Одной из ключевых тем импортозамещения в крупных компаниях является переход на отечественные решения Единой службы каталога (ЕСК). О том, какие задачи выполняет ЕСК, на что обращать внимание при переходе, как выбрать надежное решение — в нашем материале.
Единая служба каталога как важнейшая часть информационной инфраструктуры компаний
До недавнего времени безальтернативной службой каталога для корпоративных заказчиков являлся продукт Microsoft Active Directory. Надежность и функциональность Microsoft Active Directory являются отраслевым стандартом, на который ориентируется большинство разработчиков отечественных решений. Ключевые функции, обеспечивающие прозрачность в управлении систем информационной инфраструктуры:
- Управление учетными записями. Включает централизованное создание, управление и контроль учетных записей пользователей, компьютеров и других устройств
- Идентификация, авторизация, аутентификация. Процессы предоставления доступа сетевым службам, операционным системам, приложениям на основе заданных политик безопасности
- Управление доступом к файлам и папкам разных категорий пользователей
- Управление клиентами и конфигурациями. Централизованное развертывание приложений, управление парольной политикой и другими аспектами информационной безопасности
Стоит особенно отметить возможность предоставления доступа к сервисам без передачи учетных данных, что является крайне важным при проектировании миграции.
Требования регуляторов и другие факторы импортозамещения
Требования регуляторов — основная причина, по которой компании задумываются над проектом импортозамещения. Согласно Указу Президента Российской Федерации от 30.03.2022 № 166 «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации», компании-операторы критической информационной инфраструктуры с 1 января 2025 года не могут использовать в своих информационных системах зарубежные решения, в том числе ЕСК.
Не исключено, что дальнейшее регулирование приведет к появлению налога на использование зарубежных решений для бизнеса при наличии аналогов в Реестре отечественного ПО Минцифры. Кроме того, отсутствие поддержки вендора, возможности приобретения и продления лицензий подталкивает многие компании к импортозамещению. Глава Минцифры заявил о планах взимать сбор с бизнеса за иностранный софт.
Использование зарубежных решений также увеличивает риски долгосрочного планирования развития информационной инфраструктуры. Службы каталога являются важнейшим компонентом, ядром информационной системы, при сбоях в работе которого сотрудники не смогут войти в учетную запись, отправить письма по электронной почте или работать в других сервисах. Импортозамещение в этом случае — важный стратегический шаг, предостерегающий компанию от существенных издержек, связанных с внезапной остановкой работы ЕСК.
Также стоит отметить возрастающие риски информационной безопасности: отсутствие возможности устанавливать новые обновления ЕСК увеличивают шансы на получение злоумышленниками «ключей от королевства» — прав Администратора домена, что может привести к утечке конфиденциальных данных, блокированию работы компании и другим негативным последствиям. Нельзя исключить вероятность одностороннего отключения сервисов. Так, в марте 2022 года один за другим были отозваны лицензии на обновление сигнатур в продуктах Fortinet, Cisco. ESET и других поставщиков решений.
Что необходимо учесть при выборе отечественного решения
1. Текущее состояние инфраструктуры — наиболее важный фактор. Оптимальный вариант для оценки текущего состояния — проведение аудита с последующим документированием. Во многих компаниях изменения в ИТ-инфраструктуру внедряются по требованию бизнеса в сжатые сроки и не всегда находят свое отражение в документации. Зачастую носителем «сакральных знаний» о настройках и работе сервиса является не вся ИТ-служба, а какой-то конкретный инженер, что может привести к некорректному выбору и проблемам при эксплуатации ЕСК в дальнейшем. При подборе решения и модели лицензирования вам потребуется следующая информация:
- Количество и размеры сайтов (офисов), лесов, контроллеров домена, параметры конфигурации, количество и типы учетных записей пользователей, компьютеров и групп безопасности
- Информация о необходимости интеграций с другими системами и внешними каталогами, сосуществование с продуктами, расширяющими схему Active Directory, например, службы Microsoft Exchange Server
- Информация об используемых протоколах аутентификации
- Функциональность управления параметрами конфигурации пользователей и устройств
2. Техническая зрелость и надежность решения. Одним из индикаторов зрелости разрабатываемого продукта может являться дата внесения в Реестр отечественного ПО Минцифры. Также стоит обратить внимание на регулярность обновлений, дорожные карты развития продукта, условия поддержки, стабильность компании-вендора на отечественном и международном рынке. Помимо этого, не менее важны:
- Простота и удобство эксплуатации, например, наличие инструментария на различных платформах
- Функциональность и простота управления, например, возможность предоставления удаленного доступа для управления системой, использование самописных скриптов и других функций
- Совместимость с другими системами, важность которой сложно переоценить при большом количестве учетных записей. Если в организации сотни и тысячи сотрудников, несовместимость продуктов может стать большой проблемой и увеличить сроки внедрения. Лучшим решением будет проведение тестов на совместимость до старта внедрения
- Техническая документация. Хорошо выполненная документация будет основным источником информации для специалистов по работе с ЕСК, поэтому стоит обращать самое пристальное внимание на ее содержание. Многие вопросы по работе ЕСК невозможно найти в поисковике
3. Безопасность и производительность. Производительность системы должна быть достаточной для обработки нагрузки в пиковые часы, например, logon storm, что особенно актуально для крупных компаний. Лучше заранее предусмотреть возможность подключения к утренней планерке нескольких тысяч сотрудников и возможности масштабирования системы при планах увеличить штат. Функциональным заказчиком ЕСК также может быть служба обеспечения информационной безопасности, поэтому стоит обращать внимание на:
- Существующую инфраструктуру управления событиями, журналированием и аудитом, интеграции с SIEM-системами
- Совместимость с системами резервного копирования, возможности гранулярного восстановления объектов
- Обновления и своевременное закрытие уязвимостей
4. Коммерческая составляющая. Число специалистов, обладающий компетенциями в обслуживании отечественных ЕСК — известная точка роста на рынке труда, поэтому стоит заранее подумать о наличии в штате соответствующих инженеров. Кроме того, в стоимость целевого решения необходимо включить все сопутствующие расходы, связанные с пилотным проектом, внедрением, обучением и эксплуатацией. Зачастую учитывается только стоимость лицензий, которые могут составлять лишь часть расходов проекта.
Некоторые отечественные решения и пути миграции
Решения, представленные ниже, составляют не весь перечень отечественных систем ЕСК, но выделяются на рынке. Так, продукты РЕД АДМ и АльтДомен, основанные на доработанном проекте SAMBA DC, отличаются от других решений максимальной совместимостью с Microsoft Active Directory. Это позволяет провести бесшовновную миграцию «на месте» и эффективно использовать ресурсы, вложенные в развитие предыдущей ЕСК, включая инструменты управления.
Решение ALD Pro «Группы Астра» на базе нескольких OpenSourse-технологий разработано для поддержки инфраструктуры с клиентами Astra Linux. Стоит учитывать, что при внедрении часть клиентов останется на Windows, и две службы каталога будут сосуществовать, что представляет сложность с учетом разницы в парадигмах этих систем.
Решение DS компании «Аванпост» собственной разработки разработано для управления Linux-инфраструктурами, при этом часть функциональности по идентификации вынесена в отдельный продукт Identity Management.
Продукт Multidirectory компании «Мультифактор» выпущен чуть больше года назад и представляет собой каталог с открытым исходным кодом. В 2025 году к выпуску планируется enterprise-версия системы и внесение ее в Реестр Минцифры. Продукт активно развивается, разработчики открыты к предложениям по доработке.
Выбор стратегии миграции будет зависеть от существующей ЕСК, ваших задач и необходимости выполнить требования регуляторов. Наиболее общие варианты миграции:
1. Замещение Microsoft Active Directory «на месте». Если в компании развитая инфраструктура ЕСК на базе Microsoft Active Directory: ЕСК —скелет инфраструктуры с множеством объектов (сайтов, групп, вложенных групп, GPO), многоуровневой иерархией OU, интеграцией с SIEM, можно провести бесшовную миграцию без прерывания бизнес-процессов, сохранив при этом все настройки и данные.
2. Строительство новой инфраструктуры. Основное преимущество данного подхода — возможность учесть предыдущий опыт эксплуатации ЕСК и спроектировать систему в соответствии с планами развития, требованиями к безопасности и производительности.
3. Сосуществование обеих систем. Строительство ЕСК «с нуля» — сложная и многоплановая задача, которая потребует значительных ресурсов, поэтому сосуществование и поэтапный переход — еще один актуальный путь для крупных компаний.
Важно помнить, что разные продукты по-разному решают разные задачи и не существует «серебряной пули», которая решит все задачи одинаково хорошо. При выборе стратегии развития ЕСК необходимо рассматривать существующий ИТ-ландшафт предприятия, будущие потребности и коммерческие условия. Целевое решение замещения Active Directory может состоять из ЕСК, включенной в Реестр Минцифры, и, например, дополнительного инструмента управления конфигурациями клиентов (АРМ и пользователи). Такой комбинированный подход потенциально упрощает выбор ЕСК среди множества технологий на рынке для решения прямых задач: авторизации, аутентификации и идентификации.
Запишитесь на бесплатную консультацию по импортозамещению программного обеспечения и оборудования на нашем сайте.
