Microsoft Active Directory — один из самых популярных инструментов управления идентификацией и доступом в корпоративной среде, который до недавнего времени был безальтернативным. Сейчас, с развитием импортозамещения, появляются отечественные аналоги. В эфире AM Live рассмотрели их особенности и отличия от привычного Microsoft Active Directory, поговорили о том, как правильно на них мигрировать.
Спикеры прямого эфира:
Игорь Коптелов, главный конструктор, «Иридиум».
Андрей Арефьев, сооснователь компании Pragmatic Tools.
Павел Осипов, заместитель генерального директора по развитию бизнеса, «Национальные Технологии».
Андрей Черепанов, начальник отдела сопровождения, «Базальт СПО».
Александр Махновский, технический директор, Avanpost.
Анатолий Лысов, технический менеджер продукта ALD Pro, «Группа Астра».
Ведущий и модератор эфира — Илья Шабанов, генеральный директор «АМ Медиа».
Введение
Чем больше инфраструктура компании, тем сложнее контролировать в ней все процессы, говорит Игорь Коптелов. Службы каталогов создавались для того, чтобы централизовать управление и сделать его прозрачным и надёжным независимо от количества объектов. Повсеместное использование Microsoft AD объяснимо и понятно: изначально инфраструктуры компаний строились на сервисах «Майкрософта». Этот стандарт открыт и общедоступен, большинство приложений под Windows используют его и взаимодействуют с Active Directory. Поэтому лучше применять те аналоги, которые наследуют эти стандарты.
Что касается безопасности, эксперты делают акцент на том, что AD — это распределённая система со множеством администраторов. Нужно защищаться от внутреннего нарушителя.
Насколько важна роль Microsoft Active Directory в современной ИТ-инфраструктуре
Андрей Черепанов объясняет: «Майкрософт» с недавнего времени не поддерживает свои решения на территории РФ. Пользователи должны понимать, что мир становится гранулированным. Важно снижать риски, используя отечественные технологии, которые имеют однозначную поддержку и надёжность.
Ещё один ключевой момент в использовании систем каталогов — соблюдение законодательства РФ в сфере информационной безопасности.
Павел Осипов пояснил, что Microsoft Active Directory — отличный продукт, в который разработчики вложили огромные финансы, силы и время. Это очень удобное решение для бизнеса, но сейчас на первое место встают стратегическая безопасность и соблюдение законодательства. Для заказчика это большое неудобство, однако нельзя оставлять бизнес на той инфраструктуре, которая технически не поддерживается.
Результаты первого опроса среди зрителей эфира показали, что интерес к замене Microsoft Active Directory связан в первую очередь с требованием регулятора перейти на российское ПО (70% респондентов). Изменение ИТ-инфраструктуры в качестве причины назвали 15% опрошенных, повышение требований по ИБ — 4%. Переход на другие протоколы и стандарты никто не выбрал, а 11% отказываются от Microsoft Active Directory по какой-то другой причине.
Минусы использования Microsoft Active Directory
Рисунок 1. С чем связан ваш интерес к замене Microsoft Active Directory?
Андрей Черепанов утверждает, что Microsoft продвинула Active Directory настолько широко только потому, что на рынке не было альтернатив. Сейчас мы имеем задачу заменить монополиста. Уже есть решения, которые не предполагают замены всей инфраструктуры.
Александр Махновский считает, что со внедрением альтернативного каталога потребуется замена операционной системы.
Андрей Арефьев уверен, что в первую очередь нужно думать о безопасности, смотреть на частоту обновлений.
Альтернативы Microsoft Active Directory
Эксперты обсудили, чем лучше заменить Microsoft AD: Samba DC или FreeIPA.
Анатолий Лысов считает, что оба решения могут справится с высокими нагрузками, которые предъявляют к ним крупные предприятия. И если вы собираетесь продолжать управлять Windows-компьютерами, то Samba AD подойдет, конечно же, лучше. Но если ваша новая инфраструктура будет состоять в основном из Linux-компьютеров, то продукты на базе службы каталога FreeIPA, как ALD Pro, будут однозначно более правильным выбором.
Андрей Арефьев утверждает, что с FreeIPA проще работать на Linux.
Второй опрос зрителей эфира показал, что главное требование к аналогу Microsoft Active Directory для большинства пользователей — это простота и удобство, так ответили 75% участников. «Просто работать и больше ничего» — такой вариант выбрали 14% зрителей. За безопасность высказались всего 4%.
Samba DC и FreeIPA
Рисунок 2. Каково ваше главное требование к аналогу Microsoft Active Directory?
Главное — чтобы при смене службы каталогов вся система продолжала работать. Нужны системные архитекторы, техподдержка, а также обеспечение работы приложений с использованием нового каталога. Поэтому служба должна быть максимально приближена к Microsoft AD. Важно выбирать удобный инструмент управления инфраструктурой, безопасный и легко контролируемый. Должна быть возможность параллельной работы с другими доменами, объясняет Андрей Арефьев.
Илья Шабанов предложил ознакомиться с видеообращением Сергея Алякринского, руководителя службы развития ИБ в «ВымпелКоме», чтобы узнать мнение о ситуации со стороны заказчика. Сергей считает, что при замене службы каталогов требуется изменение целой экосистемы продуктов — не только для защиты, но и просто для комфортной работы. Это затрагивает в первую очередь почтовые службы, мессенджеры, системы необходимые для безопасности.
Какими функциями должна обладать российская служба каталогов
Александр Махновский отметил, что для большинства прикладных приложений несовместимость с LDAP означает ошибку в проектировании. На данный момент есть открытые протоколы, на которые имеет смысл переводить современные приложения, в первую очередь это OpenID Connect.
Есть причины, по которым службы каталогов нельзя использовать как элементы аутентификации: информация попадает в приложение, образуя брешь. Если приложение работает через Kerberos, оно имеет право проводить аутентификацию через службу каталогов. Если это делается через LDAP, то происходит нарушение современных требований по информационной безопасности. В идеале должна быть отдельная система, которая выполняет функцию централизованной аутентификации.
Анатолий Лысов добавил, что важна интеграция с SIEM-системами, чтобы можно было обеспечить безопасность работы домена.
Экосистема и интеграция
Современные приложения периодически обращаются к службе каталогов. Чем больше домен, тем их больше. Он должен отвечать мгновенно. Если безопасность каталога нарушена, это влияет на ИБ всей инфраструктуры, считает Игорь Коптелов.
Эксперты сошлись во мнении, что современные российские решения готовы справляться с большими нагрузками, с которыми им предстоит работать в крупных компаниях с большим числом пользователей.
Павел Осипов рассказал, как важна техподдержка в вопросах безопасности и отказоустойчивости.
По результатам третьего опроса выяснилось, что российские компании не хотят переходить на отечественные аналоги Microsoft AD из-за нюансов совместимости с другими ИТ-системами — так ответили 34% респондентов. Не хватает квалифицированных специалистов 29% ответивших, а 24% пользователей поставили на первое место недостаточную функциональность. Высокая цена смущает 10% ответивших, а 3% жалуются на слабую техническую поддержку.
Производительность и безопасность
Рисунок 3. Что больше всего ограничивает вас в миграции с Microsoft Active Directory на российские аналоги?
Андрей Черепанов считает, что в России есть проблема с интеграторами, которые много лет занимались изучением технологий «Майкрософта», а о новых продуктах знают мало. Обучение и использование новых решений у реальных заказчиков пока проблематичны. Интеграторы не готовы мигрировать на другие инфраструктурные решения.
Проблемы и риски
Андрей Арефьев считает, что без единой стратегии импортозамещения процесс миграции невозможен. Есть много тактических шагов, которые нужно сделать: посмотреть отличия каталогов и технические ограничения, проанализировать систему прав. Только после тщательного аудита можно понять, куда и как мигрировать. Также нужно решить, как управлять гибридной инфраструктурой. Миграция проводится поэтапно, но этот процесс нужно организовать так, чтобы не нарушать систему безопасности.
Павел Осипов напомнил, что миграция — это не конечная точка, а длительный процесс. Нужно создать инструменты, которые помогут сделать его более понятным и простым.
Процесс миграции на российскую службу каталогов
Миграция не должна нарушить деятельность компании, в которой она ведётся, говорит Игорь Коптелов. Она должна учитывать перспективы развития продукта. При переходе нужно делать обоснованный выбор с перспективой работы на годы, так как перейти потом на другой продукт будет очень проблематично. Неправильный выбор ставит под угрозу работу всей инфраструктуры. Компания, которая выбирает отечественное решение, максимально приближенное к Microsoft Active Directory, будет в выигрыше в долгосрочной перспективе.
Андрей Арефьев рекомендует делать большой аудит, а также контролировать процесс миграции, вести отчётность. Новая ИТ-инфраструктура должна соответствовать потребностям компании и требованиям системы безопасности.
Павел Осипов считает, что отечественные решения будут развиваться и компании смогут выбирать не из двух вариантов, а из нескольких, решая, какой лучше именно для них.
Андрей Черепанов предлагает запустить в компании разные решения, чтобы протестировать и выбрать лучшее для себя. Есть возможность сделать процесс миграции более безболезненным.
Александр Махновский надеется, что конкурирующие сейчас службы каталогов придут к общему решению и разделят ответственность.
Анатолий Лысов советует как можно раньше начинать импортозамещение: для этого уже есть надёжные решения.
По результатам последнего опроса в эфире, 37% участников готовы тестировать и внедрять российские службы каталогов. 21% убедился в правильности выбранной системы. Ещё столько же зрителей, наоборот, не готовы переходить на российские аналоги. 17% респондентов получили много новой информации и будут теперь сосредоточенно раскладывать её по полочкам.
Советы по миграции на российскую службу каталогов
Рисунок 4. Каково ваше мнение о российских службах каталогов после эфира?
Выбор альтернативы Microsoft Active Directory должен быть основан на конкретных потребностях и целях компании, а также учитывать совместимость с существующей инфраструктурой и бюджетом. Некоторые российские альтернативы предлагают уникальные особенности и преимущества, которые могут быть привлекательны для компаний, особенно в контексте соблюдения российского законодательства и требований к безопасности данных. Эксперты советуют компаниям уже сейчас начинать путь миграции на аналогичные Microsoft Active Directory российские решения.