Изменения в законодательстве Технологии Тренды

Импортозамещение единой службы каталога: задачи, риски и успешные стратегии миграции

912
Импортозамещение единой службы каталога: задачи, риски и успешные стратегии миграции

Станислав Павелко

Директор управления технологического развития

Одной из ключевых тем импортозамещения в крупных компаниях является переход на отечественные решения Единой службы каталога (ЕСК). О том, какие задачи выполняет ЕСК, на что обращать внимание при переходе, как выбрать надежное решение — в нашем материале. 

Единая служба каталога как важнейшая часть информационной инфраструктуры компаний

До недавнего времени безальтернативной службой каталога для корпоративных заказчиков являлся продукт Microsoft Active Directory. Надежность и функциональность Microsoft Active Directory являются отраслевым стандартом, на который ориентируется большинство разработчиков отечественных решений. Ключевые функции, обеспечивающие прозрачность в управлении систем информационной инфраструктуры: 

  • Управление учетными записями. Включает централизованное создание, управление и контроль учетных записей пользователей, компьютеров и других устройств
  • Идентификация, авторизация, аутентификация. Процессы предоставления доступа сетевым службам, операционным системам, приложениям на основе заданных политик безопасности 
  • Управление доступом к файлам и папкам разных категорий пользователей 
  • Управление клиентами и конфигурациями. Централизованное развертывание приложений, управление парольной политикой и другими аспектами информационной безопасности 

Стоит особенно отметить возможность предоставления доступа к сервисам без передачи учетных данных, что является крайне важным при проектировании миграции. 

Требования регуляторов и другие факторы импортозамещения 

Требования регуляторов — основная причина, по которой компании задумываются над проектом импортозамещения. Согласно Указу Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», компании-операторы критической информационной инфраструктуры с 1 января 2025 года не могут использовать в своих информационных системах зарубежные решения, в том числе ЕСК.

Не исключено, что дальнейшее регулирование приведет к появлению налога на использование зарубежных решений для бизнеса при наличии аналогов в Реестре отечественного ПО Минцифры. Кроме того, отсутствие поддержки вендора, возможности приобретения и продления лицензий подталкивает многие компании к импортозамещению. Глава Минцифры заявил о планах взимать сбор с бизнеса за иностранный софт. 

Использование зарубежных решений также увеличивает риски долгосрочного планирования развития информационной инфраструктуры. Службы каталога являются важнейшим компонентом, ядром информационной системы, при сбоях в работе которого сотрудники не смогут войти в учетную запись, отправить письма по электронной почте или работать в других сервисах. Импортозамещение в этом случае — важный стратегический шаг, предостерегающий компанию от существенных издержек, связанных с внезапной остановкой работы ЕСК. 

Также стоит отметить возрастающие риски информационной безопасности: отсутствие возможности устанавливать новые обновления ЕСК увеличивают шансы на получение злоумышленниками «ключей от королевства» — прав Администратора домена, что может привести к утечке конфиденциальных данных, блокированию работы компании и другим негативным последствиям. Нельзя исключить вероятность одностороннего отключения сервисов. Так, в марте 2022 года один за другим были отозваны лицензии на обновление сигнатур в продуктах Fortinet, Cisco. ESET и других поставщиков решений.

Что необходимо учесть при выборе отечественного решения 

1. Текущее состояние инфраструктуры — наиболее важный фактор. Оптимальный вариант для оценки текущего состояния — проведение аудита с последующим документированием. Во многих компаниях изменения в ИТ-инфраструктуру внедряются по требованию бизнеса в сжатые сроки и не всегда находят свое отражение в документации. Зачастую носителем «сакральных знаний» о настройках и работе сервиса является не вся ИТ-служба, а какой-то конкретный инженер, что может привести к некорректному выбору и проблемам при эксплуатации ЕСК в дальнейшем. При подборе решения и модели лицензирования вам потребуется следующая информация: 

  • Количество и размеры сайтов (офисов), лесов, контроллеров домена, параметры конфигурации, количество и типы учетных записей пользователей, компьютеров и групп безопасности
  • Информация о необходимости интеграций с другими системами и внешними каталогами, сосуществование с продуктами, расширяющими схему Active Directory, например, службы Microsoft Exchange Server
  • Информация об используемых протоколах аутентификации
  • Функциональность управления параметрами конфигурации пользователей и устройств

2. Техническая зрелость и надежность решения. Одним  из индикаторов зрелости разрабатываемого продукта может являться  дата внесения в Реестр отечественного ПО Минцифры. Также стоит обратить внимание на регулярность обновлений, дорожные карты развития продукта, условия поддержки, стабильность компании-вендора на отечественном и международном рынке. Помимо этого, не менее важны: 

  • Простота и удобство эксплуатации, например, наличие инструментария на различных платформах
  • Функциональность и простота управления, например, возможность предоставления удаленного доступа для управления системой, использование самописных скриптов и других функций
  • Совместимость с другими системами, важность которой сложно переоценить при большом количестве учетных записей. Если в организации сотни и тысячи сотрудников, несовместимость продуктов может стать большой проблемой и увеличить сроки внедрения. Лучшим решением будет проведение тестов на совместимость до старта внедрения
  • Техническая документация. Хорошо выполненная документация будет основным источником информации для специалистов по работе с ЕСК, поэтому стоит обращать самое пристальное внимание на ее содержание. Многие вопросы по работе ЕСК невозможно найти в поисковике

3. Безопасность и производительность. Производительность системы должна быть достаточной для обработки нагрузки в пиковые часы, например, logon storm, что особенно актуально для крупных компаний. Лучше заранее предусмотреть возможность подключения к утренней планерке нескольких тысяч сотрудников и возможности масштабирования системы при планах увеличить штат. Функциональным заказчиком ЕСК также может быть служба обеспечения информационной безопасности, поэтому стоит обращать внимание на: 

  • Существующую инфраструктуру управления событиями, журналированием и аудитом, интеграции с SIEM-системами
  • Совместимость с системами резервного копирования, возможности гранулярного восстановления объектов
  • Обновления и своевременное закрытие уязвимостей 

4. Коммерческая составляющая. Число специалистов, обладающий компетенциями в обслуживании отечественных ЕСК — известная точка роста на рынке труда, поэтому стоит заранее подумать о наличии в штате соответствующих инженеров. Кроме того, в стоимость целевого решения необходимо включить все сопутствующие расходы, связанные с пилотным проектом, внедрением, обучением и эксплуатацией. Зачастую учитывается только стоимость лицензий, которые могут составлять лишь часть расходов проекта.

Некоторые отечественные решения и пути миграции

Решения, представленные ниже, составляют не весь перечень отечественных систем ЕСК, но выделяются на рынке. Так, продукты РЕД АДМ и АльтДомен, основанные на доработанном проекте SAMBA DC, отличаются от других решений максимальной совместимостью с Microsoft Active Directory. Это позволяет провести бесшовновную миграцию «на месте» и эффективно использовать ресурсы, вложенные в развитие предыдущей ЕСК, включая инструменты управления. 

Решение ALD Pro «Группы Астра» на базе нескольких OpenSourse-технологий разработано для поддержки инфраструктуры с клиентами Astra Linux. Стоит учитывать, что при внедрении часть клиентов останется на Windows, и две службы каталога будут сосуществовать, что представляет сложность с учетом разницы в парадигмах этих систем. 

Решение DS компании «Аванпост» собственной разработки разработано для управления Linux-инфраструктурами, при этом часть функциональности по идентификации вынесена в отдельный продукт Identity Management. 

Продукт Multidirectory компании «Мультифактор» выпущен чуть больше года назад и представляет собой каталог с открытым исходным кодом. В 2025 году к выпуску планируется enterprise-версия системы и внесение ее в Реестр Минцифры. Продукт активно развивается, разработчики открыты к предложениям по доработке.

Выбор стратегии миграции будет зависеть от существующей ЕСК, ваших задач и необходимости выполнить требования регуляторов. Наиболее общие варианты миграции:

1. Замещение Microsoft Active Directory «на месте». Если в компании развитая инфраструктура ЕСК на базе Microsoft Active Directory: ЕСК —скелет инфраструктуры с множеством объектов (сайтов, групп, вложенных групп, GPO), многоуровневой иерархией OU, интеграцией с SIEM, можно провести бесшовную миграцию без прерывания бизнес-процессов, сохранив при этом все настройки и данные.

2. Строительство новой инфраструктуры. Основное преимущество данного подхода — возможность учесть предыдущий опыт эксплуатации ЕСК и спроектировать систему в соответствии с планами развития, требованиями к безопасности и производительности.  

3. Сосуществование обеих систем. Строительство ЕСК «с нуля» — сложная и многоплановая задача, которая потребует значительных ресурсов, поэтому сосуществование и поэтапный переход — еще один актуальный путь для крупных компаний. 

Важно помнить, что разные продукты по-разному решают разные задачи и не существует «серебряной пули», которая решит все задачи одинаково хорошо. При выборе стратегии развития ЕСК необходимо рассматривать существующий ИТ-ландшафт предприятия, будущие потребности и коммерческие условия. Целевое решение замещения Active Directory может состоять из ЕСК, включенной в Реестр Минцифры, и, например, дополнительного инструмента управления конфигурациями клиентов (АРМ и пользователи). Такой комбинированный подход потенциально упрощает выбор ЕСК среди множества технологий на рынке для решения прямых задач: авторизации, аутентификации и идентификации.

Запишитесь на бесплатную консультацию по импортозамещению программного обеспечения и оборудования на нашем сайте.

Похожие записи

R-Style Softlab анонсировала новый коннектор для банков «Реестр контролируемых лиц»

Изменения в законодательстве Новости компании Обновления продуктов Технологии Тренды

R-Style Softlab, компания-разработчик ПО для финансовой сферы и системный интегратор, входящий в группу Россельхозбанка, анонсировала новый коннектор для работы с ГИС «RS-Connect Pro. Реестр контролируемых лиц». Модуль поможет банкам проверять клиентов по Реестру контролируемых лиц (РКЛ МВД) при открытии счетов и проведении банковских операций. С 5 февраля 2025 в России вступают в силу ограничения на […]

3629

Свежая аналитика ИТ-отрасли: что интересного в отчете «Белая книга цифровой экономики 2023»

Изменения в законодательстве Исследования Технологии

Цифровая трансформация 一 одна из 5 национальных целей развития страны до 2030 года. В ее реализации участвует сразу несколько государственных органов и организаций, среди которых АНО «Аналитический центр при Правительстве Российской Федерации», АНО  «Цифровая экономика», а также Минцифры РФ, второй год подряд выпускающие объемное исследование под названием «Белая книга цифровой экономики».  «Белая книга цифровой экономики […]

4732

Как банкам подготовиться к переходу на  импортозамещенные решения 

Изменения в законодательстве Обновления продуктов Технологии Тренды

Вопрос перехода банков и других организаций-субъектов критической информационной инфраструктуры на российский технологический стек регулярно становится предметом обсуждений. В результате нормы по регулированию импортозамещения пересматриваются, а сроки перехода удлиняются.  Стоимость импортозамещения и готовность банков   В 2020 году Минцифры предлагало перевести банки на использование преимущественно отечественного программного обеспечения с 1 января 2021 года, а на использование оборудования […]

5676