Развитие систем, построенных на идеологии открытого ПО, во многом сейчас обусловлено трендом импортозамещения. Среди них отдельное и значимое место занимают операционные системы. Это в первую очередь связано с вопросами безопасности, потому что создавать информационную систему верхнего уровня без доверенной платформы все равно что строить дом без фундамента.
На сегодняшний день разнообразие операционных систем отечественного производства удовлетворит даже самого взыскательного заказчика. Есть варианты для силовых структур со средствами усиленной безопасности и контролем недекларированных возможностей, для бизнеса с развитой пользовательской оболочкой и расширенным пакетом офисных программ, для домашнего использования. Но функциональность операционных систем, к сожалению, является недостаточным условием для «мягкого» перехода с традиционных Windows-систем. Зачастую основным камнем преткновения становится необходимость миграции данных с уже работающей Windows-инфраструктуры на новую на базе Linux-систем. Миграция касается как бизнес-данных, например, информации на корпоративных файловых серверах, так и технологической информации в виде учетных записей, паролей, ролей, прав доступа, почтовых ящиков, адресов и других сетевых настроек. Также немаловажным фактором является способность текущего ИТ-персонала поддерживать новую ИТ-инфраструктуру на базе отечественных ОС и приложений.
Безусловно, способов оптимизации процесса миграции ИТ-инфраструктуры сейчас предостаточно. Благо такая ситуация является не уникальной для российской ИТ-отрасли. Но компании и организации, у которых уровень зрелости ИТ-процессов достаточно высок, пройдут этот путь быстрее и с наименьшими потерями. Одним из процессов, характеризующих уровень зрелости компании в ИТ, несомненно является управление доступом к информационным ресурсам. При этом данный процесс влияет не только на уровень информационной безопасности организации, но также на эффективность ИТ-подразделения и производительность бизнеса. Ведь от того насколько быстро предоставлен доступ к информационной системе зависит время на решение производственной задачи.
Системы управления доступом как эффективный способ миграции данных
Современным подходом в организации процессов управления доступом является применение системы класса IDM (Identity Management). Системы IDM позволяют создать единую точку управления доступом к информационным системам, автоматизировать процессы предоставления и отзыва прав доступа, обеспечить постоянный контроль и создать единую базу данных по правам с возможностью ретроспективного анализа. Применение IDM-системы снижает нагрузку на ИТ-подразделения, сокращает время на предоставление доступа и повышает уровень информационной безопасности организации. Для решения данных задач IDM-система интегрируется с кадровой системой для получения кадровых событий и данных по сотрудникам и оргштатной структуре, а также с информационными (целевыми) системами для автоматизированного управления доступом на основе должностной принадлежности и/или согласованных заявок. Также IDM-система осуществляет периодический аудит целевых систем на наличие расхождений по учетным записям и правам с эталонной моделью прав, предоставленных через IDM. В случае обнаружения таких изменений, выполненных в обход IDM-системы, оперативно уведомляется офицер или администратор информационной безопасности. Основным элементом в IDM-системе, на базе которого строятся процессы управления доступом, является ролевая модель. От ее полноты и точности настройки зависит качество сервиса по предоставлению доступа. Роли могут быть как моноресурсными — включать определенный набор прав по одной системе, так и комплексными — включать несколько ресурсов с различным набором прав. Роли могут назначаться на определенную ветку оргструктуры, в этом случае они будут предоставляться автоматически сотрудникам, находящимся на соответствующей должности и/или в подразделении. Могут не привязываться к оргструктуре, тогда их предоставление осуществляется через механизм заявок с согласованием по настроенному процессу.
Также помимо IDM, есть ряд смежных классов систем в области эффективного управления доступом. В частности, это системы, реализующие технологию SSO (Single Sign-On). Технология SSO позволяет обеспечить единый вход в различные приложения с единым логином и паролем или с применением дополнительного фактора аутентификации в виде смарт-карты, USB-токена или отпечатка пальца. Тем самым ее применение облегчает жизнь бизнес-пользователю, которому не нужно будет запоминать большое количество паролей, сокращает нагрузку на ИТ-подразделения за счет уменьшения количества заявок по сбросу паролей и повышает уровень информационной безопасности, снижая риски компрометации паролей.
Использование в ИТ-инфраструктуре внешних средств управления в виде IDM или SSO -систем повышает эффективность не только соответствующих процессов, но и позволяет при необходимости изменять ландшафт целевых систем, в том числе с переходом на операционную систему российского производства, без потери качества управления.
Одним из основных сервисов, необходимых для функционирования зрелой ИТ-инфраструктуры, является единый каталог пользователей, поддерживаемый службой каталога. Он позволяет организовать централизованное хранилище учетных записей, прав и политик доступа для интегрированных с ним систем. Помимо этого служба каталога отвечает за управление сетевыми ресурсами, например, персональные компьютеры, серверы, принтеры и сетевые папки. В Windows-инфраструктуре такие задачи решает Microsoft Active Directory. В отечественных ОС на базе Linux-систем служба каталога может строится на различных решениях. Есть решения собственной разработки компаний-производителей операционных систем, например, Astra Linux Directory. Могут использоваться решения, общепризнанные в Linux-сообществе, например OpenLDAP, FreeIPA, 389 Directory Server, Red Hat Directory Server и другие. Миграция каталога пользователей с MS AD на другую службу каталога может оказаться нетривиальной задачей. Но для компаний, уже использующих IDM-систему, такая задача потребует значительно меньшего времени и усилий. Все основные сведения по учетным записям сотрудников уже хранятся в базе данных IDM и их создание в новом каталоге это автоматизированный процесс, который займет даже при большом количестве пользователей не более нескольких часов. Можно себе представить альтернативу с ручным созданием нескольких десятков тысяч учетных записей.
Технически такая автоматизированная миграция каталога пользователей обеспечивается за счет модулей интеграции (коннекторов) IDM-системы к службе каталога. Безусловно, функциональность коннектора намного шире, чем просто создание учетной записи. Это и управление правами, паролями, атрибутами пользователей и организационной структурой. При этом, как правило, к службам каталога разных производителей разрабатывается уникальный коннектор, учитывающий особенности их организации и функционирования.
Безусловно, миграция на новую службу каталога не происходит одномоментно. Это базовый сервис любой ИТ-инфраструктуры, без которого ее функционирование невозможно, и процесс перехода должен учитывать все возможные риски. Поэтому важно осуществлять отладку новой службы параллельно с эксплуатацией действующей. Это можно сделать в тестовой среде, максимально повторяющей промышленную, с автоматизированным заполнением идентификационными данными с помощью IDM-системы.
Еще один из наиболее популярных корпоративных сервисов — это электронная почта. При этом переход на отечественное ПО предполагает и замену почтового сервера с Microsoft Exchange, например, на МойОфис Почта. В этом случае автоматизированное создание почтовых ящиков пользователей также обеспечит система IDM. Можно привести и другие примеры отечественных ИТ-систем, переход на которые может осуществляться с помощью IDM-системы по схожему сценарию.
Но если учетные записи и почтовые ящики можно перенести вручную или с применением дополнительного инструментария по копированию, то как быть с паролями? Ведь они, как правило, не хранятся в обратимом виде в едином каталоге или системах. В этом случае, миграцию паролей сможет обеспечить система корпоративного SSO. Все пароли в зашифрованным виде хранятся в базе данных SSO-системы, а ее функционал и архитектура с применением коннекторов позволяет прокинуть их новый каталог или систему. При этом единое окно входа пользователей в корпоративную ИТ-инфраструктуру останется неизменным.
Немаловажным при смене основной платформы корпоративной ИТ-инфраструктуры является и уровень квалификацию ИТ-персонала. Использование нативных средств администрирования может значительно усложнить задачу перехода c операционной системы Windows на Linux. Специалисту, отвечающему за предоставление доступа в информационных ресурсах, может потребоваться дополнительное обучение, чтобы выполнять даже такие рутинные операции, как создание и блокирование учетной записи, создание и сброс пароля, назначение и отзыв прав доступа. Использование комплекса решений IDM и SSO как независимой системы управления доступом позволит автоматизировать такие операции, тем самым снизив объем информации, необходимой для освоения ИТ-специалистами при переходе на новую программную платформу.
Конечно, приведенные выше системы и примеры их использования не претендуют на исключительность и самодостаточность инструмента миграции на отечественную ИТ-платформу. Но их применение в корпоративной ИТ-инфраструктуре является общим трендом в ИТ-индустрии и позволяет повысить зрелость таких важных процессов как управление доступом вне зависимости от производителя выбранной операционной системы и ИТ-сервисов.
Олег Губка, директор по развитию Аванпост