Avanpost — история продукта

Компания Аванпост — сегодня уже ведущий российский разработчик систем идентификации и управления доступом к информационным ресурсам предприятия, технологический лидер в сегменте Identity Management — работает на рынке информационных технологий (ИТ) и информационной безопасности (ИБ) с июня 2007 года. Но идея создания продукта, принадлежащая группе основателей предприятия, посетила и захватила специалистов компании намного раньше.

В далеком уже 2005 году они руководили службой информационной безопасности одной из крупнейших российских компаний. И именно тогда перед ними встала задача автоматизации комплекса текущих процессов информационной безопасности. Число задач, попадающих в сферу ответственности подразделения ИБ, неуклонно росло, а дополнительных «рабочих рук» нужной квалификации не было: руководство не спешило их предоставлять, да и на рынке таких специалистов не так много. Необходимость автоматизации процессов была продиктована практикой. По всем прикидкам получалось, что только так можно было раз и навсегда справиться с нарастающим комом проблем. И при этом обходиться теми ресурсами, что имелись в распоряжении департамента.

Сразу решили, что для достижения поставленной цели нужно автоматизировать достаточно широкий круг задач ИБ — управление ключевыми носителями информации (токенами), аутентификацией пользователей в различных системах, парольными политиками приложений и пользовательскими рабочими станциями в части контроля запуска приложений. Именно эти процессы тогда вызывали наибольшее беспокойство, т.к. на них постоянно приходились наибольшее трудозатраты и именно они, как казалось, могут быть в высокой степени автоматизированы.

Было ясно какой результат нужно получить, но было совсем не очевидно какими средствами и системами можно добиться успеха. Решено было двигаться к цели системно. В итоге, было разработано детальное техническое задание (ТЗ) на всю систему автоматизации и проведен целый ряд пилотных проектов, чтобы попытаться решить задачу с помощью имевшихся на рынке продуктов. Учитывая, что система должна была включать в себя функционал сразу нескольких решений, остро вставал вопрос их взаимной интеграции. Оказалось: при любых комбинациях продуктов интеграция или непомерно сложна и ненадежна, или вообще невозможна. Этот вывод и стал краеугольным камнем, с которого фактически началась история Аванпост.

Именно с этого момента система автоматизации стала планироваться как независимая отдельная масштабная разработка. За несколько месяцев удалось собрать команду сильных программистов-разработчиков, и началось создание системы с нуля. Важным преимуществом проекта стала возможность оперативно опробовать решение и оттачивать его функционал на действующей тестовой инфраструктуре компании. С тех времен берет начало еще одна важнейшая отличительная черта, сохраняющаяся и по сей день: создаваемая система изначально планировалась практиками для практиков, т. е. в нее закладывались реальные задачи, с которыми действительно сталкиваются службы ИТ и ИБ каждый день. А все лишнее отсекалось.

С момента рождения идеи и написания ТЗ до первого релиза продукта прошло полтора года. И в 2007 году был выпущен первый релиз программного комплекса (ПК) Avanpost — интегрированной системы, призванной автоматизировать многие процессы информационной безопасности на предприятии. После её введения в промышленную эксплуатацию, команду программистов-разработчиков было решено вывести в отдельное юридическое лицо и перевести в режим поддержки. С этого момента начинается официальная история компании Аванпост.

В первый релиз ПК Avanpost вошли следующие модули:

• Avanpost PKI (Public Key Infrastructure) — управление элементами инфраструктуры открытых ключей;
• Avanpost SSO (Single Sign-On) — однократная аутентификация сразу в нескольких системах прикладного и инфраструктурного уровня;
• Avanpost SeS (Security Supervisor) — контроль и мониторинг действий пользователей.

Модуль Avanpost PKI v.1.0 собрал в себе функционал автоматизации и централизованного управления из единого интерфейса всеми элементами инфраструктуры открытых ключей. Сюда вошло управление электронными сертификатами и ключевыми носителями, ведение поэкземплярного учета средств криптографической защиты информации (СКЗИ), автоматизация процесса выпуска сертификатов, реализация полного цикла workflow, ведение журналов событий.

Модуль Avanpost SSO v.1.0 включал в себя функции для централизованного обновления парольной информации в ключевых носителях (токенах) пользователя и её автоматической подстановки в приложения, обслуживаемые системой SSO. Модуль перехватывал всплывающие окна приложений, в которые необходимо ввести парольную информацию, и подставлял в них данные, хранящиеся в защищенной области памяти ключевого носителя. При этом запись и удаление парольной информации на ключевой носитель происходили централизованно — с использованием сервера распространения паролей.

Модуль Avanpost SeS v.1.0 предназначался для управления доступом сотрудников к автоматизированным рабочим местам (АРМ) и к устройствам ввода/вывода информации, входящим в состав корпоративной информационной системы. Фактически, модуль представлял собой некий прообраз современных систем класса DLP и SIEM. С его помощью администраторы безопасности могли контролировать работу пользователей с портами ввода/вывода, управлять «белыми» и «черными» списками приложений, а также отслеживать и сигнализировать администратору о нежелательных действиях пользователя, нарушающих те или иные политики ИБ.

Версия 1.0 была успешно внедрена, а компания-разработчик получила карт-бланш в части дальнейшего развития функционала своего молодого продукта. Кроме того, учитывая, что подобный функционал, реализованный в едином продукте, был уникальным для российского рынка, то и первых коммерческих внедрений долго ждать не пришлось. Так, уже в начале 2008 года, продукт был впервые внедрен на коммерческой основе в сторонней организации. Более того, учитывая направленность продукта на автоматизацию, (следовательно, на снижение издержек) он без потерь пережил финансовый кризис, число же клиентов возросло до шести.

И хотя молодая команда создавала продукт «с нуля», релиз 1.0 получился очень стабильным, и поддержка существующих внедрений не отнимала много сил. Поэтому, в течение следующих двух лет (2008 и 2009 гг.) разработчики получили возможность глубоко погрузиться в развитие функционала ПК Avanpost. За это время было выпущено несколько минорных версий продукта, улучшающих существующий функционал, и исправляющих выявленные недоработки. Кроме того, в это время начали разрабатываться новые модули, существенно расширившие область применения программного комплекса, и автоматизирующие еще больше задач информационной безопасности.

В конце 2009 — начале 2010 года новые разработки были протестированы, и стало ясно, что в очередной минорный релиз они уже «не помещаются», т.к. продукт в целом вышел на качественно новый уровень. И в феврале 2010 года был выпущен релиз Avanpost 2.0.

Знаковым отличием от предыдущей версии стало введение в строй новых модулей:

• Avanpost IPSec (Internet Security Protocol) — построение защищенных VPN-соединений, в том числе с использованием крипто-алгоритмов ГОСТ;
• Avanpost ADM (Active Directory Management) — управление учетными записями в каталоге Microsoft Active Directory.

Первый модуль был предназначен для обеспечения конфиденциальности и достоверности передаваемых по сети потоков данных и для авторизации пользователей при доступе к сетевым узлам. Этот модуль стал ответом на запрос ключевого заказчика: поскольку компания была широко распределена территориально, потребовалось шифровать трафик между филиалами. Важно, что система работала на уровне сетевого протокола IP.

Соответственно, программы, непосредственно использующие протоколы управления передачей (TCP) и различные транспортные протоколы (FTP, HTTP и т. д.) не «замечали» использования туннелирования. А это позволяло эксплуатировать совместно с системой подавляющее большинство прикладных программ, не внося в них каких-либо изменений, и не корректируя их настройки.

Модуль Avanpost ADM явился первым прообразом существующего модуля Avanpost IDM (Identity Management) и отвечал за автоматизацию процесса управления учетными записями пользователей в каталоге Microsoft Active Directory (AD). Фактически, данный модуль содержал достаточно гибкий механизм отслеживания событий о приеме и увольнении сотрудников в кадровой базе компании. А на базе этой информации модуль автоматически создавал, либо блокировал учетные записи в AD. На тот момент (начало 2010 года) ни одна российская компания-разработчик и не думала о создании такого рода продукта, хотя спрос на подобные решения был стабильно высоким.

В дополнение к новым модулям, функционал существующих также был существенно доработан. Скажем, Avanpost PKI v.2.0 научился работать с большинством существующих на российском рынке типов ключевых носителей информации (eToken, Rutoken, смарт карты и т. д.). А также был интегрирован с системой дистанционного банковского обслуживания (ДБО), чтобы управлять жизненным циклом токенов, выдаваемых клиентам банков (физическим и юридическим лицам).

В это время (2008 — 2010 годы) в области ИБ серьезно усилилось влияние главных драйверов отечественного рынка ИБ — регуляторов, в лице Федеральной Службы по Техническому и Экспортному Контролю (ФСТЭК России), Федеральной Службы Безопасности (ФСБ России), а так же Роскомнадзора, призванного следить за соблюдением прав субъектов персональных данных (ПДн). Наверное, именно благодаря укреплению позиции регуляторов и серьезному продвижению «в массы» № 152-ФЗ «О персональных данных», российский рынок ИБ пережил первые послекризисные годы практически без потерь, а в каких-то сегментах даже подрос. Для Аванпост все это стало серьезным подспорьем в продвижении продукта на массовый рынок, ведь он изначально проектировался с соблюдением всех требований ФСТЭК и ФСБ.

Рост интереса к ПК Avanpost наблюдался в самых разных сферах бизнеса, увеличивалось количество успешных внедрений и благодарных клиентов, и в начале 2011 года было решено запустить процедуры сертификации ПК Avanpost во ФСТЭК России. Конъюнктура рынка была благоприятной. И к окончанию жизненного цикла релиза 2.0 (конец 2011 года) компания Аванпост насчитывала уже свыше 15 постоянных клиентов.

За почти пять лет существования компании Аванпост, к концу 2011 года, стало очевидно, что дальнейшее успешное развитие продукта такого масштаба требует существенного усиления команды разработки. А это требовало увеличения прибыли. К сожалению или к счастью, основатели Аванпост были людьми сугубо техническими, практиками в области ИБ и отличными разработчиками. Но не имели выраженной финансовой «жилки». К счастью, они это понимали. Так было принято самое судьбоносное решение в истории компании Аванпост: после продолжительных переговоров она вошла в состав LETA Group на правах независимого разработчика.

Именно 2012 год стал для Аванпост переломным и открыл ей дорогу к вершине отечественного рынка IDM. С этого момента компания резко сменила курс в вопросах продвижения решения и сконцентрировалась на развитии нескольких ключевых модулей ПК Avanpost. При этом, получив необходимые стартовые инвестиции, Аванпост стала одной из наиболее динамично развивающихся компаний в портфеле LETA Group.
Середина 2012 года ознаменовалась выпуском третьего релиза программного комплекса. Релиз 3.0 стал важнейшим в истории компании, т.к. именно в нем в России появилось первое отечественное полнофункциональное IDM-решение.

Основные изменения в релизе 3.0 связаны с появлением двух новых модулей:

• Avanpost IDM (Identity Management) — управление учетными записями пользователей в корпоративных информационных системах;
• Avanpost SLS (Self Service) — модуль самообслуживания пользователей.

Avanpost IDM предназначен для централизованного управления учетными записями и правами доступа пользователей к различным информационным системам, подключаемых к программному комплексу посредством т.н. коннекторов. Будучи итогом эволюционного развития модуля Avanpost ADM, модуль IDM построен по принципу обеспечения централизованного управления информационными ресурсами с возможностью передачи административных полномочий по управлению теми или иными элементами. Впоследствии именно модуль IDM стал флагманским компонентом всего программного комплекса Avanpost.

Модуль Avanpost SLS стал логичным продолжением концепции автоматизации бизнес-процессов служб ИТ и ИБ. Он представлял собой web-консоль самообслуживания пользователей, в которой они могли самостоятельно выполнять ряд повседневных задач, снижая тем самым загрузку обслуживающих подразделений.

Помимо введения в строй новых модулей, существующие модули были существенно расширены по функционалу. Так, Avanpost PKI v.3.0, был интегрирован с распространенными в России кадровыми информационными системами, а также с некоторыми удостоверяющими центрами: КриптоПро, Microsoft, RSA Keon, Signal-COM. Таким образом, он покрывал потребности не только существующих, но и всех потенциальных клиентов. Серьезным доработкам подвергся и модуль Avanpost SSO v.3.0 — в него были заложены возможности по подключению дополнительных моделей аутентификации пользователей (например, биометрической — по отпечаткам пальцев).

Кроме того, была анонсирована бета-версия модуля Avanpost Mobile, предназначенного для управления доступом к корпоративным ресурсам предприятия с мобильных устройств на базе Android и iOS.

В целом, после вхождения компании Аванпост в состав LETA Group и смены политики продвижения продукта на рынок, уже за первый год было привлечено более 40 компаний — крупнейших российских интеграторов в области ИТ и ИБ. В конце 2013 года Аванпост стала резидентом инновационного центра «Сколково», как первый и пока единственный отечественный разработчик систем идентификации и управления доступом к корпоративным ресурсам предприятия. Были получены необходимые лицензии ФСТЭК России и завершена сертификация программного комплекса в структуре ФСТЭК.

Начавшийся в 2012 году столь бурный рост компании Аванпост обусловлен не только привлечением инвестиций в развитие, но и очень удачным попаданием в нужный сегмент рынка. Дело в том, что в России решения класса IDM, конечно, не были на тот момент чем-то абсолютно новым. Ведь еще с 2006—2007 года началось развитие этого сегмента отечественного рынка ИБ. Но тогда, на нем были представлены только тяжеловесные западные решения таких гигантов как Sun, Oracle и IBM, что делало каждый проект крайне дорогим и длительным. Возможно, именно поэтому в России развивался рынок IDM довольно вяло. Спрос на подобные решения был, но ввязываться в «долгострой» и тратить на него колоссальные деньги готовы были далеко не многие. Именно на этих «ожиданиях» рынка и сыграла компания Аванпост, первой предложив полнофункциональное, но при этом достаточно бюджетное IDM-решение, которое могли себе позволить даже компании среднего масштаба (от 500 — 1000 пользователей).

В следующие два с года, прошедшие с момента выпуска ПК Avanpost 3.0, число клиентов использующих это решение выросло на порядок. Более того, в конце 2013 года именно на базе ПК Avanpost было осуществлено самое крупное в России, да и во всей Восточной Европе, внедрение IDM-решения. Проект внедрения в Федеральной Налоговой Службе России — это управление доступом к ИТ-ресурсам более чем 120 тысяч сотрудников ФНС, в условиях глобальной территориальной распределенности объектов по всем существующим субъектам Российской Федерации.

В начале 2014 года компания Аванпост шагнула за рамки РФ — в Казахстан, Белоруссию и Украину. Партнерская сеть и регионы присутствия расширяются по сей день. Фактический рост прибыли компании за 2013 год составил почти 300%, относительно 2012 года. Кроме того, штат команды разработки и тестирования продукта увеличился почти в 5 раз, что позволило одновременно ускорить разработку, вести ее по многим направлениям и при этом существенно повысить качество программного кода, значительно уменьшить число ошибок и ускорить их выявление.

Примерно через год после официального релиза Avanpost 3.0 и первых опытных внедрений модуля Avanpost IDM, стало ясно, что в данном сегменте рынка существует одна системная проблема, которая носит глобальный характер. Дело в том, что для успешного запуска в компании любого IDM-решения, необходимо сначала провести ряд очень сложных и трудоемких операций по созданию т.н. ролевой модели и матрицы доступа. Ведь именно они, если построены правильно, дают возможность IDM-решению выполнять свои задачи корректно и эффективно.
Анализ удачных российских внедрений различных решений IDM за последние несколько лет показал, что в организации, насчитывающей 1000 и более сотрудников, даже при умеренной «текучке» кадров, создание вручную актуальной матрицы доступа и ролевой модели — задача практически нерешаемая. Эта проблема, наряду с высокой стоимостью, стала одним из важнейших сдерживающих факторов в развитии IDM-систем. И именно с этой проблемой было решено покончить раз и навсегда. На это были выделены лучшие силы из числа разработчиков и аналитиков Аванпост, и к первому кварталу 2014 года проблема была успешно решена благодаря новой разработке — комплексу инструментов Avanpost Role Manager.

И в конце II квартала 2014 года, был выпущен релиз Avanpost 4.0. На этот раз изменений в программном комплексе было довольно много как с технологической стороны, так и со стороны упрощения внедрений. Отмечу четыре принципиально важных момента:

• Появление инструментария Avanpost Role Manager, предназначенного для автоматизации создания ролевой модели и матрицы доступа на предприятии любого масштаба. А также появление подсистемы ресертификации ролей, позволяющей с минимальными усилиями поддерживать ролевую модель в актуальном состоянии;
• Окончание поддержки и выпуска обновлений для модулей Avanpost IPSec и Avanpost SeS;
• Перенос функциональности модуля Avanpost Mobile в модуль Avanpost SSO v.4.0;
• Включение функционала модуля Avanpost SLS в модули Avanpost PKI v.4.0 и Avanpost IDM v.4.0 в необходимом объеме.

Столь серьезные изменения в программном комплексе были обусловлены желанием компании сосредоточиться на флагманских направлениях в части управления доступом — IDM, PKI и SSO. Ведь ни для кого не секрет, что можно достичь гораздо большего, если сфокусироваться на том, что ты умеешь делать лучше всего.

Модуль Avanpost Role Manager — это автоматизированный механизм создания ролевой модели и матрицы доступа на предприятии любого масштаба. Именно этот модуль призван устранить системную проблему отрасли и минимизировать издержки в рамках внедрения IDM-решения на предприятии. Причем этот модуль входит в стандартную поставку модуля Avanpost IDM (v.4.0 выше) и дополнительно не лицензируется, тем самым снимая потенциальную непредвиденную финансовую нагрузку на компанию-заказчика. Сегодня функционал Role Manager является уникальным среди российских разработок IDM, а ближайший западный вендор, имеющий похожее решение, — корпорация Oracle. Но она продает этот функционал как дополнительный продукт, отнюдь не дешевый.
Помимо вышеперечисленных изменений, флагманские модули ПК Avanpost также получили существенное развитие. Так, модуль Avanpost IDM v.4.0 обзавелся полноценным циклом workflow, позволяющим работать с заявками на предоставление доступа и выстраивать сложные схемы процесса согласования. Кроме того, в workflow была интегрирована возможность электронной подписи (ЭП), что приравнивает процесс согласования к юридически значимому документообороту.

Также, было увеличено число «точек соприкосновения» ПК Avanpost 4.0 с ИТ-окружением и, соответственно, выросло число типов коннекторов. В то же время, была изменена архитектура подсистемы интеграции, что позволило упростить и ускорить разработку коннекторов. А создание готового инструментария разработчика (SDK) позволило передать их создание компаниям-партнерам и самим заказчикам. Теперь П К Аванпост можно связывать практически с любыми системами (доверенными источниками информации и управляемыми системами), даже с «самописными» и унаследованными, даже с теми, к которым доступ сторонних специалистов запрещен. Более того, в модуль Avanpost IDM v.4.0 был встроен механизм управления доступом для таких систем, которые вообще не подключены к IDM-системе непосредственно и не обмениваются с ней информацией (например, находятся в изолированных контурах ИБ).

А в модуле Avanpost PKI v.4.0 были существенно улучшены функции консоли самообслуживания пользователей и механизмы интеграции модуля с системами ДБО. И еще этот модуль был интегрирован с двумя дополнительными удостоверяющими центрами — Validata и CheckPoint.

Практика последних лет показала, что развитие рынка IDM-решений в России имеет огромный потенциал. Стратегические планы компании Аванпост — оставаться лидирующей компанией в области управления доступом к корпоративным ресурсам.

В рамках стратегии развития Аванпост на ближайшие годы, развитие программного комплекса в части флагманских модулей IDM, PKI и SSO остается приоритетным направлением деятельности компании. При этом Аванпост меняет политику релиз-менеджмента. Теперь наряду с крупными релизами, которые будут выходить ежегодно, каждые 2−3 месяца будут выпускаться минорные релизы продукта с усовершенствованным и новым функционалом и исправлением ошибок.

Кроме того, на первый квартал 2015 года запланирован релиз ПК Avanpost 5.0, основным направлением которого будет глубокая оптимизация пользовательского интерфейса всех трех модулей продукта, перевод всех консолей администрирования на web, а также существенное улучшение юзабилити.

Александр Санин, коммерческий директор компании Аванпост

Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:

• Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
• Avanpost SmartPAM для контроля привилегированного доступа;
• Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
• Avanpost CA (российский доменный сервис сертификации; универсален для различных доменов, включая MS),
• Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра),
• Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO,  Device Control.

Экосистема программного обеспечения по управлению доступом построена на базе полностью собственного программного обеспечения, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируем и объединяем программные компоненты различных вендоров.