Producto · Mapa de acceso
Mira a qué llega cada agente — lectura frente a escritura
Por cada agente, sesión e identidad, el mapa de acceso muestra los recursos que toca, separa lecturas de escrituras y señala el momento en que el acceso observado se aparta de lo que permitiste. Descubierto de forma pasiva a partir de señales que ya tienes — sin proxy en la ruta de datos.
En el producto
El mapa, desde la consola real
Una captura real de la consola de Olivares, con datos de ejemplo. Orígenes a la izquierda, los recursos que tocan a la derecha, coloreados por lectura, escritura/RW, desconocido y aproximado. Abrir el mapa es una acción privilegiada y auditada — muestra relaciones, nunca SQL, payloads ni secretos.
El modelo
Lectura, escritura y el desconocido honesto
Olivares clasifica cada acceso en el conector, a partir de la propia sentencia o verbo — el tipo de SQL, el método HTTP, la semántica de la herramienta MCP, el modo de apertura del fichero. Registra la relación, nunca la sentencia: sin texto SQL, sin parámetros, sin payloads, sin secretos.
Lectura
Un agente que solo lee un recurso — un SELECT, un GET, una llamada de solo lectura. Dibujado en calma, en neutro.
Lectura / Escritura
Un agente que puede modificar un recurso — un INSERT o UPDATE, una herramienta de escritura, una llamada mutante. Las aristas que deciden tu radio de impacto.
Desconocido · aproximado
Donde un almacén no ofrece auditoría por identidad, o la señal es débil, Olivares lo dice — una arista punteada y atenuada — en vez de inventar certeza.
Deriva de mínimo privilegio
Permitido frente a observado — el hallazgo que importa
La deriva es la distancia entre el acceso que concediste y el acceso que de verdad ocurre. Olivares reconcilia una observación atribuida a un agente contra la identidad que ese agente usa realmente, y expone tres estados honestos.
- Acceso inesperado
Observado, pero nunca permitido. El hallazgo de máxima prioridad — acceso que ocurre sin ningún permiso detrás.
- Reconciliación pendiente
Observado sin un permiso que case, pero el vínculo agente-identidad aún no está resuelto. Se muestra como pendiente, no como una violación firme — incertidumbre honesta, no una alarma fabricada.
- Permisos sin usar
Permitido, pero nunca observado. Sobreaprovisionamiento que conviene ajustar — mínimo privilegio, al revés.
Cómo funciona
De permisos y observaciones a un único veredicto
Olivares toma lo que permitiste y lo que observó, lo reconcilia entre orígenes y muestra el resultado: una coincidencia, una deriva, o una relación que solo puede declarar — nunca una que finja haber visto.
Cobertura, dicha con honestidad
Dos ejes de fidelidad — y no falseamos ninguno
Cómo de bien se puede auditar un recurso, y cómo de firme es la atribución de un acceso a un agente concreto, son dos cosas distintas. Olivares muestra ambas, por nodo, y degrada con elegancia en vez de adivinar.
Cobertura del recurso
Cómo de completamente se puede auditar el propio recurso.
- Limpia
- Auditoría nativa — pgAudit de Postgres, AWS CloudTrail y similares. Fidelidad completa por acceso.
- Con pérdidas
- Almacenes documentales y vectoriales: señal parcial, mostrada como parcial — sin redondear al alza.
- Opaca
- Redis, SQLite, D1 y similares no ofrecen auditoría por identidad. Marcada como opaca, nunca mejorada en silencio.
Atribución del origen
Cómo de firme es el vínculo de un acceso con un agente concreto.
- Firme
- Una identidad no humana dedicada — una credencial SPIFFE/WIF acuñada por agente. Dibujada sólida.
- Aproximada
- Una cuenta compartida o de pool: el acceso es real, el agente es ambiguo. Dibujada punteada, etiquetada como aproximada.
- Desconocida
- Sin ninguna señal de identidad. Atenuada — y nunca ascendida a un agente con nombre.
Los dos ejes son independientes: un acceso a un almacén opaco puede aun así atribuirse con firmeza si una señal cooperante nombró al agente. Lo que Olivares no hará es mostrar lo aproximado o lo desconocido como si fuera firme.
Qué es real
Construido y verificado — y honesto en los bordes
El mapa de acceso ha pasado su prueba de concepto técnica y es el escritor del grafo. Dos notas honestas:
- Abrir el mapa es una acción privilegiada y auditada: cada consulta sella una entrada en el ledger append-only. Es para revisión defensiva — relaciones, no contenidos.
- La fidelidad depende de tus fuentes. Conecta auditoría nativa (pgAudit, CloudTrail) e identidades por agente y el mapa está en su punto más nítido; sin ellas, Olivares muestra el nivel de menor fidelidad en vez de una ficción confiada.
Mapa de acceso — preguntas
¿Necesita un proxy o un agente en línea?
No. Olivares descubre el acceso de forma pasiva a partir de señales que ya tienes — auditoría nativa de base de datos, logs de auditoría de la nube, OpenTelemetry, eBPF e introspección MCP. No hay proxy obligatorio en la ruta de datos ni nada que vigilar.
¿El mapa guarda mi SQL, payloads o secretos?
No. Cada acceso se clasifica a partir del verbo — el tipo de SQL, el método HTTP, la semántica de la herramienta — y se registra como una relación: origen, recurso, lectura o escritura. El texto de la sentencia, los parámetros, los payloads y los secretos nunca se capturan.
¿Y los almacenes sin auditoría por identidad, como Redis?
Se marcan como cobertura opaca. Olivares muestra la relación con la fidelidad que de verdad puede probar y etiqueta el límite, en lugar de inventar una atribución por identidad que el almacén no puede sostener.
¿Cómo distingue lectura de lectura/escritura?
A partir de la propia sentencia o verbo, clasificada en el conector — un SELECT frente a un INSERT o UPDATE, un GET frente a un método mutante, una llamada de solo lectura frente a una de escritura. El color de la arista lo sigue: lectura, escritura/RW, o desconocido cuando la señal es débil.
Mira tu propio mapa de acceso
Despliega Olivares en tu propia infraestructura, apúntalo a tus fuentes de auditoría y obtén el mapa de lectura/escritura que tus equipos de plataforma y seguridad llevan pidiendo.