Enterprise Architecture and the Dallas Cowboys

Tuesday, April 18, 2006

Antispam

Actualmente contamos con la solucion de Postini, estamos ya en nuestro segundo año, el servicio ha sido muy bueno, hemos aprovechado y vivido todas las ventajas del modelo ASP y creo que en este tipo de aplicaciones es el camino a seguir. Sin embargo el proceso de facturacion y cobranza de Postini ha dejado mucho que desear, perdieron algunas cuentas en Mexico sin mostrar el menor interes y no se ve una estrategia o intencion de mantener su negocio en Latinoamerica.

Hemos estado evaluando la solucion de Hosted Antispam de Symantec, basada en Brightmail y funciona muy bien, quizas mejor que Postini, se nota sin embargo que su producto no es muy maduro y le falta el pulimiento de Postini, aunque yo considero que tiene una mayor usabilidad. Esta es muy probable que sea nuestra solucion a partir de Julio que vence el contrato con Postini.

Nuestra filial de San Antonio introdujo una nueva variable, al comprar los appliances de Iron Port, en el pasado revisamos aplicaciones de antispam entre ellas barracuda, spamassasin, Iron Port, Iron Mail y Trend, y debemos decir que Iron Port era nuestra favorita, pero lo que nos convencio de Postini fue su modelo de ASP, consideramos tambien que en cuanto a deteccion las herramientas IronPort, IronMail, Symantec y Postini son muy parejas por lo que la decision se tomo incluyendo otros criterios como servicio, costo y por supuesto el multicitado modelo de operacion.

Debemos mencionar tambien que el no tener los appliances en nuestra red local nos libera todo el ancho de banda del procesamiento de los correos basura, muy importante si se considera que nuestro acceso a Internet lo pagamos sobre demanda.

IronPort esta ofreciendo el servicio administrado a traves de un proveedor local (Xertix) vamos a revisarlo, pero nos parece que no cuenta con la infraestructura de Postini o Symantec, el costo (aun pendiente por revisar) va a ser un elemento interesante pero me parece que no va a ser al final muy atractivo.

Podriamos entonces ahora en pensar que podemos utilizar los appliances de IronPort de nuestra filial o solicitar el servicio con un SLA claro y revisar los recursos asignados, sin embargo, nuestra filial nunca podra dedicar los recursos que emplea un ASP real, ni podremos tener el mismo nivel de exigencia en caso de falla. El costo ademas que tenemos por usuario lo considero bajo y nos da una gran tranquilidad. Entre algunos hallazgos encontramos.

1.- IronPort tiene un gran desempeño, el cual no requerimos ni cerca con nuestro volumen.

2.- El tener los appliances locales nos incrementaria el costo del enlace a Internet.

3.- IronPort utiliza el antivirus de Sophos, que no es el mas confiable del mercado.

4.- En el modelo ASP tenemos facilidad de salida cada año, en caso por ejemplo que recibamos un mal servicio, que surja una mejor tecnologia, o que nuestro proveedor sufra una adquisicion o "takeover" que no sea de nuestro agrado.

5.- En el modelo ASP no tenemos que preocuparnos por equipos de respaldo, o procesamiento de garantias y soportes, tampoco por la recepcion de mensajes en caso de desastre, de todo esto se encarga el proveedor.

Desktop

Los equipos de escritorio de los clientes se administran a traves de diversos agentes, entre las principales funciones que cubren dichos agentes se encuentran:

a)Antivirus
b)Inventario
c)Instalacion Remota de Software
d)Medicion de uso de aplicaciones
e)Control Remoto
f)Administracion de Parches y Vulnerabilidades
g)Politicas de configuración y ejecución de programas
h)Control de Acceso a Red (NAC)

Actualmente la herramienta Altiris cubre gran parte de esta funcionalidad para nosotros, exceptuando (a), (g) y (h), Altiris sin embargo a probado ser muy poco efectiva en la instalacion remota de software (requiere de mucho trabajo y preparacion) y una completa nulidad en la administracion de parches y vulnerabilidades (no reconoce parches existentes, no toma en cuenta dependencias, etc.) La parte de control remoto es aceptable, así como el inventario de hardware y software y la medición de uso de aplicaciones (esta última funcionalidad no es utilizada por nosotros), El soporte local es pesimo, al igual que la atención de sus ejecutivos de zona. Creo posible crear un mejor ambiente, mas efectivo, con una combinación de herramientas.

0.- Plataforma, la plataforma minima que consideramos es Windows XP Pro, tenemos algunas Win98 todavia, pero no vale la pena considerarlas en nuestro esfuerzo.

1.- Antivirus.- Trend ha sido nuestro antivirus clasico llevo 5 años con el en este trabajo y 3 en el anterior, en general ha funcionado muy bien, su negocio es el antivirus, he analizado opciones y probado soluciones de Symantec y McAfee sin exito, funcionan bien, pero no te da un sentimiento de "Enterprise" que se obtiene con Trend, recuerdo que Trend fue el primero en tener una consola central para administrar antivirus y el deployment de patrones, y el primero en hacer deployments de patrones incrementales reales, segun veo han continuado innovando y considero que siguen siendo la mejor opcion.

2.- Control Remoto.- Lo considero commodity, sin embargo al integrarlo tantas soluciones, no hace mucho sentido adquirir una herramienta independiente que ademas traiga otra funcionalidad que traslape con alguna herramienta existente (lo que tendriamos si decidimos adquirir Inquiero). Por otra parte, nuestro plan de Integrar VMWare como plataforma de cliente puede sustituir la necesidad de utilizar un cliente de control remoto, para servidores, el acceso por KVM elimina el acceso via un agente de control remoto, los "Power Users" restantes requeririan un acceso especial por control remoto.

3.- Administracion de Parches y Vulnerabilidades.- Hasta hoy, la combinacion Hercules - Qualys ha probado ser muy efectiva en la administracion de parches y vulnerabilidades, cuando se realizo la evaluacion de herramientas, dejo muy atras a aplicaciones como Shavlik (muy lenta, poco eficiente en las vulnerabilidades) o Update Expert (muy compleja, no intuititiva, scope pequeño). Las facilidades de scanneo de Qualys son excelentes y el parchado de Hercules muy bueno. Debemos continuar explorando la parte de compliance de Hercules e implementarla quizas de la mano de Tripwire.

4.- Instalacion Remota de Software.- Para aplicaciones pequeñas y simples lo mejor es utilizar el Directorio Activo, probamos con una aplicacion de politicas de DesktopStandard y funciono muy bien. Para aplicaciones complejas, considerando ancho de banda y permisos, por mucho la mejor que hemos visto es Softricity, debemos buscar la forma de integrarla en el futuro.

5.- Inventario.- A pesar de que esta funcionalidad se incluye en muchas suites, actualmente Hercules maneja un inventario muy aceptable que puede ser accesado y utilizado para sincronizar con nuestra herramienta de Service Desk (Remedy) de igual forma como hoy lo hacemos con Altiris. La parte de servidores tambien la incluye Hercules, para equipos de comunicaciones funciona mejor con nuestra herramienta de control de configuraciones (Voyence)

6.- Politicas de Configuracion y Ejecucion de Programas.- Para la configuracion, Active Directory se ve muy bien, aun mejor cuando se complementa con las herramientas de DesktopStandard, probamos la aplicacion de Quest, pero DesktopStandard es mucho mas simple y efectivo. Para politicas de ejecucion de programas, eso considero debe ser parte de NAC.

7.- NAC (Network Access Control).- Aqui estamos en pañales, al igual considero, que las soluciones del mercado, al principio el jugador principal parecia ser Cisco, despues Checkpoint se posiciono muy bien, pero al dia de hoy hay ya muchos jugadores incluyendo a Microsoft y Symantec, debemos estudiarlo nuevamente. Buscamos una proteccion efectiva y facil de administrar.

Backup

Revisando nuestras opciones actuales y planeadas de backups, tengo los siguientes comentarios:

0.- IBM y HP los considero como buenos en muchas cosas pero mejores en nada y por lo tanto no los tengo en mente para estos proyectos, ademas de que practicamente no tenemos ningun negocio con ellos u alguna otra arma de negociacion, IBM a mi parecer es un poco mejor que HP en productos y en la zona, CA esta aún mas alejado de mi "top of mind".

1.- Hubieramos querido utilizar Legato debido a su integracion futura con EMC, especialmente con el manejo de Snapshots, virtualizacion (Invista) y CDP (RecoverPoint) pero el producto simplemente al día de hoy no cuenta con el mismo nivel de usabilidad y funcionalidad que Networker, debo decir que el soporte es bueno aquí en Monterrey, pero a la herramienta le falta, esperaremos un año mas para volver a revisar (2007).

2.- La herramienta de Symantec (Veritas) Networker es muy buena y muy madura un producto excelente, el soporte a sido pesimo a lo largo de 5 años con mas de 4-5 proveedores y partners diferentes, no se ve un compromiso real de Symantec hacia Veritas en la zona norte de Mexico, si existiera un producto mejor o que se acercara los botaría. Su costo tampoco es el mas bajo, pero es aceptable. El requerimiento en corporativo es basado en velocidad y volumen, es necesario volver a revisar opciones para almacenamiento de respaldos de largo plazo e incluir a Avamar como opcion, la ultima vez no vendian equipo en Mexico pero eso puede haber cambiado, por el momento parece que los equipos DataDomain resuelven bien nuestro problema de respaldo inmediato y podemos seguir desplazando a cinta los mensuales para su almacenamiento en IronMountain.

3.- Para servidores no críticos he analizado varias alternativas, de entrada descartamos las de oficina remota de Veritas (PureDisk) y EMC (On Course) ya que son mas orientadas a consolidar informacion que se repite entre sucursales, esto no pasa con los servidores no criticos de la oficina central. Tenemos entonces para no variar muchos proveedores a Symantec con Backup Exec el cual consideramos como un producto aceptable pero muy caro para nuestro proposito ($755 por servidor, solo el modulo basico) y EMC (Dantz-Retrospect) , El precio de Danz (alrededor de $7,000 USD por un numero ilimitado de servidores) es muy atractivo, estamos haciendo pruebas de desempeño para ver si es el adecuado en caso positivo esta sera nuestra decision.

4.- Para oficinas remotas tenemos las opciones de EMC (OnCourse y Dantz-Retrospect) y Veritas (PureDisk), Veritas parece muy atractivo, perseguiremos primero esa opcion, no tenemos aun costos o arquitectura para determinar su integracion con nuestra implementacion actual de Networker, pero luce muy promisorio, en caso de no ser lo que buscamos, seguiriamos con OnCourse por manejar un esquema similar y nuestra ultima opcion sería Dantz ya que maneja un esquema tradicional de respaldo.

5.- Para el respaldo de PC's criticas podríamos considerar nuevamente a Symantec (muy caro) o EMC (funcionalidad adecuada con Dantz-Retrospectm, buen precio) pero el que realmente veo que hace una diferencia para un usuario final y puede efectivamente cumplir plenamente con sus expectativas es el producto de Atempo (antes Storactive) , tiene proteccion continua, es muy granular en la recuperacion, así como en los puntos de tiempo en los cuales se puede recuperar información, facil de utilizar por el usuario, definitivamente lleno mi vista, tengo que hacer un trial y negociar un buen precio, en caso de quedar fuera de nuestro alcance iriamos por el producto de EMC (Dantz-Retrospect) que probo ser simple y adecuado. Vale la pena en un futuro revisar tambien el software de Atempo para Microsoft Exchange con el objetivo de proteger al usuario de sus propios errores.