencia en tecnología, quizás necesiten en su lugar concentrarse en entregar servicios de gobierno.

Sistemas Contoso sabía que su solución mejoraría la capacidad de proporcionar servicios del gobierno. La empresa necesitaba una manera para entregar su conjunto de aplicaciones de gobierno electrónico a gobiernos locales sin exigirles que inviertan demasiado en

infraestructura y personal de TI nuevos. Deseaba ofrecer a los clientes una manera de escalar la solución hacia arriba y abajo, agregar o eliminar aplicaciones de componentes, capacidad informática o almacenamiento de datos según sea necesario: de manera rápida, fácil y rentable.

La empresa deseaba proporcionar a los potenciales clientes que aún no tenían una infraestructura de alto rendimiento una manera de probar la solución y quería ofrecerles una manera de pagar solamente por lo que usaron, según lo usaron. Al mismo tiempo, Sistemas Contoso ya había hecho una inversión importante al desarrollar su conjunto de aplicaciones de gobierno electrónico; necesitaba un nuevo modelo de entrega que pudiera desarrollarse de manera eficaz, sin tener que modificar la ingeniería de la solución de manera significativa.

Solución

Sistemas Contoso decidió desarrollar una solución que hospedara su conjunto de aplicaciones de gobierno electrónico en Internet a través de un centro de datos: un sistema de entrega de aplicaciones a veces conocido como “cloud” computing. La empresa eligió la plataforma Windows Azure™, una plataforma de servicios de nube a escala de Internet que se hospeda en los centros de datos de Microsoft, gracias a su alta disponibilidad y escalabilidad de confianza para satisfacer las necesidades de uso.

Sistemas Contoso está usando el sistema operativo de servicios de nube Windows Azure, el entorno de desarrollo, hospedaje de servicios y administración de servicios para la plataforma Windows Azure, para proporcionar capacidad informática y de almacenamiento a petición para sus aplicaciones web. Usará la base de datos SQL Azure™ de Microsoft como un servicio para almacenar y administrar datos de aplicaciones y los usuarios de las aplicaciones podrán almacenar archivos e imágenes con la función Almacenamiento de blobs de la plataforma Windows Azure. Con Servicios en directo, pueden buscar información con Bing™ e identificar ubicaciones con mapas Bing para empresas.

Además de los cuatro componentes centrales del conjunto de aplicaciones de gobierno electrónico, Sistemas Contoso implementará su propio Sistema de aprovisionamiento de inquilinos (TPS) en el entorno de Windows Azure. Con TPS, Sistemas Contoso aprovisionará componentes específicos a clientes individuales (o aplicaciones inquilinas). Sistemas Contoso implementará cada aplicación inquilina en cuentas de proyectos individuales de Windows Azure, con lo cual aislará de manera automática cada aplicación inquilina de las demás y mejorará la seguridad y la escalabilidad para cada inquilino.

Con la solución de gobierno electrónico implementada en la plataforma de Windows Azure, los gobiernos locales ahora pueden pagar sólo por las aplicaciones que necesitan en la forma de una suscripción mensual, en lugar de invertir por adelantado en una infraestructura local. Sistemas Contoso usará TPS para administrar la auditoría y la facturación para suscriptores individuales y los clientes podrán proporcionar comentarios a los administradores de sistemas si desean modificar su suscripción. “Desde la perspectiva del cliente, tienen mucha más flexibilidad”, señala un administrador ejecutivo de proyectos de Sistemas Contoso. “A medida que avanzan, pueden comprar fácilmente aplicaciones adicionales o descontinuar aplicaciones que no necesitan”.

Sistemas Contoso usa SQL Azure para almacenar la base de datos de aplicaciones de gobierno electrónico y una base de daros de configuraciones. Detalles de inicio de sesión y adjuntos cargados por usuarios se almacenan mediante las características de Tablas de almacenamiento de Windows Azure y Almacenamiento de blobs. El sistema usa la característica de Almacenamiento de blobs de Windows Azure para conectar aplicaciones

dentro del conjunto de aplicaciones de gobierno electrónico y compartir datos entre aplicaciones.

Como Sistemas Contoso desarrolló su original solución de gobierno electrónico con ASP.NET and SQL Server, los desarrolladores de la empresa pudieron mover el conjunto de aplicaciones a la plataforma Windows Azure sin mucho esfuerzo. Por ejemplo, los desarrolladores usaron scripts de SQL para mover el esquema existente de SQL Server a la base de datos de SQL Azure. “Como habíamos trabajado con software SQL Server tradicional a nivel local, pudimos ahorrar una cantidad importante de tiempo en la migración de aplicaciones existentes a SQL Azure”, señala un responsable técnico de Sistemas Contoso. “Pudimos minimizar nuestra curva de aprendizaje y realizar la transición general sin contratiempos”.

Con la plataforma Windows Azure, Sistemas Contoso puede ofrecer sus aplicaciones de gobierno electrónico a gobiernos locales mientras reduce sus propios gastos capitales y los de sus clientes. Los gobiernos pueden probar e implementar rápidamente las aplicaciones y escalar hacia arriba y abajo según sea necesario, y pagar sólo por lo que necesitan cuando lo necesitan. Debido a la facilidad de desarrollo, Sistemas Contoso sacó rápidamente al mercado su nuevo modelo de entrega de soluciones y ahora puede ofrecer sus aplicaciones de gobierno electrónicos a más clientes.

Beneficio de Azure: implementación de aplicaciones simplificada

Al hospedar su solución en Internet a través de los centros de datos, Sistemas Contoso puede implementar su conjunto de aplicaciones de gobierno electrónico para cliente que no tienen sus propias infraestructuras de servidor y la empresa puede ofrecer una solución hospedada sin tener que configurar la suya propia. Los posibles clientes pueden evaluar la solución sin tener que implementar la aplicación a nivel local y Sistemas Contoso puede aprovisionar aplicaciones para clientes nuevos aproximadamente 50 por ciento más rápido con este nuevo sistema.

“Con Windows Azure, podemos implementar las aplicaciones para nuevos clientes muy fácilmente, mientras reducimos nuestra sobrecarga”, indica un administrador ejecutivo de proyectos. “Las ejecuciones de evaluación son muy sencillas. Un cliente puede simplemente suscribirse como usuario de evaluación por un mes y eso es todo”.

Beneficio de Azure: flexible, rentable y escalable

Como los centros de datos de Microsoft ofrecen alta disponibilidad y escalabilidad, Sistemas Contoso puede actualizar configuraciones para clientes de manera fácil y rápida, pudiendo agregar o eliminar componentes de su solución de gobierno electrónico por la necesidad de un cliente. Y con la vasta eficacia informática que ofrece la plataforma Windows Azure, los clientes tienen la capacidad de administrar cargas variables sin una inversión total de capital.

En lugar de invertir en capacidad de servidores para cargas intensas y luego subutilizar esa capacidad durante otros períodos, los clientes pueden pagar sólo por la capacidad que necesitan según la necesitan. “Por ejemplo”, señala otro empleado de Contoso, “si se avecina una elección, podemos agregar más instancias de la aplicación Oficina de elecciones de un cliente, ofrecerle más eficacia informática y él sólo tendrá que pagar por ello durante ese período”.

Beneficio de Azure: reducción de los costos

Los gobiernos que se suscriben a la solución de gobierno electrónico de Sistemas Contoso podrán administrar sus costos de manera más eficaz al minimizar su inversión de capital,

reducir sus costos de operación al evitar sobrecarga de infraestructura-mantenimiento y pagar sólo por lo que uso y cuando lo usa.

Para un conjunto dado de características en el conjunto de aplicaciones de gobierno electrónico, un cliente podría gastar U.S. $24,000 en costos capitales y llegar a los $60,000 en sobrecarga de mantenimiento annual. Con Azure, se puede olvidar por completo de gastos capitales y de mantenimiento, al pagar únicamente tarifas por servicio que no superarían los U.S. $10,000 al año.

“Con Windows Azure, nuestros clientes no tienen que invertir por adelantado en infraestructura o servicios de hospedaje”, asegura un administrador ejecutivo de proyectos. “Y como pueden pagar según lo que necesitan, les es mucho más fácil armar su presupuesto”.

Como Sistemas Contoso puede aprovisionar y administrar la solución en la plataforma de Windows Azure, aumentará la rentabilidad y reducirá los costos hasta en un 70 por ciento ya que ofrece su conjunto de aplicaciones de gobierno electrónico a más clientes. “Al entregar nuestra solución de gobierno electrónico a través de la plataforma Windows Azure, obtendremos más negocio de más clientes”, señala un administrador ejecutivo de proyectos. “Y agregar, administrar y facturar clientes a través de la plataforma aumentará la eficiencia y reducirá los costos”.

Beneficio de Azure: desarrollo rápido y económico

Como pudieron aprovechar destrezas existentes, los desarrolladores de Sistemas Contoso gastaron menos tiempo en aprender a trabajar con la plataforma Windows Azure, lo cual redujo el tiempo que tomó implementar la solución de gobierno electrónico con ella. Y como no tuvieron que configurar una infraestructura para apoyar la implementación, pudieron concentrarse en la lógica y el diseño de negocio de las aplicaciones. “Sin Windows Azure, podríamos haber gastado un 25% más de tiempo en el desarrollo del proceso”, señala un administrador ejecutivo de proyectos.

Resumen

Al suscribirse a las soluciones de gobierno electrónico de Sistemas Contoso, los gobiernos locales de la India y de cualquier otra parte pueden proporcionar servicios gubernamentales e interactuar con los contribuyentes de manera más eficaz. Pueden proporcionar acceso conveniente a servicios, dotar a los ciudadanos de información y mejorar la transparencia y la responsabilidad a nivel de gobierno, mientras reducen costos, simplifican las operaciones y mejoran la eficiencia.

Conclusión y recomendaciones

Contoso es un excelente ejemplo de una organización que ha concretado una implementación simplificada de aplicaciones, una escalabilidad flexible y rentable, costos reducidos y desarrollo concentrado con servicios de nube en esta instancia mediante la tecnología Microsoft. Tal como demostraron, SOA, SaaS y cloud computing introducen nuevas oportunidades tecnológicas que pueden producir nuevas oportunidades para el negocio. Junto con estas nuevas oportunidades tecnológicas viene un nuevo conjunto de riesgos técnicos y de negocio que deben administrarse para asegurar que las oportunidades técnicas y de negocio se alcancen

Tal como hemos demostrado durante más de seis años de trabajo, el análisis de las necesidades del negocio (a través del análisis de las capacidades de negocio y mapas de actividad y priorización) se integra a la conversación de TI en el nivel de arquitectura técnica. Este punto lo dejamos claro en el artículo de junio de 2008 que escribimos en conjunto Harvard Business Review, “The Next Revolution in Productivity”; “Con el mapa de

actividades en mano, los administradores tendrán mucha información (o la mayor parte) que necesitan para diseñar un nuevo modelo operacional”.

De manera que cloud computing ha ofrecido nuevo beneficios en cuanto a velocidad, costo y escalabilidad. El modelado de capacidades de negocio ha ayudado a alinear tecnología con la dirección estratégica de negocio. En conjunto, ambos elementos prometen permitir que una organización pase de SOA a SaaS para optimizar el retorno de la inversión y el tiempo de valor. Así que nuestras recomendaciones específicas para el siguiente paso realmente constan de dos rutas ampliamente paralelas:

Inicie el análisis de capacidades de negocio

Éste es el primer paso para obtener los mapas de actividad e impulsar análisis acerca de la unificación y la maximización de oportunidades. Es muy probable que su organización ya emplee métodos complementarios como la reingeniería de procesos, Six Sigma, Lean u otro, así que recomendamos que empiece con capacidades en un área pequeña y contenida para que pueda comprender en qué se diferencian de estos otros métodos y cómo se complementan Existen recursos disponibles para ayudarlo con esto, más allá de nuestro artículo de Harvard Business Review y el libro Rethink, así que póngase en contacto con nosotros antes cualquier pregunta o comentario que tenga.

Defina un mapa de ruta de tecnología

Sea claro respecto de qué es la arquitectura técnica actual, cuánto de ella tiene definiciones claras de servicios y luego mire las diversas tecnologías que complementarán las soluciones heredadas existentes, cuando corresponde, pero también ayude a la organización en su ruta de cloud computing de una manera que mejor se alinee con sus objetivos y las necesidades de los clientes. Cuéntenos si tiene preguntas sobre la arquitectura técnica y el concepto de cloud computing.

Mantenga el mapa de ruta

Para cerrar nuestra analogía con la reparación de un avión en pleno vuelo: incluso con las herramientas correctas, necesita una idea bastante clara de cómo reparar el avión mientras sigue en el aire. A medida que progresa a través de las diferentes maneras de transición para aprovechar SOA, SaaS y cloud computing y así ofrecer un valor de negocio que será evidente, identificará diferentes riesgos específicos de cada situación y sus vacíos de rendimiento de valor variarán. No es difícil mantener al día el Mapa de actividad de rendimiento de valor y tal esfuerzo ayudará a mantener una comprensión explícita de lo que es importante para el negocio y por qué. SOA, SaaS y cloud computing son las herramientas correctas y el análisis de capacidades proporciona un mapa claro que puede usarse para clarificar el valor y el riesgo asociado con sus esfuerzos.

actividades en mano, los administradores tendrán mucha información (o la mayor parte) que necesitan para diseñar

Ric Merrifield dirige los esfuerzos de arquitectura de negocio en Microsoft Corporation en Redmond, Washington, y es co-autor de “The Next Revolution in Productivity” junio, 2008, Harvard Business Review. Merrifield también es el autor del libro Rethink – a Business Manifesto for Cutting Costs and Boosting Innovation, FT Press 2009.

Dennis Stevens es director general de Synaptus, una empresa consultora con base en Norcross, GA, y es co-autor de “The Next Revolution in Productivity” junio, 2008, Harvard Business Review. Stevens también co-escribió el informe Cutter Consortium de julio

Rethinking the Agile Enterprise y actualmente escribe Value Driven Agile Adoption: Scaling Agility to the Enterprise para Addison-Wesley con fecha de lanzamiento para fin de este año.

Rethinking the Agile Enterprise y actualmente escribe Value Driven Agile Adoption: Scaling Agility to the EnterpriseContinuidad en el trabajo 2. Cambios en el Rol de TI 3. Perspectiva del cargo 4. Control de datos 5. Integración 6. Beneficiarios de la nube 7. Nube privada 8. Ahorro en costos 9. Clases de nube 10. Comenzando con la nube 11. Máquinas virtuales = computación en la nube 12. Seguridad 13. Flexibilidad Mito Si mi organización utiliza Microsoft Online Services mi trabajo como administrador de Exchange desaparece " id="pdf-obj-22-4" src="pdf-obj-22-4.jpg">

La nube representa la siguiente revolución en la manera en que los servicios de TI serán entregados a las compañías grandes y pequeñas. Como un profesional de TI, debes desempeñar un papel importante mientras que tu compañía hace esta transición. Esto es una oportunidad para definir tu carrera y de agregar valor al negocio a través de tus estrategias y entendimiento táctico sobre la relación de la nube con las metas de la organización. Hay muchas ideas encontradas que rodean la nube y sobre lo que ofrece. Estando más informado, tu puedes ayudar

a otros a una mejor comprensión de los pasos siguientes para permitir que tu organización tome los beneficios de la computación de la nube. La nube puede ofrecer mucho más que ahorros, creando fundamentos para las nuevas ventajas competitivas en tus relaciones con el cliente y socios. Microsoft Cloud Services creó esta página para ofrecerte los recursos que necesitaras para emprender tu viaje al éxito. Puedes comenzar por los hechos verdaderos sobre la nube abajo, o teniendo acceso a varios recursos en la parte derecha de la página.

Empieza YA.

Rethinking the Agile Enterprise y actualmente escribe Value Driven Agile Adoption: Scaling Agility to the EnterpriseContinuidad en el trabajo 2. Cambios en el Rol de TI 3. Perspectiva del cargo 4. Control de datos 5. Integración 6. Beneficiarios de la nube 7. Nube privada 8. Ahorro en costos 9. Clases de nube 10. Comenzando con la nube 11. Máquinas virtuales = computación en la nube 12. Seguridad 13. Flexibilidad Mito Si mi organización utiliza Microsoft Online Services mi trabajo como administrador de Exchange desaparece " id="pdf-obj-22-55" src="pdf-obj-22-55.jpg">

Mito

Si mi organización utiliza Microsoft Online Services mi trabajo como administrador deExchange desaparece

Verdad

El papel del administrador de Exchange no se convierte en obsoleto con la nube. Todavía hay muchas tareas que

se mantienen en las instalaciones. Todavía tienes que manejar los usuarios y sus buzones. El cumplimiento de

políticas de retención de datos, de acuerdo con normativas de industria, así como la implementación de flujos de

trabajo, es responsabilidad tuya.

Mientras algunas tareas no seguirán en las instalaciones, los servicios en la nube te liberan un poco de tiempo para

que te enganches en papeles más estratégicos, proporcionándote nuevas oportunidades.

Verdad El papel del administrador de Exchange no se convierte en obsoleto con la nube. Todavía

Mito

Si mi organización utiliza una Nube pública como Windows Azure, mi rol se convierte menos técnico.

Verdad

Los profesionales de TI se convierten mas esenciales en sus organizaciones cuando estas utilizan una nube pública

como Windows Azure. Windows Azure facilita mover algunas aplicaciones dentro de las instalaciones a la nube,

pero más allá de actualizar y mantener los servidores, todos los otros aspectos de administrar las aplicaciones

siguen en las manos del profesional de TI.

Monitorear, actualizar, integrar con servicios como Directorio Activo, seguridad y el monitoreo de la red – son

tareas requeridas aun en las organizaciones que utilizan los servicios en la nube.

Verdad El papel del administrador de Exchange no se convierte en obsoleto con la nube. Todavía

Mito

Profesional de TI se evapora con la computación en la nube.

Verdad

Las organizaciones pueden mirar a la nube como una oportunidad para ahorrar en hardware y software. Sin

embargo, cualquier ahorro se verá en riesgo por la eliminación del rol del profesional de TI.

Seguirá existiendo la demanda de habilidades en los espacios de seguridad, administración de redes, integración,

directorio activo y administración de infraestructura. El rol delProfesional de TI evolucionará a medida que la

disponibilidad que los ciclos de computación y almacenamiento de redes incremente – eso se dará, así como el rol

del profesional de TI ha evolucionado en el pasado. La pregunta que se deben preguntar es,¿Estoy preparado

para tener un papel mas estratégico dentro de

Mito Profesional de TI se evapora con la computación en la nube. Verdad Las organizaciones pueden

Mito

Mi organización se vera obligada a trabajar con un solo proveedor y perderá el control de su información, si se mueve hacia la nube.

Verdad

La esencia de la nube es su flexibilidad. Una aplicación puede llamar a otra en un servicio en la nube diferente, y la información puede ser almacenada en cualquier sitio, incluyendo tu propia red, sin embargo estar disponible para las aplicaciones de la nube.

Ningún proveedor del servicio en la nube te quita el control completo de tu entorno. Cualquier proveedor de la nube que escojas, su prioridad mas alta es la seguridad de tu información. No debes escoger ninguno que trate tu información como suya.

Mito Profesional de TI se evapora con la computación en la nube. Verdad Las organizaciones pueden

Mito

Problemas de integración se desaparecen cuando las aplicaciones están en la nube.

Verdad

No. Los equipos de TI dedicados a la compatibilidad de aplicaciones e integración, juegan un rol grande para sus organizaciones, igualmente que antes de la nube. Así como algunas aplicaciones se pueden mover

independientemente de otros sistemas existentes, muchas requerirán integración en las instalaciones así como otras aplicaciones de la nube.

independientemente de otros sistemas existentes, muchas requerirán integración en las instalaciones así como otras aplicaciones de
Mito Solo pequeñas empresas pueden obtener el beneficio de ahorro de costos utilizandoComputación en la nube.
Mito
Solo pequeñas empresas pueden obtener el beneficio de ahorro de costos utilizandoComputación en la nube.
Verdad
Los beneficios de la computación en la nube aplican equitativamente para todo tipo de negocios. Muchas compañías
están apostando mucho hoy a la nube. El mismo Microsoft tiene 40 millones de usuarios de sus Servicios en
Línea, incluyendo grandes y pequeñas compañías. También, 10,000 usuarios corporativos están
utilizando Windows Azure, como3m, Siemens y T-Systems.

Mito

Mi compañía puede obtener todos los beneficios de la computación en la nube con una nube “privada” corriendo sobre mi propio hardware.

Verdad

Tu compañía puede beneficiarse de una nube privada. Los puntos para recordar cuando se habla a la gerencia de negocios sobre una nube privada es que aun se es dueño de todo: hardware, software e inclusive; optimización en la responsabilidad gerencial. Esto significa que tienes que administrar la infraestructura y los requerimientos de capacidad que soporten los contratos internos tal cual como los de hoy en día.

Una nube privada en la empresa es aun un costo de capital, CapEx; en contraste a una nube operada por un proveedor como Microsoft. Para darse cuenta de los beneficios de una nube privada, los ahorros proyectados de la utilización creciente de la infraestructura existente deben compensar el costo incremental de construir esa nube. Una alternativa es optar por una nube privada hosteada, en donde el proveedor de hosting mantiene el hardware; esto permite reducir el costo de capital y moverlo a Opex. Una nube privada es exclusiva para ti, y usted lleva todos los costos de mantener los recursos de computación disponibles en vez de compartimos con otros cuando no los estas utilizando, pero puede ser mas económico de manejar que los sistemas actuales.

independientemente de otros sistemas existentes, muchas requerirán integración en las instalaciones así como otras aplicaciones de

Mito

Mi compañía debe mover todas sus aplicaciones a un servicio en la nube para poder beneficiarse plenamente de la computación en la nube.

Verdad

Actualmente, trasladar un datacenter completo a la nube es casi imposible. No es recomendado por ningún proveedor de la nube. Comienza por identificar las aplicaciones que benefician a tu organización por estar en la nube. Busca aplicaciones donde los recursos sean utilizados intensamente por periodos cortos de tiempo cada mes y dejados a un lado por el resto del tiempo, o aplicaciones donde los recursos son utilizados en un nivel moderado continuamente, pero experimenta periodos de actividad muy alta.

Estas aplicaciones son buenas candidatas para la nube, ya que la nube puede escalar recursos hacia arriba o hacia abajo de acuerdo a la demanda. La nube esta construida con accesos flexibles para recursos que pueden ser ubicados en otras aplicaciones, o inclusive otros clientes cuando la marcha es lenta.

Verdad Actualmente, trasladar un datacenter completo a la nube es casi imposible. No es recomendado por

Mito

Si mi organización utiliza Microsoft Online Services mi trabajo como administrador deExchange desaparece

Verdad

Existen muchas clases de nube. Por ejemplo, Nube privada: La infraestructura de esta nube es operada únicamente para una organización. Puede ser administrada por la organización o por un tercero y puede existir dentro de la misma, “on premises” o fuera de la misma, “off premises”. Nube comunitaria: La infraestructura de esta nube es compartida por varias organizaciones y apoya las preocupaciones de una comunidad particular sobre un tema específico, por ejemplo, seguridad, investigación, políticas o cumplimientos. Puede ser administrada por la organización o por un tercero y puede existir dentro de la misma, “on premises” o fuera de la misma, “off premises”. Nube pública: La infraestructura de esta nube está disponible para el público en general o para un gran grupo de industria y dicha infraestructura la provee una organización que vende servicios en la nube. Nube híbrida: Es la composición de dos o más nubes, por ejemplo privada y pública, que permanecen como entidades únicas pero que coexisten por tener tecnología que permite compartir datos o aplicaciones entre las mismas. Piensen en un escenario en donde la aplicación se desarrolla y se prueba en una nube privada y luego se despliega a una nube pública.

Verdad Actualmente, trasladar un datacenter completo a la nube es casi imposible. No es recomendado por

Mito

Todo lo que necesitas para empezar a utilizar la computación en la nube es tu tarjeta de crédito.

Verdad

Tu puedes empezar a utilizar los servicios de la computación en la nube con solo tu tarjeta de crédito. Esta es una excelente manera de tener una experiencia con esta nueva frontera de servicios. La mayoría de los servicios en la nube proveen un ambiente diseñado para empezar y desarrollar aplicaciones. En la mayoría de los casos, los proveedores de la nube ofrecen un nivel de inicio gratuito. Microsoft lo hace. Prueba Windows Azure.

Verdad Actualmente, trasladar un datacenter completo a la nube es casi imposible. No es recomendado por

Mito

Si estoy corriendo aplicaciones o servicios de redes en maquinas virtuales, estoy listo para hacer computación en la nube.

Verdad

Solo teniendo maquinas virtuales no significa que hayas lanzado un ambiente de computación en la nube. Si, estás en el camino a lograrlo, pero no estás utilizando aún todos los beneficios.

Una maquina virtual debe proveer la habilidad de crecer o decrecer la capacidad de almacenamiento en el momento necesario, para así poder brindar un servicio comparable con la nube. Tu también necesitas la habilidad de proveer a tus departamentos el pago por uso, para alcanzar los ahorros por los servicios de la nube.

Mito Si estoy corriendo aplicaciones o servicios de redes en maquinas virtuales, estoy listo para hacerDescargar el ejemplo de código " id="pdf-obj-27-12" src="pdf-obj-27-12.jpg">

Mito

Un proveedor de la nube no puede garantizar la seguridad.

Verdad

Mientras que esta declaración en gran parte es verdad, hay una advertencia importante. El funcionamiento de una aplicación en la nube es un esfuerzo conjunto entre tu organización y el proveedor de la nube. Desde un punto de vista físico, los datacenters en una nube publica están entre las premisas mas seguras del planeta. Con todo y eso, en el nivel lógico, un proveedor de la nube con todas las certificaciones de seguridad tampoco puede garantizar la integridad de servidores específicos, aplicaciones y redes, si tus aplicaciones están creadas de manera no propia. Aquí es donde los profesionales de TI permanecen en control y listos para el éxito de la nube.

Todas las prácticas de seguridad que una nube provee son insignificantes si las practicas de seguridad
Todas las prácticas de seguridad que una nube provee son insignificantes si las practicas de seguridad de un
consumidor empresarial son débiles.
Mito
No existen muchos proveedores de servicios en la nube que pueda tener en cuenta.
Verdad

En este momento existe muchos proveedores de la nube ofreciendo una variedad grande de servicios. Los mas grandes jugadores en la nube pública son Microsoft, Google,Salesforce.com y Amazon. En las nubes privadas para negocios las opciones incluyenMicrosoft, VMWare, Hewlett-Packard e IBM.

Patrones de nube

Diseño de servicios para Windows Azure

Thomas Erl, Arman Kurtagic y Herbjörn Wilhelmsen

Windows Azure es una nueva plataforma de computación nube que Microsoft está desarrollando (microsoft.com/windowsazure). La computación nube permite que los desarrolladores hospeden aplicaciones en un entorno virtual accesible en Internet. El entorno brinda de modo transparente el hardware, software, red y almacenamiento que necesita la aplicación. Tal como con otros entornos de nube, Windows Azure brinda un entorno alojado para las aplicaciones. El beneficio agregado de Windows Azure es que es posible implementar las aplicaciones .NET Framework con el mínimo de cambios con respecto a sus pares de escritorio.

Aplicar patrones de arquitectura orientada a servicios (SOA) y utilizar las experiencias recopiladas al implementar las soluciones orientadas a servicios serán clave para tener éxito al mover servicios y aplicaciones al nuevo ámbito de la computación nube. Para comprender mejor cómo pueden ser aplicados los patrones de SOA a los desarrollos de Windows Azure, observemos un escenario en el cual un banco ficticio mueve sus servicios a la nube.

Banca en la nube

Woodgrove Bank es una pequeña institución financiera que ha decidido centrarse en una nueva iniciativa bancaria en línea, de marca Woodgrove Bank Online. Uno de los clientes más importantes del Woodgrove Bank, Fourth Coffee, se ofreció para probar la nueva solución para el procesamiento de transacciones de tarjetas. Un subconjunto de los servicios planificados para la solución ya está en funcionamiento, y la disponibilidad de estos servicios ha generado más interés por parte de otros clientes. Sin embargo, a medida que se planifican más implementaciones de la solución, emergen desafíos.

El primer problema se relaciona con la escalabilidad y la confiabilidad. Woodgrove Bank nunca quiso asumir la responsabilidad de hospedar sus soluciones de TI. En lugar de eso, estableció un acuerdo de aprovisionamiento con un ISP local llamado Sesame Hosting Company. Hasta la fecha, Sesame Hosting ha cumplido con las necesidades de alojamiento web de Woodgrave Bank, pero la nueva solución de procesamiento de tarjetas ha introducido requisitos de escalabilidad que Sesame Hosting no está preparado para manejar.

El equipo de arquitectura de tecnología de Woodgrove Bank sugiere de manera redundante la implementación de los servicios de Woodgrove Bank Online, según el patrón de implementación redundante (es posible encontrar las descripciones de los patrones analizados aquí en el sitio web soapatterns.org). En esencia, el patrón sugiere un enfoque por medio del cual los servicios se implementan intencionalmente de manera redundante para obtener una mayor escalabilidad y conmutación por error. Sesame Hosting Company investiga esta opción, pero no puede permitirse ampliar su infraestructura a fin de acomodar implementaciones de servicios redundantes. Simplemente no cuenta con los recursos ni el presupuesto para manejar el aumento de hardware, mantenimiento de software operativo y artefactos de red que serían necesarios.

El margen de tiempo también es un problema. Incluso si Sesame Hosting pudiera poner a disposición la infraestructura necesaria, no podría hacerlo a tiempo para que Woodgrave Bank cumpliera con el programa de implementación planificado. La sola necesidad de contratar y capacitar personal prolongaría la expansión de la infraestructura más allá del horario de Woodgrove Bank.

Después de darse cuenta de que Sesame Hosting no podría cumplir con sus necesidades, el equipo del Woodgrove Bank comienza a explorar la opción de hospedar sus servicios en una nube pública. La plataforma Windows Azure ofrece una forma de virtualizar los servicios que aplica naturalmente el patrón de implementación redundante. Esta característica de Windows Azure se llama Instancia de aplicación a petición (analizada en mayo de 2009). Esta característica, y la capacidad de usar centros de datos de Microsoft sin un compromiso a largo plazo, parece prometedora para el equipo del Woodgrove Bank. Analicemos esto con detalle cómo Woodgrove Bank migra su solución a Windows Azure:

Conceptos básicos de la implementación

Lo primero que hay que hacer es implementar un servicio web siguiendo un enfoque de "contrato como primer paso" que cumpla con el principio de contrato de servicio estandarizado. El equipo usa la herramienta WSCF.blue para generar contratos de Windows Communication

Foundation (WCF) a partir de WSDL y XSD que fueron modelados para obtener una interoperabilidad óptima. Los contratos de servicio aparecen en la figura 1. Figura 1 Los contratos de servicio iniciales

Foundation (WCF) a partir de WSDL y XSD que fueron modelados para obtener una interoperabilidad óptima.

Como los servicios tendrán de cambiar y evolucionar en el tiempo, los desarrolladores también deciden dejar que los contratos de datos implementen la interfaz IExtensibleObject que admita el patrón Compatibilidad con versiones posteriores (consulte la figura 2). Figura 2 Los contratos de datos iniciales

Foundation (WCF) a partir de WSDL y XSD que fueron modelados para obtener una interoperabilidad óptima.

Para almacenar los datos necesarios, el equipo del Woodgrove Bank desea usar SQL Azure, porque ya cuenta con una estructura de base de datos existente que el equipo desea conservar. Si los desarrolladores pudieron usar un almacén no relacional, podrían entonces considerar el almacenamiento de Windows Azure.

Los arquitectos del Woodgrove Bank proceden a crear un servicio de nube de plantillas de Visual Studio y usa Visual Studio para publicarlo. Luego inician sesión en el portal de Windows Azure para crear su nuevo servicio de nube (consulte la figura 3). Figura 3 Creación de un servicio en el portal de Windows Azure

A continuación, se muestra una pantalla que les permite comenzar a implementar el servicio. Hacen clic

A continuación, se muestra una pantalla que les permite comenzar a implementar el servicio. Hacen clic en el botón Implementar y especifican un paquete de aplicación, valores de configuración y un nombre de implementación. Después de algunos clics más, su servicio ya reside en la nube.

La Figura 4 muestra un ejemplo de la configuración del servicio. Figura 4 Configuración del servicio de Windows Azure

<Role name="BankWebRole">

<Instances count="1" />

<ConfigurationSettings>

<Setting

name="DataConnectionString"

value="DefaultEndpointsProtocol=https;AccountName=YOURACCOUNTNAME;AccountKey=YOURKEY"

/>

<Setting

name="DiagnosticsConnectionString"

value="DefaultEndpointsProtocol=https;AccountName=YOURDIAGNOSTICSACCOUNTNAME;AccountKe y=YOURKEY" />

La clave para que la solución sea elástica con respecto a los requisitos de escalabilidad del Woodgrove Bank es el siguiente elemento de configuración:

<Instances count="1" />

Por ejemplo, si los desarrolladores desean 10 instancias, este elemento se definiría en:

<Instances count="10" />

La figura 5 muestra la pantalla que confirma que la única instancia está activa y en ejecución. Hacer clic en el botón Configurar abre una pantalla donde pueden editar la configuración del servicio y cambia la configuración de las instancias según sea necesario. Figura 5 Instancias en ejecución en Windows Azure

Rendimiento y flexibilidad Después de algunas pruebas de esfuerzo, el equipo de desarrollo del Woodgrove Bank

Rendimiento y flexibilidad

Después de algunas pruebas de esfuerzo, el equipo de desarrollo del Woodgrove Bank encontró que tener sólo un almacén de datos central en SQL Azure llevaba a tiempos de respuesta cada vez más lentos cuando se incrementaba el tráfico. Los desarrolladores decidieron abordar este problema de rendimiento usando el almacenamiento de tablas de Windows Azure, que está diseñado para mejorar la escalabilidad al distribuir las particiones en muchos nodos de almacenamiento. El almacenamiento de tablas de Windows Azure también brinda un acceso a datos rápido, porque el sistema supervisa el uso de las particiones y equilibra automáticamente la carga en ellas. Sin embargo, como el almacenamiento de tablas de Windows Azure no es un almacén de datos relacional, el equipo tuvo que diseñar algunas nuevas estructuras de almacenamiento de datos y escoger una combinación de claves de particiones y filas que ofrecerían tiempos de respuesta rápidos.

Terminaron con tres tablas, tal como se muestra en la figura 6. UserAccountBalance almacenará los saldos de cuentas de los usuarios. AccountTransactionLogg se usará para almacenar todos los mensajes de transacciones para cuentas específicas. Se usará la tabla UserAccountTransaction para almacenar transacciones de cuenta. Las claves de partición para las tablas UserAccountTransaction y AccountTransactionLogg se crearon a partir de la concatenación de UserId y AccountId, porque son una parte de todas las consultas y pueden brindar tiempos de respuesta rápidos. La clave de partición para la tabla UserAccountBalance es UserId y la clave de fila es AccountId. Brindan en conjunto una identificación única de un usuario y de su cuenta. Figura 6 Modelos de almacenamiento de tablas de Windows Azure

Woodgrove Bank considera que el proyecto es un éxito hasta ahora y desea que más clientes

Woodgrove Bank considera que el proyecto es un éxito hasta ahora y desea que más clientes empiecen a usar la solución. Pronto, World Wide Importers está listo para unirse, aunque con algunos requisitos funcionales nuevos.

La solicitud que pareciera ser más importante es que se debe cambiar la interfaz de servicio (o estructura de la información). Según World Wide Importers, la estructura de la información que Woodgrove Bank usa no es compatible con la suya. Debido a la importancia de este cliente en particular, el equipo de desarrollo del Woodgrove Bank sugiere la aplicación del patrón de transformación del modelo de datos. Los desarrolladores crearían varios servicios nuevos con las interfaces que solicitó World Wide Importers, y estos servicios podrían contener la lógica para traducir las solicitudes entre los modelos de datos de World Wide Importers y los de Woodgrove Bank.

Para satisfacer este requisito, se crea una estructura nueva para UserAccount. Los desarrolladores tienen el cuidado de garantizar que hay una asignación clara entre las clases UserAccountWwi y UserAccount, tal como aparece en la figura 7. Figura 7 Estructura de UserAccount para la transformación del modelo de datos

Los contratos de servicio necesitan aceptar un contrato de datos específico (UserAccountWwi) que transforme las solicitudes

Los contratos de servicio necesitan aceptar un contrato de datos específico (UserAccountWwi) que transforme las solicitudes a UserAccount antes de transmitir la llamada a otras partes de la solución, y luego volver a transformarla en la respuesta. Los arquitectos del Woodgrove Bank se dan cuenta de que pueden volver a usar una interfaz de servicio base al implementar estos nuevos requisitos. El diseño final se muestra en la figura 8. Figura 8 Contratos de servicio para World Wide Importers

Los desarrolladores eligen implementar las transformaciones de datos creando un par de métodos de extensión para

Los desarrolladores eligen implementar las transformaciones de datos creando un par de métodos de extensión para la clase UserAccount, incluidos los métodos TransformToUserAccountWwi y TransformToUserAccount.

El servicio nuevo acepta el contrato de datos UserAccountWwi. Antes de enviar las solicitudes a otros niveles, los datos se transforman en UserAccount llamando al método de extensión TransformToUserAccount. Antes de enviar una respuesta nuevamente al consumidor, el contrato UserAccount vuelve a transformarse en UserAccountWwi llamando a TransformToUserAccountWwi. Para obtener detalles acerca de estos elementos, consulte el código fuente para UserAccountServiceAdvanced en la descarga de código para este artículo.

Mensajería y puesta en cola

A pesar de que Woodgrove Bank está ahora activo y en ejecución y puede facilitar un gran número de solicitudes entrantes, los analistas han observado importantes puntos críticos en el uso del servicio. Algunos de estos puntos críticos surgen regularmente (específicamente los lunes en la mañana y los jueves en la tarde). Sin embargo, algunas fluctuaciones son impredecibles.

Poner en línea más recursos a través de la configuración de Windows Azure sería una solución fácil, pero ahora que algunos clientes importantes, como World Wide Importers, están interesados en los servicios nuevos, se espera que aumenten las fluctuaciones por uso simultáneo.

Los desarrolladores del Woodgrove Bank examinaron con más detalle las ofertas de Windows Azure y descubrieron características que permiten la aplicación de los patrones de mensajería de confianza y cola asincrónica. Llegaron a la conclusión de que la mensajería de confianza no era la opción más adecuada, porque podría restringir las opciones técnicas de su cliente. La cola asincrónica no requiere una tecnología especial de parte de los clientes, por lo que se centrarían en ella. Sin embargo, dentro de la nube de Windows Azure, la mensajería de confianza tenía total sentido, debido a que Microsoft brindaba toda la tecnología ahí usada.

El objetivo es que no se debe perder ningún mensaje, incluso si los servicios están sin conexión a causa de errores o de mantenimiento planificado. El patrón de cola asincrónica lo permite, aunque algunas ofertas no son adecuadas para este patrón. Por ejemplo, las respuestas oportunas con la confirmación o denegación de las transferencias de dinero son necesarias cuando se trata de transacciones de tarjetas en línea. Pero en otras situaciones el patrón funcionaría bien.

La comunicación entre los roles de trabajador y web (consulte msdn.microsoft.com/magazine/dd727504 para ver una explicación de estos roles) se realiza con colas de Windows Azure (a partir de la versión de la CTP de noviembre, es posible comunicarse directamente entre las instancias de roles), que de manera predeterminada son asincrónicas y confiables. Esto no significa automáticamente que la comunicación entre el usuario final y los servicios del Woodgrove Bank sea confiable. De hecho, las líneas de comunicación entre el cliente y los servicios que residen en el rol de web son claramente poco confiables. El equipo del Woodgrove Bank decidió no abordar esto, porque implementar mecanismos de confiabilidad hasta los clientes en la práctica requeriría que los clientes adhieran las mismas opciones tecnológicas que el Woodgrove Bank. Esto se consideró como irreal e indeseable.

Poner las colas a trabajar

En cuanto un cliente envía un mensaje a UserAccountService, este mensaje se coloca en una cola de Windows Azure y el cliente recibe un mensaje de confirmación. UserAccountWorker podrá obtener el mensaje de la cola. En caso de que UserAccountWorker deje de funcionar, el mensaje no se perderá porque está almacenado de manera segura en la cola.

Si el procesamiento que se realiza dentro de UserAccountWorker no es correcto, el mensaje no se quitará de la cola. Para garantizar esto, la llamada al método DeleteMessage de la cola se realiza sólo una vez finalizado el trabajo. Si UserAccountWorker no hubiese terminado de procesar el mensaje antes de que haya transcurrido el tiempo de espera (que está codificado en 20 segundos), nuevamente se verá el mensaje en la cola para que así otra instancia de UserAccountWorker pueda intentar procesarlo.

En cuanto un cliente envía un mensaje a UserAccountService, este mensaje se coloca en una cola y el cliente recibe un mensaje de confirmación de tipo TransactionResponse. Desde la perspectiva del cliente, se usa Cola asincrónica. ReliableMessaging se usa para comunicar entre UserAccountStorageAction y AccountStorageWorker, que residen en el rol de web y en el rol de trabajador, respectivamente. Aquí se muestra cómo el controlador de la llamada pone mensajes en la cola:

public TransactionResponse ReliableInsertMoney(

AccountTransactionRequest accountTransactionrequest) {

//last parameter (true) means that we want to serialize

//message to the queue as XML (serializeAsXml=true)

return UserAccountHandler.ReliableInsertMoney(

accounttransactionRequest.UserId,

accounttransactionRequest.AccountId,

accounttransactionRequest.Amount, true);

}

UserAccountHandler es una propiedad que devuelve una IUserAccountAction, que se inserta en el tiempo de ejecución. Esto hace que sea fácil separar la implementación del contrato y luego cambiar la implementación:

{get;set;}

public UserAccountService(

IUserAccountAction<Models.UserAccount> action) {

UserAccountHandler = action;

}

Una vez que el mensaje se envía a una de las acciones responsables, se pondrá en la cola. El primer método que aparece en la figura 9 muestra cómo se pueden almacenar los datos como XML serializables, mientras que el segundo método muestra cómo se pueden almacenar los datos como una cadena en la cola. Observe que hay una limitación en las colas de Windows Azure, donde el tamaño máximo del mensaje es de 8KB. Figura 9 Almacenamiento de datos

public TransactionResponse ReliableHandleMoneyInQueueAsXml(

UserAccountTransaction accountTransaction){

using (MemoryStream m = new MemoryStream()){

XmlSerializer xs =

new XmlSerializer(typeof(UserAccountTransaction));

xs.Serialize(m, accountTransaction);

try

{

QueueManager.AccountTransactionsQueue.AddMessage(

new CloudQueueMessage(m.ToArray()));

response.StatusForTransaction = TransactionStatus.Succeded;

}

catch(StorageClientException)

{

response.StatusForTransaction = TransactionStatus.Failed;

response.Message =

String.Format("Unable to insert message in the account transaction queue userId| AccountId={0}, messageId={1}",

accountTransaction.PartitionKey, accountTransaction.RowKey);

}

}

return response;

}

public TransactionResponse ReliableHandleMoneyInQueue(

UserAccountTransaction accountTransaction){

TransactionResponse response = this.CheckIfTransactionExists(

accountTransaction.PartitionKey, accountTransaction.RowKey);

if (response.StatusForTransaction == TransactionStatus.Proceed)

{

//userid|accountid is partkey

//userid|accountid|transactionid|amount

string msg = string.Format("{0}|{1}|{2}",

accountTransaction.PartitionKey,

accountTransaction.RowKey,

accountTransaction.Amount);

try

{

QueueManager.AccountTransactionsQueue.AddMessage(

new CloudQueueMessage(msg));

response.StatusForTransaction = TransactionStatus.Succeded;

}

catch(StorageClientException)

{

response.StatusForTransaction = TransactionStatus.Failed;

response.Message =

String.Format("Unable to insert message in the account transaction queue userId| AccountId={0}, messageId={1}",

accountTransaction.PartitionKey, accountTransaction.RowKey);

}

}

return response;

}

La clase QueueManager inicializará las colas usando definiciones desde la configuración:

CloudQueueClient queueClient =

CloudStorageAccount.FromConfigurationSetting(

"DataConnectionString").CreateCloudQueueClient();

accountTransQueue = queueClient.GetQueueReference(

Helpers.Queues.AccountTransactionsQueue);

accountTransQueue.CreateIfNotExist();

loggQueue = queueClient.GetQueueReference(

Helpers.Queues.AccountTransactionLoggQueue);

loggQueue.CreateIfNotExist();

AccountStorageWorker escucha los mensajes en AccountTransactionQueue y obtiene los mensajes de la cola. Para poder escuchar el mensaje, el trabajador debe abrir la cola correcta:

var storageAccount = CloudStorageAccount.FromConfigurationSetting(

"DataConnectionString");

// initialize queue storage

CloudQueueClient queueStorage = storageAccount.CreateCloudQueueClient();

accountTransactionQueue = queueStorage.GetQueueReference(

Helpers.Queues.AccountTransactionsQueue);

Una vez abierta la cola y que AccountStorageWorker lee el mensaje, éste será invisible en la cola durante 20 segundos (el tiempo de espera de visibilidad se definió en 20). Durante ese lapso, el trabajador intentará procesar el mensaje.

Si el procesamiento del mensaje se realiza correctamente, el mensaje se eliminará de la cola. Si se produce un error en el procesamiento, el mensaje volverá a ponerse en la cola.

Procesamiento de mensajes

El método ProcessMessage necesita primero obtener el contenido del mensaje. Esto se puede realizar de dos maneras. Primero, el mensaje podría almacenarse como una cadena en la cola:

//userid|accountid|transactionid|amount

var str = msg.AsString.Split('|'); ...

Segundo, el mensaje podría ser un XML serializado:

using (MemoryStream m =

new MemoryStream(msg.AsBytes)) {

if (m != null) {

XmlSerializer xs = new XmlSerializer(

typeof(Core.TableStorage.UserAccountTransaction));

var t = xs.Deserialize(m) as

Core.TableStorage.UserAccountTransaction;

if (t != null) {

.......

}

}

}
}

En caso de que AccountStorageWorker no esté activo o no pueda procesar el mensaje por alguna razón, no se perderá ningún mensaje puesto que estará guardado en la cola. Si el procesamiento que se realiza dentro de AccountStorageWorker llegase a fallar, no se quitará el mensaje de la cola y se hará visible en la cola después de 20 segundos.

Para garantizar este comportamiento, la llamada al método DeleteMessage de la cola se realiza sólo una vez finalizado el trabajo. Si AccountStorageWorker no hubiese terminado de procesar el mensaje antes de que haya transcurrido el tiempo de espera, nuevamente se verá el mensaje en la cola para que así otra instancia de AccountStorageWorker pueda intentar procesarlo. La figura 10 trabaja en un mensaje que se almacenó como una cadena. Figura 10 Manejo de mensajes puestos en cola

if (str.Length == 4){

//userid|accountid|transactionid|amount

UserAccountSqlAzureAction ds = new UserAccountSqlAzureAction(

new Core.DataAccess.UserAccountDB("ConnStr"));

try

{

Trace.WriteLine(String.Format("About to insert data to DB:{0}", str),

"Information");

ds.UpdateUserAccountBalance(new Guid(str[0]), new Guid(str[1]),

double.Parse(str[3]));

Trace.WriteLine(msg.AsString, "Information");

accountTransactionLoggQueue.DeleteMessage(msg);

Trace.WriteLine(String.Format("Deleted:{0}", str), "Information");

}

catch (Exception ex)

{

 

Trace.WriteLine(String.Format(

"fail to insert:{0}", str, ex.Message), "Error");

}

}

Capacidad idempotente

¿Qué pasa si uno de los clientes del Woodgrove Bank envía una solicitud para transferir dinero de una cuenta a otra y el mensaje se pierde? Si el cliente vuelve a enviar el mensaje, es posible que dos o más solicitudes lleguen a los servicios y se traten de manera separada.

Uno de los miembros del equipo del Woodgrove Bank identificó inmediatamente ese escenario como uno que requiere la capacidad idempotente. Este patrón exige que las capacidades o las operaciones se implementen de tal forma que sean seguras de repetir. En pocas palabras, la solución que el Woodgrove Bank desea implementar requiere clientes con buen comportamiento que adjunten un identificador único a cada solicitud y prometan que volverán a enviar exactamente el mismo mensaje, incluido el mismo identificador único, en caso de reintentarlo. A fin de poder manejar esto, el identificador único se guarda en el almacenamiento de tablas de Windows Azure. Antes de procesar alguna solicitud, es necesario comprobar si ya se procesó un

mensaje con ese identificador. Si es así, se creará una respuesta correcta, pero no se realizará el procesamiento asociado con la nueva solicitud.

A pesar de que esto signifique molestar al almacén de datos central con consultas adicionales, se consideró necesario. Esto dará como resultado cierto deterioro del rendimiento, porque se realizan algunas consultas al almacén de datos central antes de poder realizar cualquier otro procesamiento. Sin embargo, permitir esto para consumir tiempo adicional y otros recursos es una opción razonable a fin de cumplir con los requisitos del Woodgrove Bank.

El equipo del Woodgrove Bank actualizó los métodos ReliableInsertMoney y ReliableWithDrawMoney en la IUserAccountAction y sus implementaciones al agregar un identificador de transacción:

TransactionResponse ReliableInsertMoney(

Guid userId, Guid accountId, Guid transactionId,

double amount, bool serializeToQueue);

TransactionResponse ReliableWithDrawMoney(

Guid userId, Guid accountId, Guid transactionId,

double amount, bool serializeToQueue);

Se actualizó la tabla UserAccountTransaction (almacenamiento de Windows Azure) al agregar TransactionId como RowKey, para que cada inserto en la tabla tuviera un identificador de transacción único.

La responsabilidad de enviar un identificador de mensaje único para cada transacción única recae en el cliente:

WcfClient.Using(new AccountServiceClient(), client =>{

using (new OperationContextScope(client.InnerChannel))

{

 

OperationContext.Current.OutgoingMessageHeaders.MessageId =

messageId;

client.ReliableInsertMoney(new AccountTransactionRequest {

UserId = userId, AccountId = accountId, Amount = 1000 });

}

});

Es posible encontrar la clase auxiliar usada aquí en soamag.com/I32/0909-4.asp.

La definición de IUserAccountService no se modificó. El único cambio necesario para implementar esta funcionalidad es leer el MessageId desde los encabezados del mensaje entrante, que el cliente envió, y usarlos en el procesamiento en segundo plano (consulte la figura 11). Figura 11 Captura de identificadores de mensajes

public TransactionResponse ReliableInsertMoney(

AccountTransactionRequest accountTransactionrequest) {

var messageId =

OperationContext.Current.IncomingMessageHeaders.MessageId;

Guid messageGuid = Guid.Empty;

if (messageId.TryGetGuid(out messageGuid))

//last parameter (true) means that we want to serialize

//message to the queue as XML (serializeAsXml=true)

return UserAccountHandler.ReliableInsertMoney(

accounttransactionRequest.UserId,

accounttransactionRequest.AccountId, messageId,

accounttransactionRequest.Amount, true);

else

return new TransactionResponse { StatusForTransaction =

Core.Types.TransactionStatus.Failed,

Message = "MessageId invalid" };

}

La UserAccountAction actualizada ahora obtendrá un identificador de transacción para cada operación idempotente. Cuando el servicio intenta completar una operación idempotente, comprobará si existe la transacción en el almacenamiento de tablas. Si existe la transacción, el servicio devuelve el mensaje de la transacción que se almacenaba en la tabla AccountTransactionLogg. El identificador de transacción se guardará como RowKey en la tabla de almacenamiento UserAccountTransaction. Para encontrar el usuario y la cuenta correctos, el servicio envía la clave de partición (userid|accountid). Si no se encuentra el identificador de transacción, el mensaje se colocará en la AccountTransactionsQueue para realizar un procesamiento adicional:

public TransactionResponse ReliableHandleMoneyInQueueAsXml(

UserAccountTransaction accountTransaction) {

TransactionResponse response = this.CheckIfTransactionExists(

accountTransaction.PartitionKey, accountTransaction.RowKey);

if(response.StatusForTransaction == TransactionStatus.Proceed) {

...

}

return response;

}

Se usa el método CheckIfTransactionExists (consulte la figura 12) para garantizar que no se ha procesado la transacción. Intentará encontrar el identificador de transacción para una cuenta de usuario específica. Si se encuentra el identificador de transacción, el cliente obtendrá un mensaje de respuesta con los detalles de la transacción ya completada. Figura 12 Comprobación del identificador y el estado de una transacción

private TransactionResponse CheckIfTransactionExists(

string userIdAccountId, string transId) {

TransactionResponse transactionResponse =

new Core.Models.TransactionResponse();

var transaction = this.TransactionExists(userIdAccountId, transId);

if (transaction != null) {

transactionResponse.Message =

String.Format("messageId:{0}, Message={1}, ",

transaction.RowKey, transaction.Message);

transactionResponse.StatusForTransaction =

TransactionStatus.Completed;

}

else

transactionResponse.StatusForTransaction =

TransactionStatus.Proceed;

return transactionResponse;

}

private UserAccountTransaction TransactionExists(

string userIdAccountId, string transId) {

UserAccountTransaction userAccountTransaction = null;

using (var db = new UserAccountDataContext()) {

try {

userAccountTransaction =

db.UserAccountTransactionTable.Where(

uac => uac.PartitionKey == userIdAccountId &&

uac.RowKey == transId).FirstOrDefault();

userAccountTransaction.Message = "Transaction Exists";

}

catch (DataServiceQueryException e) {

HttpStatusCode s;

if (TableStorageHelpers.EvaluateException(e, out s) &&

s == HttpStatusCode.NotFound) {

// this would mean the entity was not found

userAccountTransaction = null;

}

}

}

return userAccountTransaction;

}

Una propiedad interesante de CheckIfTransactionExists es que si no encuentra los datos que desea encontrar, el almacenamiento de Windows Azure devuelve un código de estado HTTP 404 (porque usa la interfaz REST). Además, si no se encuentran los datos, los servicios de cliente de ADO.NET arrojarán una excepción (System.Data.Services.Client).

Más información

Para obtener más información acerca de la implementación de esta solución de prueba de concepto, revise el código fuente proporcionado disponible en línea. Las descripciones del patrón

de SOA están publicadas en soapatterns.org. Si tiene preguntas, escriba a herbjorn@wilhelmsen.se. Arman Kurtagić es consultor y se centra en las nuevas tecnologías de Microsoft, además trabaja en Omegapoint, que ofrece soluciones de TI seguras y orientadas a los negocios. Ha desempeñado varios roles, incluido el de desarrollador, arquitecto, mentor y emprendedor, y cuenta con experiencia en industrias como finanzas, juegos y medios. Herbjörn Wilhelmsen es consultor y trabaja para Forefront Consulting Group en Estocolmo. Sus principales áreas específicas son la arquitectura orientada a servicios y la arquitectura empresarial. Wilhelmsen es el director del Comité de revisión de patrones de SOA, además de liderar el grupo de TI Business 2 en el capítulo sueco de IASA. Es coautor del libro SOA with .NET and Azure como parte de la Prentice Hall Service-Oriented Computing Series from Thomas Erl. Thomas Erl es el autor sobre SOA más vendido en todo el mundo, editor de series de Prentice Hall Service-Oriented Computing Series from Thomas Erl y editor de SOA Magazine. Erl es fundador de SOA Systems Inc. y del programa SOA Certified Professional de SOASchool.com. Erl es fundador del grupo de trabajo SOA Manifesto y es orador e instructor en eventos privados y públicos. Para obtener más información, visite thomaserl.com. Gracias al siguiente experto técnico por su ayuda en la revisión de este artículo: Steve Marx

Geek of All Trades: The Instant Cloud - Your Office 365 Proof of Concept

Office 365 is exceptionally well-suited for small businesses looking to leap into cloud computing, with a full range of productivity and collaboration features.

Greg Shields

The subject of cloud computing seems to have no middle

Informático multitarea: la instantánea Cloud - la pru concepto de Office 365

Office 365 se ajusta excepcionalmente bien a empresas que buscan saltar a la informática amplia gama de características de productivi

Greg Shields

El asunto de cloud computing parece no tene

ground. Nearly everyone I speak with falls into either the “hate it intermedio.Casi todo el mundo hablo con ent

and don’t trust it” crowd or the group who “loves it and uses it

"no le ha gustado y no confía en él" o el grup

all the time.” I side with the latter group. The dichotomy reminds todo el tiempo". I lateral con el grupo de este

me of an old friend’s saying about sushi: “You either love it, or you haven’t really tried it yet.” I can almost predict a person’s response to cloud computing based on the size of their company. Those in larger companies distrust cloud computing.Small businesses and entrepreneurs are much more eager to embrace it for the cost savings. The big-company response makes sense in many ways. Larger firms are subject to additional regulation, security control and issues around corporate culture. To IT professionals supporting large enterprises, “in the cloud” also means “I have limited control.” This translates to “I don’t trust it,” which leads to “it isn’t for me.” The extent of this distrust is at complete odds with needs of the little guys.To the small shop, “Is it working?” is usually more important than, “Is it within my control?” That’s one reason why I’m particularly excited about the new cloud-based Microsoft Office 365 platform. There are editions

dichotomy me recuerda que dice un viejo am identidad (phishing): ", ya sea encanta, o no realmente". Casi puedo predecir la respuesta de una pers computing en función del tamaño de su emp las empresas más grandes de cloud computi pequeñas empresas están mucho más ansios para el ahorro de costos. La respuesta de la gran empresa tiene sentid sentidos.Empresas de mayores entidad están Reglamento adicional, el control de segurida cultura corporativa. Para profesionales de TI grandes empresas "en la nube" también sign limitado." Esto se traduce en "No confío," lo q mí." El alcance de esta desconfianza de los que s probabilidades completas con las necesidade

designed for companies both large and small. Office 365 gathers poco. A la planta pequeña, es normalmente the Microsoft office productivity and collaboration tools within an "Es dentro de mi control"? "funciona?"

Internet-accessible interface. With Office 365, you get Microsoft Office, Exchange, SharePoint and Lync bundled in a strikingly seamless package.

What Is Office 365?

When I first saw a demo of Office 365—which is currently in limited beta—I asked to be guided through the features targeted to small business owners (as they’re this column’s primary audience). Considering the raw complexity involved in properly architecting, installing and maintaining these products, Office 365 represents a much-needed lifeline for the Jack-of-all-trades IT professional. What does this lifeline look like? Imagine a team in your office needs to communicate about an upcoming project. There are a few e-mails sent back and forth, and the group decides they need to set up a quick meeting. The presence capabilities built into Office 365 indicate who is and who is not available. Clicking on names in Outlook lets the team send instant messages to each other and confirm availability. Once everyone is ready, the team can immediately convert the conversation thread into an online meeting (see Figure 1).

designed for companies both large and small. Office 365 gathers poco. A la planta pequeña, es

Que es una razón de por qué estoy particular con la nueva plataforma de Microsoft Office 3 cloud. Existen ediciones diseñadas para emp pequeñas. Office 365 reúne las herramientas la productividad y colaboración dentro de un a Internet. Con Office 365, se obtendrá de Mi Exchange, SharePoint y Lync incluido en un p transparente.

¿Qué es Office 365?

Cuando vio una demostración de Office (365) actualmente limitada beta: se me pide que g las características orientadas a los propietari empresas (como son los destinatarios princip columna). Teniendo en cuenta la complejidad en correctamente el diseño, instalación y ma estos productos, Office 365 representa una lí necesaria para los profesionales de TI descui ¿Qué aspecto tiene esta línea de vida? Imagi en su oficina necesita comunicarse acerca de proyecto. Hay algunos correos electrónicos q el grupo decide que necesitan para configura rápida. Las capacidades de presencia integra indican quién es y quién no está disponible. nombres de Outlook le permite enviar mensa entre sí y confirmar la disponibilidad. Una ve está listo, el equipo inmediatamente puede c secuencia de conversación en una reunión e (consulte figura 1).

Figure 1 Creating an online meeting directly within Outlook using Office 365

During the meeting, the team can simultaneously co-edit Office documents from SharePoint while communicating through video chat.They’re not just screen-sharing—each team member is updating the document at the same time (see Figure 2). They’re making changes to the document in real time, with each person watching as the document evolves.

Figura 1 crear una reunión en línea direc

de Outlook mediante Office 365 Colaborar en su durante la reunión, el equipo simultáneamente edición documentos

de Outlook mediante Office 365

Colaborar en su durante la reunión, el equipo simultáneamente edición documentos de Off comunicarse a través de chat de vídeo. No so compartir la pantalla, cada miembro del equi actualizando el documento al mismo tiempo 2). Se está realizando cambios en el docume con cada persona que ve que el documento q

Figure 2 Collaborating on a document while video chatting using Office 365

It gets better. Small businesses are always working together on collaborative projects and always need to share data. Office 365 lets you grant outside users upload and download rights to a SharePoint site. You can also grant permissions to edit rich client documents. You’ll appreciate this feature if your business has dealt with the pain of transferring data via FTP or through not- always-trustworthy file-sharing Web sites. It’s just as painful—if not more so—for a small business to lose

Figura 2 colaborar en un documento mie videoconferencias mediante Office 365

data as it is for a large enterprise. More than one small company Obtiene una mejor. Las pequeñas empresas

has shuttered its doors when “the laptop that contained our important data” went missing.Seeing the pain of fellow entrepreneurs makes me glad for the seamless and automatic backup and restore capabilities of Office 365. The Office 365 data-protection story is multilayered. Deleted data is sent to a SharePoint recycle bin, instead of being completely wiped out. A secondary administrative recycle bin extends the deletion cycle. Outlook users enjoy the same protections with their Deleted Items folder. You can even bring deleted mailboxes back to life up to 30 days after deletion. Search and legal hold features are also part of the package. While not currently available in the private beta, you’ll eventually be able to search across mailboxes when necessary. Using a simple control panel (see Figure 3), the “accidental IT pro” in any small business can easily accomplish basic administration tasks without the usual complexity. Creating users, mailboxes and distribution lists—as well as managing Exchange, SharePoint and Lync—are all exposed in the interface. You can even create your own Web site using a WYSIWYG interface linked directly into SharePoint.

trabajando en conjunto en proyectos de cola tienen que compartir datos. Office 365 le per de los usuarios cargar y descargar los derech SharePoint. También puede conceder permis documentos de cliente enriquecido. Esta cara apreciar si su empresa se ha dedicado a las d transferencia de datos a través de FTP o a tr de uso compartido de archivos no siempre co Es sólo por más doloroso: Si más no es así, p pequeña pérdida de datos como es para una de una empresa pequeña ha shuttered sus p haya perdido la "el equipo portátil que conte importantes". Ver la inconveniencia de empr hace Me alegro de la copia de seguridad auto transparente y capacidades de restore de 36 La historia de la protección de datos de Offic capas.Datos eliminados se envían a una Pap SharePoint, en lugar de que sean contrarrest completo. Una Papelera de reciclaje administ extiende el ciclo de eliminación. Los usuarios disfrutan de las mismas protecciones con su eliminados. Incluso puede traer los buzones días después de la eliminación.

Búsqueda y legal mantienen características t parte del paquete. Mientras no está actualme versión beta privada,Office 365 beta . Getting started requires a bit of demographic data as well as creating a company URL. While Web sites in the private beta are limited to sub-domains on Microsoft.com, I’m told there will be domain-transfer capabilities added prior to it being released to manufacturing. Building the initial set of services takes a few minutes. As you wait, Microsoft provides a quick start guide that explains the basics of administering the interface. You can migrate existing data from an Exchange server all at once or in batches of mailboxes. It also supports migrating mail from IMAP Figura 3 administrar los servicios admini Office 365 Aunque la simplicidad es buena, es lo que no fundamentalmente genial. Ninguna de estas técnicamente nueva. Exchange ha sido dura en una plataforma de colaboración completa siempre ha sido un repositorio de documento (anteriormente Office Communications Serve donde se produce la comunicación en tiempo propuesta de valor no es con la característica sola, se encuentra en el hecho de que todas están integradas automáticamente. Si alguna conectar estos tres paquetes masivos usted hacerlo correctamente toma tiempo y experi el 99,9 por ciento garantizado el tiempo de a normalmente requiere costoso ayuda extern Decidir por sí mismo Después de la demostración, decidí iniciar m concepto para mi compañía, concentrado de " id="pdf-obj-46-2" src="pdf-obj-46-2.jpg">

Búsqueda y legal mantienen características t parte del paquete. Mientras no está actualme versión beta privada, finalmente, podrá busc cuando sea necesario. Mediante un panel de control sencillo (consul "accidental profesional de TI" en cualquier pe puede realizar fácilmente las tareas de admi sin la complejidad de la habitual. Crear usuar de distribución, así como la administración d SharePoint y Lync: se exponen en la interfaz. crear su propio sitio Web mediante una inter vinculada directamente a SharePoint.

Figure 3 Managing the administrative services in Office

365

While the simplicity is nice, it’s what isn’t there that’s fundamentally cool.None of these capabilities are technically new. Exchange has long been a fully featured collaboration platform, SharePoint has always been a document repository, and Lync (formerly Office Communications Server) has been the place where real-time communication occurs. The value proposition here isn’t with the feature set alone—it’s in the fact that all these pieces are already integrated for you. If you’ve ever tried to connect these three massive packages yourself, you know that doing it correctly takes time and experience. Doing it with 99.9 percent guaranteed uptime usually requires expensive outside help.

Decide for Yourself

After the demonstration, I decided to start my own Proof of Concept for my company, Concentrated Technology. We’re a small analyst firm with a handful of users spread throughout the country. With little in the way of central IT infrastructure, a service like this seemed perfect for our needs. I signed up for the Office 365 beta. Getting started requires a bit of demographic data as well as creating a company URL. While Web sites in the private beta are limited to sub-domains on Microsoft.com, I’m told there will be domain-transfer capabilities added prior to it being released to manufacturing. Building the initial set of services takes a few minutes. As you wait, Microsoft provides a quick start guide that explains the basics of administering the interface. You can migrate existing data from an Exchange server all at once or in batches of mailboxes. It also supports migrating mail from IMAP

Figura 3 administrar los servicios admini Office 365

Aunque la simplicidad es buena, es lo que no fundamentalmente genial. Ninguna de estas técnicamente nueva. Exchange ha sido dura en una plataforma de colaboración completa siempre ha sido un repositorio de documento (anteriormente Office Communications Serve donde se produce la comunicación en tiempo propuesta de valor no es con la característica sola, se encuentra en el hecho de que todas están integradas automáticamente. Si alguna conectar estos tres paquetes masivos usted hacerlo correctamente toma tiempo y experi el 99,9 por ciento garantizado el tiempo de a normalmente requiere costoso ayuda extern

Decidir por sí mismo

Después de la demostración, decidí iniciar m concepto para mi compañía, concentrado de

servers. However, IMAP migrations will not automatically migrate una empresa de analistas pequeñas con uno

contacts and calendar entries. You can also migrate SharePoint data, but automating the process requires third-party tools. The next step is installing Microsoft Office, the Microsoft Online Services Connector and Lync 2010 to local desktops. You know what Office does.The connector extends the reach of Microsoft Office from the local desktop to the Office 365 cloud services. Lync completes the installation, adding collaboration features such as instant messaging, audio, video and online meetings. Once everything is ready, ActiveSync for Android, iPhone, BlackBerry and Windows Phone integrates mobile devices into the workspace.

Limited, for Now

Office 365 is currently in limited beta, which means Microsoft will limit the number of people using the service as the company works out the kinks.Microsoft should be releasing a public beta “in the months to come.” While it’s perfect for smaller businesses, bigger companies aren’t left out in the cold. Microsoft is building its Enterprise Edition of Office 365 for organizations larger than 25 people. That will include expanded features that are more in line with the traditional Exchange, SharePoint and Lync experience. Enterprises that already have these pieces integrated and fully functioning with acceptable uptime may see little reason to jump to a cloud service. For the rest of us, using a cloud service like Office 365 quickly bestows small businesses with the collaboration tools enjoyed by the largest enterprises.And, most importantly, while you might not control everything, it works.

servers. However, IMAP migrations will not automatically migrate una empresa de analistas pequeñas con uno contactsConcentratedTech.com . SIDEBAR: Get Recognized for Your Best Tips Are you a Jack-of-all-trades (JOAT) Windows administrator? Are you responsible for networks, servers, printers and everything in-between? If so, you’ve surely developed some useful tips and tricks for keeping those servers running. Interested in sharing? TechNet Magazine ’s Geek-of-all-Trades columnist Greg Shields is looking for a few good tips for an upcoming column, and he’s seeking your help. Got a smart tip for managing your Windows servers? Figured out a nifty tactic for keeping desktops running? Care to share a secret trick for managing your IT environment? Shields’ “Top 20 IT Tips” will appear in an upcoming TechNet Magazine issue. He’ll recognize the top 20 smartest IT JOATs in the industry alongside their game-changing tip or trick. Submit yours today! Get your name published, extol your virtues and remind everyone why you’re the ones that get the real work done. Send your tips to gshields@concentratedtech.com. Every submitted tip will get a response. repartidos por todo el país.Con poca o en el d de TI central, un servicio como éste parecía p nuestras necesidades. Se han firmado para l Office 365 . Introducción, requiere un poco de datos dem la creación de una dirección URL de la compa los sitios Web en la versión beta privada está subdominios en Microsoft.com, me han dicho de transferencia de dominio agregarán antes a fabricación. El conjunto inicial de servicios lleva unos min espera, Microsoft proporciona un Guía de inic explica los conceptos básicos de la administr interfaz. Puede migrar datos existentes desd Exchange a la vez o por lotes de buzones. Ta migración de correo desde los servidores IMA migraciones de IMAP no migrará automática del calendario y contactos. También puede m SharePoint, pero automatizar el proceso requ de terceros. El siguiente paso está instalando Microsoft O servicios en línea de Microsoft y Lync (2010) de escritorio locales. Sabe lo que hace de Off extiende el alcance de Microsoft Office desde los servicios de la nube de 365 de Office. Lyn instalación, agregar características de colabo mensajería instantánea, las reuniones en líne vídeo. Una vez que todo está listo, ActiveSyn iPhone, BlackBerry y teléfonos Windows integ móviles en el área de trabajo. Limitado, por ahora Office 365 está actualmente en versión beta significa que Microsoft limitará el número de el servicio como la empresa funciona el probl debe publicar una versión beta pública "en lo Aunque resulta perfecto para pequeñas emp más grandes no se omitiera en el frigorífico. generando su Enterprise Edition de Office 36 organizaciones de mayores que 25 personas. características ampliadas que son más en lín experiencia tradicional de Exchange, ShareP Las empresas que ya tienen estas piezas inte en su totalidad con el tiempo de actividad ac pocos motivos para saltar a un servicio de nu nosotros, utilizando un servicio de nube com rápidamente puso pequeñas empresas con la colaboración que gozan las empresas más gr importante, aunque no es posible que contro " id="pdf-obj-47-10" src="pdf-obj-47-10.jpg">

Greg Shields , MVP, is a partner at Concentrated Technology. Get more of Shields’ Jack-of-all-trades tips and tricks at ConcentratedTech.com.

SIDEBAR: Get Recognized for Your Best Tips

Are you a Jack-of-all-trades (JOAT) Windows administrator? Are you responsible for networks, servers, printers and everything in-between? If so, you’ve surely developed some useful tips and tricks for keeping those servers running. Interested in sharing? TechNet Magazine’s Geek-of-all-Trades columnist Greg Shields is looking for a few good tips for an upcoming column, and he’s seeking your help. Got a smart tip for managing your Windows servers? Figured out a nifty tactic for keeping desktops running? Care to share a secret trick for managing your IT environment? Shields’ “Top 20 IT Tips” will appear in an upcoming TechNet Magazine issue. He’ll recognize the top 20 smartest IT JOATs in the industry alongside their game-changing tip or trick. Submit yours today! Get your name published, extol your virtues and remind everyone why you’re the ones that get the real work done. Send your tips to gshields@concentratedtech.com. Every submitted tip will get a response.

repartidos por todo el país.Con poca o en el d de TI central, un servicio como éste parecía p nuestras necesidades. Se han firmado para l Office 365. Introducción, requiere un poco de datos dem la creación de una dirección URL de la compa los sitios Web en la versión beta privada está subdominios en Microsoft.com, me han dicho de transferencia de dominio agregarán antes a fabricación. El conjunto inicial de servicios lleva unos min espera, Microsoft proporciona un Guía de inic explica los conceptos básicos de la administr interfaz. Puede migrar datos existentes desd Exchange a la vez o por lotes de buzones. Ta migración de correo desde los servidores IMA migraciones de IMAP no migrará automática del calendario y contactos. También puede m SharePoint, pero automatizar el proceso requ de terceros. El siguiente paso está instalando Microsoft O servicios en línea de Microsoft y Lync (2010) de escritorio locales. Sabe lo que hace de Off extiende el alcance de Microsoft Office desde los servicios de la nube de 365 de Office. Lyn instalación, agregar características de colabo mensajería instantánea, las reuniones en líne vídeo. Una vez que todo está listo, ActiveSyn iPhone, BlackBerry y teléfonos Windows integ móviles en el área de trabajo.

Limitado, por ahora

Office 365 está actualmente en versión beta significa que Microsoft limitará el número de el servicio como la empresa funciona el probl debe publicar una versión beta pública "en lo Aunque resulta perfecto para pequeñas emp más grandes no se omitiera en el frigorífico. generando su Enterprise Edition de Office 36 organizaciones de mayores que 25 personas. características ampliadas que son más en lín experiencia tradicional de Exchange, ShareP Las empresas que ya tienen estas piezas inte en su totalidad con el tiempo de actividad ac pocos motivos para saltar a un servicio de nu nosotros, utilizando un servicio de nube com rápidamente puso pequeñas empresas con la colaboración que gozan las empresas más gr importante, aunque no es posible que contro

servers. However, IMAP migrations will not automatically migrate una empresa de analistas pequeñas con uno contactsConcentratedTech.com . SIDEBAR: Get Recognized for Your Best Tips Are you a Jack-of-all-trades (JOAT) Windows administrator? Are you responsible for networks, servers, printers and everything in-between? If so, you’ve surely developed some useful tips and tricks for keeping those servers running. Interested in sharing? TechNet Magazine ’s Geek-of-all-Trades columnist Greg Shields is looking for a few good tips for an upcoming column, and he’s seeking your help. Got a smart tip for managing your Windows servers? Figured out a nifty tactic for keeping desktops running? Care to share a secret trick for managing your IT environment? Shields’ “Top 20 IT Tips” will appear in an upcoming TechNet Magazine issue. He’ll recognize the top 20 smartest IT JOATs in the industry alongside their game-changing tip or trick. Submit yours today! Get your name published, extol your virtues and remind everyone why you’re the ones that get the real work done. Send your tips to gshields@concentratedtech.com. Every submitted tip will get a response. repartidos por todo el país.Con poca o en el d de TI central, un servicio como éste parecía p nuestras necesidades. Se han firmado para l Office 365 . Introducción, requiere un poco de datos dem la creación de una dirección URL de la compa los sitios Web en la versión beta privada está subdominios en Microsoft.com, me han dicho de transferencia de dominio agregarán antes a fabricación. El conjunto inicial de servicios lleva unos min espera, Microsoft proporciona un Guía de inic explica los conceptos básicos de la administr interfaz. Puede migrar datos existentes desd Exchange a la vez o por lotes de buzones. Ta migración de correo desde los servidores IMA migraciones de IMAP no migrará automática del calendario y contactos. También puede m SharePoint, pero automatizar el proceso requ de terceros. El siguiente paso está instalando Microsoft O servicios en línea de Microsoft y Lync (2010) de escritorio locales. Sabe lo que hace de Off extiende el alcance de Microsoft Office desde los servicios de la nube de 365 de Office. Lyn instalación, agregar características de colabo mensajería instantánea, las reuniones en líne vídeo. Una vez que todo está listo, ActiveSyn iPhone, BlackBerry y teléfonos Windows integ móviles en el área de trabajo. Limitado, por ahora Office 365 está actualmente en versión beta significa que Microsoft limitará el número de el servicio como la empresa funciona el probl debe publicar una versión beta pública "en lo Aunque resulta perfecto para pequeñas emp más grandes no se omitiera en el frigorífico. generando su Enterprise Edition de Office 36 organizaciones de mayores que 25 personas. características ampliadas que son más en lín experiencia tradicional de Exchange, ShareP Las empresas que ya tienen estas piezas inte en su totalidad con el tiempo de actividad ac pocos motivos para saltar a un servicio de nu nosotros, utilizando un servicio de nube com rápidamente puso pequeñas empresas con la colaboración que gozan las empresas más gr importante, aunque no es posible que contro " id="pdf-obj-47-35" src="pdf-obj-47-35.jpg">

Related Content

Greg Shields , MVP, es socio de Concentrat Technology. Obtener el máximo partido de la descuidarse trucos y enConcentratedTech.co

Barra lateral: Obtener reconoc las mejores sugerencias

¿Eres un administrador de Windows descuida responsables de las redes, servidores, impre intermedias? Si es así, sin duda ha desarrolla sugerencias y trucos útiles para mantener es ejecución. ¿Le interesa compartir? TechNet M todos los tráficos columnista Greg Shields bu sugerencias buenas para el próximo artículo, ayuda. ¿Tiene una sugerencia inteligente para admi servidores de Windows? ¿Descubrió alguna t para mantener los escritorios en ejecución? ¿ compartir un truco secreto para administrar TI? "Top 20 TI sugerencias de pletinas" apare próximo technet Magazine problema. Recono smartest en la industria al lado de su sugere innovadoras. Enviar suya hoy mismo! Obtene publicado, ensalzaban las virtudes y recuerd estás las que realizar el trabajo real. Envíe su gshields@concentratedtech.com. Cada suger obtendrá una respuesta.

Contenido relacionado

IDENTIDAD EN LA NUBE

Información general

La identidad es uno de los desafíos centrales que la mayoría de aplicaciones de nube deben enfrentar. Las aplicaciones de nube están distribuidas por diseño, pero todos los nodos deben ser compatibles con el mismo reconocimiento de identidad. Quién es el usuario? Qué permisos se deben otorgar? Las preocupaciones de clientes sobre seguridad, privacidad y control operacional encabezan la lista de los límites potenciales al uso de soluciones de nube. Clientes que estén considerando cargar sus aplicaciones a la nube deben tener garantías de que el modelo de identidad que se implementa en la nube es coherente con sus requisitos y necesidades. Hay distintas maneras de construir compatibilidad con identidad in una aplicación. El entorno de nube permite el uso de escenarios sofisticados tales como la colaboración, la mediación y el inicio de sesión único o “single sign-on” (SSO). En tales escenarios, la compatibilidad con identidad tradicional puede ser difícil de implementar.

Este artículo describe la infraestructura que la plataforma de Windows Azure proporciona y que ofrece Windows Azure Appfabric para permitir implementación de seguridad sencilla pero segura en estos escenarios.

Qué es identidad?

Antes de describer las tecnologías y la arquitectura de identidad es importante definer la identidad.

La definición de “identidad” del diccionario es:

Todo aquello que hace que una entidad sea definible y reconocible, en términos de posesión una serie de cualidades o características que la distingan de otras entidades.

Para los propósitos de aplicaciones software, esta definición se traduce en “la colección de información que describe una entidad para distinguirla de otras”.

La identidad es, entonces, una colección de información. Esa información puede tener un nombre, una fecha de nacimiento, una dirección, una identificación de empleo, un número de seguridad social (Social Security Number), etc. Es importante notar que las entidades (es decir, las personas), pueden usar información de identidad distinta en contextos distintos. Por ejemplo, la información de identidad personal de una persona (como se escribiría en Facebook), puede ser muy diferente de la información de identidad profesional (como se escribiría en Active Directory en la oficina).

Existen tres escenarios de uso principales que tienen que ver con la identidad:

Autenticación: El proceso de probar una identidad. Una entidad (usuario) usa credenciales (piezas relevantes de información) para comprobar su identidad ante la aplicación. Autorización: El proceso de conceder permisos a una identidad y de implementar políticas que permitan a las entidades ejecutar tareas únicamente si han obtenido los permisos relevantes. Consulta de identidad: El proceso de consultar o buscar información de identidad para el uso general de la aplicación.

Tecnologías de identidad

Existen muchas tecnologías diferentes para construir compatibilidad con identidad en las aplicaciones. Como se describirá a continuación, algunas tecnologías utilizan administración basada en roles, mientras que otras se basan en un enfoque basado en notificaciones.

Las tecnologías de identidad se pueden dividir en tres categorías principales:

Almacenes de identidad (Proveedores):

Estas tecnologías son responsables de almacenar un diccionario de información de identidades. Los almacenes de identidad manejan toda la información que describe a las entidades y sus relaciones con otras entidades en el dominio. El resultado es una serie complicada de información que debería en todo caso ser fácil de consultar con el uso de los interfaces del almacén de identidad. Ejemplos: Active Directory, ADFS, SQL.

Selectores de identidad:

Estas tecnologías son las responsables de seleccionar un almacén de identidad y un método de autenticación. Los usuarios se pueden registrar en uno o varios almacenes de identidad (ej., Windows Live ID, Facebook, etc.) Los protocolos de autenticación utilizan selectores de identidad para permitirles a los usuarios escoger el almacén de identidad ante el cual quieren recibir autenticación. Ejemplo: Cardspace 2.0

Marcos de autenticación y de autorización:

Estas tecnologías son las responsables de autenticar las solicitudes y de hacer respetar (enforce) las políticas de acceso. Esto incluye el proceso de comprobar credenciales cotejando la información de los almacenes de identidad, creando tokens de seguridad válidos que contengan la información requerida por la aplicación para identificar a la identidad y sus permisos , y de establecer “porteros” (gatekeepers) que otorguen permisos a solicitudes válidas y nieguen el acceso a solicitudes no autorizadas Ejemplos: ASP.NET Forms authentication, Kerberos, WIF, OpenID Windows Azure es compatible con estos tres tipos de tecnologías de identidad, lo que le permite a los clientes fácilmente migrar aplicaciones a la nube. Por ejemplo, es posible unirse al dominio de aplicaciones de la nube y usar Windows Identity basado en roles, o bien, también es posible usar ADFS 2.0 con ACS y autenticar con el uso de identidad basada en notificaciones.

Identidad basada en roles

La identidad basada en roles es el enfoque tradicional que usan las aplicaciones para la

administración de identidad. Las entidades se dividen en grupos (roles) y los permisos se conceden de acuerdo a pertenencia en los grupos.

La identidad basada en roles es apropiada para escenarios sencillos: el usuario suministra sus credenciales (ej. un nombre de usuario y una contraseña); el marco de autenticación comprueba las credenciales en un almacén de identidades (ej. Base de datos SQL) y asigna el usuario a un grupo de roles y establece un contexto de seguridad en el que se ejecutará la aplicación (ej., Principal). La aplicación luego puede revisar de manera activa si el usuario en ejecución “IsInRole” antes de ejecutar operaciones sensibles permitidas únicamente a un grupo específico de miembros).

Los marcos de autenticación basada en roles generalmente proporcionan la infraestructura con la cual asignar grupos a permisos, y hacen cumplir y respetar la política de seguridad al permitir únicamente a aquellos usuarios a quienes se les concedieron los permisos requeridos, acceso a recursos confidenciales. Esto libera a la aplicación de tener que revisar activamente los permisos del usuario antes de cada acción.

La sencillez es una ventaja principal de la seguridad basada en roles. En algunos casos, sin embargo, estos escenarios sencillos simplemente fallan. Qué pasa si una aplicación necesita más información sobre el usuario que la que provee en un marco de autenticación? Qué pasa si los usuarios que maneja un socio necesitan acceso a la aplicación? Los marcos basados en roles no se diseñaron para la federación de identidades entre distintos proveedores de identidad.

- Implementación de identidad basada en roles en Azure

La mayoría de aplicaciones web hoy en día utilizan identidad basada en roles. La mayoría de usuarios, al considerar hospedar sus aplicaciones existentes en la nube, no aceptarían tener que cambiar su enfoque y tecnología de identidad. Por eso Windows Azure permite a los usuarios continuar el uso de su marco existente de identidad en la nube. Cuando Kerberos (Windows Identity) se utiliza como el marco de autenticación, los roles en funcionamiento en la nube deben conectarse al Centro de distribución de Kerberos, o Kerberos Distribution Center (KDC). Sin embargo, el KDC y el controlador de dominio o domain controller (DC) nunca están expuestos a la web. Afortunadamente, Azure Connect permite establecer un VLN entre roles en ejecución en la nube y aquellos que están en los servidores locales. De esta manera, es posible establecer conexión entre Azure Roles y el controlador de dominio. Tales roles automáticamente se suscribirán al dominio y podrán usar sus identidades.

La aplicación ASP.NET introdujo proveedores de pertenencia, rol y perfil en el año 2005. Desde entonces, muchas aplicaciones web han usado su infraestructura sencilla pero ponderosa para administrar sus identidades. Las pertenencias definen a los usuarios, los roles asignan usuarios a grupos, y los perfiles guardan información arbitraria que pertenece a los usuarios. ASP.NET define esquemas de bases de datos requeridos por los proveedores predeterminados. Este esquema se puede implementar como una base de datos separado o se puede combinar con la existente. En la configuración de la aplicación (ej. web.config), los proveedores se definen y se adjuntan a la base de datos mediante el uso de una cadena de conexión. Los proveedores usan ADO.NET para acceder los datos (TDS sobre puerto 1433). La conexión a SQL Azure es compatible con TDS, y así proporcionar una cadena de conexión a SQL Azure es completamente transparente para los proveedores. Una aplicación ASP.NET puede funcionar como un web rol y usar una base de datos implementada en SQL Azure para almacenar los datos del proveedor. Durante la migración de una aplicación a la nube, por lo tanto, todo lo que usted tiene que hacer es cargar la base de datos existente a SQL Azure y actualizar las cadenas de conexión. Si la información de identidad debe permanecer en las instalaciones locales (on-premises) es posible usar Azure Connect y apuntar cadenas de conexión al servidor que esté hospedando la base de datos. El hecho de que todos los métodos de autenticación que son compatibles con ASP.NET (tales como autenticación Windows y autenticación de formas) aún son compatibles con Windows Azure remueve uno de los obstáculos más serios a la migración de aplicaciones.

Identidad basada en notificaciones

La administración de identidades es un nuevo enfoque del manejo de identidades. Fue diseñada para resolver algunos problemas y preocupaciones que despertó el enfoque de identidad basada en roles descritos anteriormente. En el enfoque basado en notificaciones, un usuario presenta su identidad a la aplicación mediante el uso de un token que contiene una serie de claims o notificaciones. Una notificación podría ser el nombre del usuario; otra notificación podría ser una dirección de correo electrónico. La autenticación no la implementa la aplicación. Los usuarios autentican comprobando con un sistema externo de identidad conocido como un security token device (STS), que les proporciona tokens a los usuarios para que le entreguen a la aplicación. La aplicación puede después, de manera segura, usar la información que se encuentra en el token debido a la relación de confianza que se ha establecido entre el STS y la aplicación. Para cada solicitud que hace el usuario, el STS está configurado para darle a la aplicación todo lo que necesita saber acerca del usuario, además de la garantía criptográfica de que los datos de identidad recibidos en realidad proviene de una fuente de confianza. Sacar la autenticación de las aplicaciones lleva a muchos beneficios para desarrolladores, profesionales de IT, y usuarios. Dicho de manera simple, hay menos cuentas de usuarios para que todas las personas manejen, y la centralización de autenticación que resulta hace que sea más fácil hacer un upgrade a métodos más fuertes de autenticación a medida que evolucionan, e incluso la identidad federada con otras plataformas y organizaciones. En una solución basada en notificaciones, por lo tanto, la aplicación no necesita conectarse a ningún directorio de empresa en particular para buscar los detalles de la identidad de los usuarios. En cambio, la solicitud de los usuarios llega con todos los detalles de identificación que necesita la aplicación para hacer su trabajo. Para el momento en que llega el usuario con todas estas notificaciones, ya ha sido autenticado, y la aplicación puede seguir con sus asuntos sin preocuparse por administrar o buscar cuentas de usuario. El resultado es una aplicación más sencilla con menos código de infraestructura. La unión con un nuevo asociado es sencilla en un escenario basado en notificaciones. La autenticación a través de un STS puede ser transitiva; si un socio tiene un STS que no es de

confianza de la aplicación, pero se puede establecer la confianza entre este STS y otro STS que es de confianza de la aplicación, entonces los usuarios del asociado pueden proporcionar el STS de la aplicación con un token que han recibido de su propio proceso de autenticación, usando el token para adquirir otro token que después se puede utilizar para llamar a la aplicación.

  • - Escenario básico

El escenario básico identidad basada en notificaciones es relativamente sencillo.

confianza de la aplicación, pero se puede establecer la confianza entre este STS y otro STS

Figura 1

La aplicación y el STS establecen una relación de confianza con el intercambio de claves criptográficas. (1). La aplicación expone una política que define una lista de notificaciones que necesita y los STS de confianza que pueden producir dichas notificaciones. Luego de recuperar esta política (2), el cliente contacta el STS (3), solicita las notificaciones requeridas por la aplicación. El STS autentica al usuario y le devuelve un token de seguridad que contiene todas las notificaciones. El cliente luego hace la solicitud a la aplicación (4), enviando el token de seguridad con la solicitud del servicio. La aplicación valida el token y usa las notificaciones para hacerle una revisión al cliente y formular la respuesta.

  • - La Federación

Con el enfoque basado en notificaciones, la federación es sencilla de implementar porque la aplicación se desacopla de la administración de identidad y de los almacenes de identidad. Lo único que la aplicación necesita es un token de un STS de confianza; no necesita saber de qué manera el cliente suministró su identidad al STS y recibió el token. La federación es útil, por consiguiente, cuando una aplicación necesita proporcionar servicio a clientes que estén por fuera de su dominio natural. Esto podría surgir, por ejemplo, cuando un servicio interno disponible a los empleados de una compañía se extiende y debe servir a los empleados de un asociado también, cuyas identidades se administran por fuera de la compañía. Esta situación está ilustrada en la Figura 2.

Figura 2 En este ejemplo, la Administración de Contoso ha emitido órdenes administrativas al departamento de

Figura 2

En este ejemplo, la Administración de Contoso ha emitido órdenes administrativas al departamento de IT para permitir a los empleados de su asociado, Fabrikam, el uso de una aplicación que hasta el momento sólo ha estado disponible para empleados de Contoso. La política de servicio es muy sencilla: se presenta el token creada por el STS de Contoso, y se proveerá el servicio. Los empleados de Contoso pueden con facilidad recibir el token y usar el servicio, pero los empleados de Fabrikam no tienen la habilidad de usar el STS de Contoso. Por lo tanto, en lugar de incorporar una relación directa con el STS de Fabrikam a la aplicación, los empleados de Fabrikam pueden usar los tokens que han recibido del STS de Fabrikam para que el STS de Contoso les de un token basado en el hecho de que confía en el STS de Fabrikam. Los empleados seran autenticados en el STS local de la organización (1), recibirán un token (2), y lo presentarán ante el STS de Contoso (3). Cuando se ha establecido la confianza entre dos STS, las reglas de asignación de notificaciones se definieron. Usando estas reglas, el STS de Contoso asigna las notificaciones suministradas por el STS de Fabrikam y las utiliza para crear un token válido para la aplicación (4). Luego de recibir el token producido por el STS de Contoso, los empleados de Fabrikam pueden enviarlo a al aplicación para recibir el servicio (5).

- Interoperabilidad

Los protocolos que ejecutan aplicaciones distribuidas deben estar estandarizadas para permitir la colaboración entre distintas tecnologías y plataformas. El grupo más popular de estándares relativas a servicios web se llama WS-*, y contiene estándares tales como WS- Security, WS- Federation y WS-Trust. Es vital que el STS sea interoperable con todos los diferentes tipos de usuarios y usuarios de confianza que usarán sus servicios. Varios estándares de WS-* se usan en el escenario descrito anteriormente. La política se recupera usando http GET y la política en sí misma se estructura de acuerdo a las especificaciones de WS-Security, WS-Federation y WS-Trust. El STS expone los extremos que implementan la especificación de WS-Trust, que describe como hacer la solicitud y la recepción de tokens de seguridad. La mayoría de STS emiten tokens de SAML (Security Assertion Markup Language). SAML es un vocabulario XML reconocido por la industria que se puede usar para representar notificaciones de una manera interoperable.

SAML, con WS-Federation y WS-Trust standards, define todos los detalles alrededor de la autorización basada en notificaciones:

• Los escenarios de casos de autorización basada en notificaciones • Los protocolos de comunicación • Los jugadores y sus tareas en los protocolos

• La estructura de los metadatos expuestos por cada uno de los usuarios.

La adherencia a los estándares permite la comunicación con otros STS que estén en plataformas completamente distintas y permite inicio de sesión único en muchas aplicaciones, sin importar el tipo de plataforma. El desarrollador se libra de tener que manejar todos los detalles de estándares de SAML y WS-*, porque WIF y ACS (descrito más adelante), hacen todo el trabajo pesado y proporcionan interfaces sencillas y modelos de objetos a ser usadas por el desarrollador.

- Escalabilidad y disponibilidad

El STS es un elemento principal en soluciones basadas en notificaciones. Si el STS está abajo (down) o no está disponible, los usuarios no podrán recibir tokens y por lo tanto no se les permitirá el uso de la aplicación. Adicionalmente, un STS individual probablemente se utilizará para servir a múltiples aplicaciones con distintas cargas de trabajo al mismo tiempo. Por esto, el STS debe estar diseñado para ser escalable y disponible en todo momento, y debería poder manejar picos impredecibles en la demanda. La nube es un entorno natural para hospedar este tipo de aplicación. No es por lo tanto sorprendente que uno de los servicios proporcionado por la plataforma de Windows Azure es un STS. Este STS se llama Access Control Service (Servicio de Control de Acceso)

Access Control Service (ACS)

Windows Azure AppFabric Access Control Service (ACS) 2.0 es un servicio hospedado que proporciona autenticación federada y de autorización manejada por reglas basada en notificaciones para aplicaciones de Winddows Azure. Al desempeñar el rol de un recurso de STS que puede recibir notificaciones de usuarios externos y las transforma en notificaciones que la aplicación puede utilizar, ACS 2.0 les permite a los usuarios lograr una externalización real de las políticas de autorización, y de esta manera ofrece la oportunidad de desacoplar las aplicaciones para la mayoría de la lógica de autorización, al hospedar esa lógica (en la forma de reglas de transformación de notificaciones) en el ACS en sí.

ACS 2.0 les permite a los desarrolladores construir aplicaciones y servicios que acepten tanto identidades empresariales (a través de la integración con Active Directory Federation Services 2.0), y una amplia gama de identidades web (a través de la compatibilidad con identidades de Windows Live ID, OpenID, Google, Yahoo y Facebook) con el uso de un único código de base. ACS 2.0. proporciona compatibilidad con los formatos de token de SAML 1.1, SAML 2.) y Simple Web Token (SWT), y está plenamente integrado con el marco de Windows Identity Foundation (WIF).

Como se describió anteriormente, un STS es un servicio necesario para todas las aplicaciones basadas en notificaciones. Acces Control Service es un STS confiable, escalable y disponible que ofrece Azure para el uso de todas las aplicaciones basadas en notificaciones ejecutadas por clientes de Azure. Access Control Service tiene un portal simple que es accesible desde el portal principal de Azure. Para crear un sTS, lo único que usted tiene que hacer es abrir un espacio de nombres en AppFabric y habilitar Access Control La configuración del STS consta de tres pasos principales:

Paso 1: Configurar proveedores de identidad. Establezca la confianza con proveedores de identidad (STS) que emitirán tokens de entrada. Una vez establecida la confianza, el aCS puede procesar tokens que se originen de estos STS y

asignar notificaciones de entrada a notificaciones de salida. El ACS viene con una lisa de proveedores de identidad que ya son de la confianza de Azure, tales como Google, Yahoo y Windows Live ID. Usted puede seleccionar entre estos o establecer confianza con ACS y su propio ADFS 2.0 u otros STS predeterminados.

Paso 2: Establecer confianza con una aplicación de relying party (RP), o usuario de confianza. En ACS, una aplicación de usuario de confianza es sólo una proyección de la aplicación al sistema. La RP define los URLs para la aplicación, la preferencia de formato de token, el tiempo de expiración del token, las opciones de firma del token, y las opciones de cifrado del token.

Paso 3: Definir reglas de asignación. Defina las reglas de asignación que definen cómo ACS emitirá tokens a su aplicación de acuerdo a las notificaciones de entrada proporcionadas por los proveedores de identidad.

Después de la configuración, el portal proporciona una sección de Aplication Integration (Integración de la aplicación), que incluye toda la información necesaria para agregar una referencia STS (usando WIF) al ACS. Generalmente todo lo que usted necesita es el extremo de metadatos expuesto por el ACS.

Windows Identity Foundation

WIF es un marco para la implementación de aplicaciones para notificaciones. Puede ser utilizado en cualquier aplicación web, servicio web, aplicación de nube, o aplicación local. WIF fue diseñada para facilitar la interacción con notificaciones al proporcionar un API simple y herramientas que unificarán y simplificarán aplicaciones para notificaciones. Está construido sobre el plumbing (la fontanería o las instalaciones sanitarias) de WCF y utiliza a cabalidad su sencillez y extensibilidad. WIF también implementa todos los estándares relacionados de WS-* y SAML. WIF liberando al desarrollador de tener que manejar sus detalles. , WIF ofrece una variedad de otras posibilidades además: un API simple para administración de tokens y de notificaciones, una clase base para la construcción de un STS personalizado, ASP.NET HttpModules para procesamiento de tokens al interior del la canalización http de aplicaciones basadas en la red, y mucho más. Con WIF, desarrollador está escudado de todo el trabajo pesado criptográfico requerido para implementar protocolos basados en notificaciones. WIF descifra el token de seguridad presentado por el cliente, valida su virma, valida cualquier clave de prueba, destruye el token en una serie de notificaciones, y los presenta al desarrollador a través de un modelo de objetos fácil de consumir. WIF está plenamente integrado con Visual Studio 2010. Proporciona las herramientas necesarias para integrar compatibilidad con notificaciones en las aplicaciones web existentes a través de tan sólo unos pocos clics del mouse. WIF es la tecnología recomendada para integrar Azure AppFabric ACS en su aplicación.

Conclusión

Casi todas las aplicaciones deben manejar la identidad, que es un pilar principal en la aplicación

de la seguridad. Windows Azure es compatible tanto con el enfoque de la identidad basada en notificaciones como con el enfoque la identidad basada en roles. La administración de la identidad no es un tema sencillo. La mayoría de los desarrolladores no son expertos en seguridad, y se sentirán incómodos al ser asignados las tareas de autenticar, autorizar, y personalizar experiencias para los usuarios.

La identidad basada en notificaciones saca la administración de la identidad fuera de los límites

de la aplicación, liberando al desarrollador y al profesional IT de esa pesada carga de responsabilidad. Produce tokens que contienen información sobre el usuario en la forma de notificaciones. De estos tokens, la aplicación recibe toda la información que necesita sobre el usuario, y esta información se adjunta a la solicitud de servicio. Crear un STS no es sencillo. Un STS debe ser escalable, confiable y disponible. Windows Azure APPFabric por eso ofrece una STS tal como un servicio: escalable, confianza y disponible por diseño, porque se ejecuta en una nube de Windows Azure.

Office 365 gives you access to email, calendar, and contacts from virtually anywhere, at any time, on desktops, laptops, and mobile devices*—while it helps to protect against viruses and spam.

Features

Work from almost anywhere and get automatically updated email, calendar, and contacts on the devices you use most, including PCs, Macintosh computers, iPhone, Android phones, Symbian phones, BlackBerry smartphones**, Windows Mobile, and Windows Phones*.

Get professional, easy-to-manage email. Exchange Online provides each user with a 25- gigabyte (GB) mailbox and lets them send email messages up to 25 megabytes (MB).

Connect with Microsoft Outlook 2010 or Outlook 2007 and use all of the rich Outlook functionality you already know and use, whether you are connected to the Internet at home or in the office or you are working offline.

Easily schedule meetings by sharing calendars and viewing them side by side, so you can see your colleagues’ availability and suggested meeting times from your calendar.

Access your email, calendar, and contacts from nearly any web browser while you keep the rich, familiar Outlook experience with Microsoft Outlook Web App.

Help protect your organization from spam and viruses with Microsoft Forefront Online Protection for Exchange, which includes multiple filters and virus-scanning engines.

Screenshots

de la aplicación, liberando al desarrollador y al profesional IT de esa pesada carga de responsabilidad.

Anywhere access

Anywhere access across PCs, mobile devices, and browsers.

Robust management tools Robust management tools keep you in control. Familiar interface Users work with the

Robust management tools

Robust management tools keep you in control.

Robust management tools Robust management tools keep you in control. Familiar interface Users work with the

Familiar interface

Users work with the same Microsoft Outlook and Office programs they already know.

* Access from mobile devices requires Wi-Fi capability or depends on carrier network availability. **Users of BlackBerry Internet Service get push email and can add calendar and contacts to their BlackBerry devices by wired synchronization (sync) with Outlook on the PC.

¿Qué es Computación confiable?

Publicado: 20/02/2007

Robust management tools Robust management tools keep you in control. Familiar interface Users work with the

Muchas veces hemos oído hablar de Computación Confiable (Trustworthy Computing, TwC). Si bien se trata de un concepto que ha logrado una importante difusión en los últimos tiempos, es necesario delimitar con claridad cuál es su función en el desarrollo de Tecnologías de la Información. Para ello, la mejor forma de conocer más acerca de este novedoso concepto es a través de una serie de preguntas, que orientan el sentido de este concepto. La iniciativa de TwC (Trustworthy Computing) fue diseñada por Microsoft con un enfoque de trabajo colaborativo a largo plazo que busca crear y disponer para la comunidad en general una computación basada en best practices más segura, privada y confiable. La computación se ha vuelto día a día en una parte esencial de nuestras vidas, pero la confianza para el uso de la misma es vital para garantizar su uso, su mejora y su continuidad. TwC surgió en el 2001 como una necesidad concreta del mercado y la comunidad general sobre la importancia de contar con soluciones que consideren los aspectos de seguridad tanto como aquellos aspectos de operación y funcionalidad. En función de lo anterior, Microsoft respondió con el modelo TwC basado en 4 pilares: Seguridad, Privacidad, Confiabilidad y Mejores prácticas. Seguridad: garantizar la seguridad de los sistemas y la información contra ataques (basado en un enfoque que considera a las tecnologías, las personas y los procesos como bases de la Seguridad.) Privacidad: mantener segura la información personal, financiera e identidad; mientras su control y uso quedan a disposición de su dueño. Confiabilidad: utilizar software resistente y confiable para atender las necesidades del usuario y el negocio. Mejores prácticas: el objetivo de Microsoft de ser responsable y transparente, con foco interno en la excelencia

de nuestros procesos y decisiones, considerando las mejores prácticas de la industria.

Desde Microsoft trabajamos muy duro para mejorar a diario en todas estas áreas y construir “Confianza” (trust)

¿Cuáles son los componentes de TwC? Seguridad

• Resistente a ataques

• Protege la confidencialidad, integridad y disponibilidad de los datos y sistemas

Privacidad

• Individuos controlan sus datos personales • Productos y servicios online adhieren a principios de información básicos

Confiabilidad

• Excelencia en Ingeniería • Confiable y con desempeño acorde a expectativas • Disponible cuando se necesita

Business Practices

• Interacción abierta y transparente con clientes • Atender problemas con productos y servicios • Ayudar a los clientes a encontrar soluciones apropiadas

¿Qué surgió como resultado de la creación de la iniciativa TwC?

Como resultado de TwC y sus pilares de Seguridad, Privacidad, Confiabilidad y Mejores Prácticas, se diseñó el

modelo de SDL (Secure Development Life Cycle ó Ciclo de vida de desarrollo seguro) y el MSRC (Microsoft Security Response Center). Con ambos modelos, Microsoft ratificó su compromiso indeclinable con la problemática de seguridad y las necesidades informadas por la comunidad IT en general.

SDL (Secure Development Life Cycle ó Ciclo de vida de desarrollo seguro)

Básicamente SDL establece que todo el software desarrollado por Microsoft estará sujeto a un estricto, riguroso y exigente proceso que verificará que todas las cuestiones referidas a seguridad y control hayan sido cumplidas y consideradas antes de liberar el producto al mercado. Este modelo se lo conoce también como SD^3 ó SD * 3 ya que establece que el software desarrollado deberá ser seguro por “default”, por “diseño” y por “desarrollo”. SDL se complementó con un riguroso entrenamiento de los miles de programadores de Microsoft en los temas de seguridad en infraestructura, en aplicaciones y en diseño. Desde el momento que un Software es pensado para su desarrollo, ingresa automáticamente en el modelo de SDL en el cual e establecen diferentes actividades, algunas de ellas son:

• Diseño de un modelo de amenazas (considerando lo que hará dicho Software, en que y con que plataforma o tecnologías se conectaría, etc.) • Pruebas de concepto y aplicación de estándares. • Pruebas focalizadas y revisión de código. • Pruebas de intrusión, etc.

Inicio del

Diseño

Mejores

Verificaci

Revisió

Respuestas

Producto

prácticas y

ones de

n final

herramien

Segurida

de

tas

d

Seguri

dad

Asignar un

Definir la

Aplicar

Revisión

Revisió

Informar sobre consideraciones a tener en

Asesor de

Arquitectura

codificación

de

n

cuenta en el proceso de desarrollo seguro

Seguridad

de Seguridad

y prueba de

aspectos

indepen

(SDL)

y las guias

estándares

de

diente

de Diseño

seguridad

conduci

en el

da por

código

el

equipo

de

segurid

ad

Identificar

Documentar

Aplicar

Pruebas

Pruebas

Análisis posterior de incidentes

hitos claves

aspectos

herramient

de

de

de Seguridad

sensibles de

as de

seguridad

Intrusió

ser atacados

Seguridad

focalizada

n

s

Planificar la

Modelado de

 

Revisión

Doc.

 

integración de

amenazas

respecto

info. de

Seguridad en

de nuevas

cumpli

el Producto

amenazas

miento

Inicio del

Diseño

Mejores

Verificaci

Revisió

Respuestas

Producto

prácticas y

ones de

n final

herramien

Segurida

de

tas

d

Seguri

dad

     

Reunión

Aprobac

 

por

ión final

criterios

y salida

de

de SW

aprobació

al

n

mercad

o

MSRC (Microsoft Security Response Center)

La actitud proactiva en Seguridad de la información es clave para mitigar el riesgo asociado a cualquier problema

y por ende, el enfoque que Microsoft decidió utilizar para informar sobre las mejoras aplicables a los productos y soluciones es MSRC. En este sentido, el segundo martes de cada mes, Microsoft informa proactivamente a todos sus clientes y a la comunidad en general, cuales fueron las mejoras que deben instalar en sus plataformas para corregir los eventuales problemas detectados. Para complementar lo anterior, Microsoft trabaja con un gran número de profesionales, socios de negocios, entidades y organizaciones académicas investigando a diario las mejoras necesarias.

Ciclo de vida de Desarrollo Seguro (SDL)

Cuando hablamos de esta metodología de trabajo, distinguimos cuatro pilares de desarrollo:

Seguro por diseño

• Modelado de Amenazas • Inspección de Código • Pruebas de Intrusión

Seguro por default

• Funcionalidades no utilizadas, por omisión deshabilitadas

• Reducir área de ataque • Mínimos Privilegios

Seguro para implementar

• Guías Prescriptivas • Herramientas de Seguridad

• Capacitación y entrenamiento

Comunicaciones

• Compromiso con la Comunidad • Transparencia • Políticas claras

Microsoft Security Response Center (MSRC)

Entre sus funciones se destacan las siguientes:

Investigar y resolver informes de vulnerabilidad

• Listas de monitores de seguridad

• Un solo punto de coordinación y comunicación

Procesos de Microsoft Security Response

• Hacerse cargo y coordinar el proceso en toda la compañía

• Trabajar para prevenir problemas por medio de la ingeniería de seguridad y cambios en el proceso de desarrollo

Creación de asociaciones y comunicaciones

• Colaborar con la ley y grupos influyentes del sector • Crear una comunidad con descubridores de vulnerabilidades En el proceso de creación de una iniciativa basada en TwC requiere a su vez la creación de un Esquema de

comunicación y divulgación, que posee distintas etapas internas. Estas son:

Antes de la publicación

• Notificación avanzada de boletines de seguridad: tres días hábiles antes de la publicación

Segundo martes (Día de publicación)

• Actualizaciones enviadas al centro de descarga, la actualización de Windows o la actualización de Office

• Boletines publicados • Notificaciones a los clientes a través de correo electrónico y servicio de mensajes instantáneos • Divulgación en la comunidad • Alertas y avisos a MS Field

Tras la publicación

• Conferencia en línea sobre el boletín de seguridad

• Conferencias en línea adicionales si fuese necesario

• Supervisar los problemas de los clientes y la respuesta en el boletín a través de los Servicios de soporte técnico y Windows Update • Mantenimiento del boletín Algunas estadísticas de las mejoras de TwC Como resultado de un modelo exitoso de acción proactiva y exigentes procesos de seguridad en el ciclo de desarrollo, los reportes de incidentes disminuyeron considerablemente. Algunas estadísticas de las mejoras de TwC Carta al lector Es importante hacer un análisis sobre lo que significa “confianza ó trust” cuando hablamos de sistemas de información, de tecnologías, de software de aplicaciones, etc. En la realidad, las tecnologías y el software son utilizados en ambientes tan divergentes como el fin para el cual sirven. En ese contexto, las cuestiones de seguridad tienden a ser un diferenciador para el usuario o la organización. Las tecnologías evolucionan a diario porque el mundo, los negocios, las necesidades y las expectativas también lo hacen y con esta evolución también sus riesgos inherentes. Es cierto y necesario entender que el riesgo cero no existe, vale decir que siempre estaremos frente al riesgo. Nuestro principal desafío es ser proactivo y mitigar el riesgo para llevarlo a un nivel aceptable. ¿Que significa “un nivel aceptable”? Bueno, básicamente establecer un equilibro entre mi inversión en controles de seguridad VS la importancia que tiene para mi ó mi negocio lo que pretendo asegurar. En función de lo expuesto anteriormente, se hace mas sencillo entender porque la Seguridad de la información debe ser tratada como un proceso mas del negocio, por lo tanto debe ser dinámica, evolutiva y proactiva. Es por esto que deberemos trabajar en los aspectos de seguridad a diario, y no sentir frustración alguna porque aparecen nuevas vulnerabilidades o problemas de seguridad que debemos atender. La lucha contra los hackers, troyanos, virus y nuevas amenazas seguirá existiendo, ya que se trata de un riesgo propio e inherente de las Tecnologías de la Información. Por eso es necesario trabajar en un modelo proactivo y de mejora continua, para mitigar de la mejor forma posible, ese riesgo permanente con el que debemos convivir.

Ahora bien: este problema de la seguridad es de todos y de toda la industria, por eso, si consideramos que el software de Microsoft tiene una amplísima base instalada en todo el mundo, se hace entendible porqué estamos siempre sujetos a estos niveles de ataque. Pero como mencioné antes, la seguridad debe ser un proceso constante y evolutivo, por lo cual no debemos frustrarnos por estos inconvenientes y debemos trabajar proactivamente en mejorar y mitigar los riesgos. Esto es lo que hacemos en Microsoft y el compromiso con nuestros clientes es el principal motor de esta iniciativa. Seguiremos trabajando en desarrollar más y mejor tecnología que permita a las personas potenciar al máximo sus capacidades de manera segura.

Ing. Pablo A. Anselmo Gerente de Seguridad Informática de Microsoft Cono Sur