3.1.4 Comportamiento de los elementos gestionados
3.1.4.1 Gestión Basada en Políticas
Para afrontar la gestión de los nuevos entornos más complejos surgen una serie de propuestas que tratan de especificar el comportamiento de gestión mediante políticas, que las organizan en una jerarquía de niveles con lenguajes formales adaptados a cada uno de ellos y que además implican el despliegue de una arquitectura de gestión adecuada. Con el objeto de estandarizar esta arquitectura y posibilitar la interoperabilidad entre equipos de distintos fabricantes, el IETF propone una arquitectura de referencia en la que recomienda una serie de elementos, protocolos y lenguajes de especificación de políticas.
Esta arquitectura permite centralizar la gestión de las políticas e integrar diferentes modelos de gestión para regular las comunicaciones entre los elementos de red que participan en la gestión distribuida. El IETF recomienda el uso de COPS [Chan01], un protocolo muy eficiente y flexible para esta gestión, pero también se abre la puerta para los modelos de gestión tradicionales. Entre ellos, destaca el modelo de gestión de Internet
basado en SNMP, foco de un gran interés por adaptarlo a estos entornos PBM más complejos. La razón es muy simple: se trata de un modelo muy difundido y una tecnología madura implantada en gran cantidad de equipos que actualmente se encuentran en producción.
A continuación se verá cuál es el estado del arte en relación al PBM. A día de hoy, el despliegue de entornos PBM completos es muy escaso, por la complejidad que entraña, aunque sí existen propuestas que incorporan ciertas ideas del PBM. Estas ideas realmente son muy interesantes, y por ello el PBM podría representar el paradigma de gestión del futuro.
DEFINICIÓN DE POLÍTICAS
Según el IETF, el término “política” puede definirse desde 2 perspectivas [Westerinen01]: • Un objetivo definido, o método de acción para guiar y determinar decisiones
presentes y futuras. Las “políticas” se ejecutan dentro de un contexto particular (como por ejemplo políticas definidas en una unidad de negocio)
• Políticas como un conjunto de reglas para administrar, gestionar, y controlar acceso a los recursos de red
Estas dos perspectivas no son contradictorias, puesto que pueden definirse reglas individuales para guiar objetivos de negocio. Según la definición del IETF “policy abstraction” (nivel de abstracción de políticas), las políticas pueden representarse a diferentes niveles de abstracción, desde objetivos de negocio hasta reglas de configuración de dispositivos específicos.
El concepto de niveles de abstracción es de gran importancia para el desarrollo de sistemas autónomos porque permite describir y tener en cuenta las funciones más importantes del comportamiento autónomo a conseguir.
En [Sloman95] se define política como “una regla que define una elección en el comportamiento de un sistema”. Se pone énfasis en separar la política del sistema puesto que el definir la política de forma independiente al sistema es lo que permite que modificando las políticas pueda cambiarse dinámicamente el comportamiento del sistema. Política implica un planteamiento explícito independiente del sistema, mientras que otros tipos de comportamiento pueden estar preprogramados como parte del sistema o dispositivo, o incluso formar parte del modelo de información, como en el caso de las restricciones implícitas.
En [Moffet93] se definen los siguientes tipos de políticas:
• Políticas de Autorización: indica sobre los permisos de un “sujeto” sobre un “dominio”
• Políticas de Delegación: indica sobre la posibilidad de un “sujeto” para delegar sus privilegios o permisos
• Políticas de Obligación: especifica las acciones que un “sujeto” debe realizar como respuesta ante eventos o el cumplimiento de determinadas condiciones
• Políticas de Restricción: indica las acciones que un “sujeto” no podrá realizar en el “dominio”
• Políticas Compuestas: políticas que agrupan varios de los tipos anteriores Se definen también los siguientes conceptos asociados a políticas:
• “Rol” (role): los roles se utilizan generalmente para albergar un conjunto de políticas. Los roles pueden expresar los derechos, obligaciones, y tareas de un puesto o función
• “Sujeto” (subject): representa un individuo que puede asumir uno o varios roles • “Dominio” (domain): los dominios son conjuntos de objetos gestionados bajo un
mismo control administrativo
Otro concepto importante en el terreno de la definición de políticas es el concepto de “evento”. Los eventos son señales provenientes del entorno de gestión que indican que ha ocurrido un posible cambio de estado en el dominio de gestión. Los eventos se utilizan para lanzar la evaluación de políticas.
PARADIGMA PBM (POLICY-BASED MANAGEMENT)
La motivación del PBM la ha constituido la necesidad de simplificar la gestión y administración de redes, aplicaciones y servicios en entornos modernos de redes multiservicio y multifabricante, donde se ha visto que los tradicionales modelos de gestión basados en una monitorización y control de dispositivos de red individuales no se preocupaban de especificar el comportamiento de gestión. De esta manera, no permitían satisfacer los nuevos requisitos de gestión, que exigían la posibilidad de gestionar la red de forma global y con mayor grado de automatización. Concretamente, los factores que más han impulsado este nuevo paradigma de gestión han sido la necesidad de gestionar la QoS (Quality of Service, Calidad de Servicio) en redes IP multiservicio, la seguridad (control de qué o quién accede a los recursos) y la contabilidad.
Las definiciones de políticas responden a cuestiones como por ejemplo las siguientes: • Quién puede acceder a qué recursos de la red
• Cuál es el tráfico de más alta prioridad • Cómo se asigna el ancho de banda
Un sistema de gestión basado en políticas permite a los administradores definir reglas basadas en este tipo de cuestiones y gestionarlas desde el sistema de políticas. Estas reglas pueden representarse con la forma “si condición entonces acción”. Una condición puede ser un usuario o grupo, la hora del día, el tipo de aplicación, o la dirección de red. Las
políticas en forma de reglas se distribuyen de forma homogénea a los sistemas y recursos de la red, en grandes redes donde se requiere gestionar un gran número de recursos.
En este contexto han surgido numerosas propuestas que definen lenguajes de especificación de estas políticas y/o las arquitecturas más adecuadas para implantarlas en la red gestionada, es decir, para hacer que se cumplan las políticas. Las claves de este nuevo paradigma son la utilización de políticas como mecanismo de especificación de comportamiento de gestión de forma explícita y la existencia de distintos niveles de abstracción para la definición e implantación de políticas, lo cual permite definir políticas a nivel de dispositivo (es decir, referidas a elementos de red individuales) y políticas a nivel de red, aplicación o servicio (referidas a un conjunto de elementos relacionados). Este esquema de políticas definidas a diferentes niveles de abstracción, que se representa en la Fig. 3.2, se conoce como “policy continuum” [Strassner03]. Esta separación conceptual de niveles está orientada a conseguir que los administradores de la red puedan gestionar los sistemas a un nivel de abstracción que esté por encima de los detalles de la configuración de los equipos. En este esquema, las políticas que se definan en los niveles superiores, serían automáticamente traducidas por el sistema gestor a políticas en los niveles inferiores, en un proceso que se conoce como refinamiento de políticas [Darimont96, Bandara04]. De esta forma se oculta la complejidad de dichos niveles inferiores de forma que el administrador de red no deba ocuparse del detalle de la configuración específica de los equipos.
Nivel de Negocio: SLAs, Procesos, Directrices, y Objetivos
Nivel de Sistemas: Independencia de Dispositivos y Tecnología
Nivel de Administrador: Indep. de Dispositivos, dependencia de Tecnología
Nivel de Dispositivo: Operación específica de la Tecnología y los Dispositivos
Nivel de Instancia: Operación específica de Dispositivos: MIBs, PIBs, CLI, etc. Nivel de Negocio: SLAs, Procesos, Directrices, y Objetivos
Nivel de Sistemas: Independencia de Dispositivos y Tecnología
Nivel de Administrador: Indep. de Dispositivos, dependencia de Tecnología
Nivel de Dispositivo: Operación específica de la Tecnología y los Dispositivos
Nivel de Instancia: Operación específica de Dispositivos: MIBs, PIBs, CLI, etc.
Figura 3.2. Representacion del “Policy Continuum” de Strassner
El Grupo de Trabajo IETF Policy Framework [PolicyWG], ha definido una arquitectura para la gestión de políticas en Internet. Incluye los siguientes componentes, representados en la Fig. 3.3:
• Policy Management Tool: herramienta de gestión de políticas, un interfaz, preferentemente gráfico, para especificar, editar, y gestionar las políticas
• Policy Repository: repositorio de políticas, base de datos donde se almacenan las políticas y su información asociada
• PDP (Policy Decision Point): sistema responsable de recibir eventos, tomar decisiones en base a esos eventos, generar las políticas acordes con esas decisiones, y enviárselas a los PEPs
• PEP (Policy Enforcement Point): elemento de red que ejecuta las políticas recibidas del PDP. Existe en sistemas tales como routers y firewalls
Figura 3.3. Arquitectura PBM del IETF Policy Framework Working Group
De acuerdo con este paradigma de Gestión Basada en Políticas, se han reutilizado y definido diversos lenguajes para especificar reglas de comportamiento de forma coherente con la nueva filosofía, así como protocolos para regular el acceso a dichas reglas, y además a distintos niveles de abstracción. En el siguiente apartado se hace una breve introducción a estos lenguajes.