Причины решения об инвестиции средств в портирование IdM в Linux

Наиболее важной технической причиной является ориентация платформы Linux и ее окружения на высокую доступность и отказоустойчивость. Несмотря на то что компания Microsoft за последнее десятилетие сделала очень многое для возможности построения отказоустойчивых архитектур на базе ее решений, Windows Server и IIS все еще не дотягивают до Linux с его развитой экосистемой серверных решений.

В качестве примера можно привести простейший аптайм Linux-сервера в продакшене, который занимает, как правило, месяцы, в то время как Windows Server без перезагрузки обновляться не умеет, поэтому такой показатель в принципе недостижим. Для многих заказчиков, масштаб бизнеса которых растет вместе с развитием функционала продукта, отказоустойчивое решение ассоциируется с Linux-инфраструктурой по умолчанию.

Второй по значимости причиной является гораздо более широкое серверное окружение, доступное в среде Linux. Например, в Windows есть один Web-сервер Production Ready — это IIS. Справедливости ради замечу, что он достаточно удобен для разработчиков и «балует» Net-приложения, принимая на себя дополнительную ответственность в части аутентификации, управления временем выполнения и других функций. При этом правильная настройка для использования в продуктивной среде и поддержка, особенно в отказоустойчивой конфигурации, затруднительна.

В случае же с NGINX на Linux все гораздо проще, в том числе в кластере. В сети описано множество конфигураций, есть большое количество примеров, и работает он гораздо понятнее и стабильнее. В некоторых проектах и ранее использовался NGINX как балансировщик перед IIS, и могу сказать, что в настройке, сопровождении и стабильности такая архитектура имела большие преимущества перед NLB. Если отойти от темы Web-серверов, то экосистема открытого ПО предлагает огромное количество полезных функциональных решений для создания надежных систем:

• логирование в распределенной сети — Graylog;
• мониторинг — Zabbix;
• развертывание и обновление — Ansible.

И это только верхушка айсберга. Для множества решений аналогов в среде Windows просто нет. Где-то они есть, но значительно менее функциональные либо платные, а дополнительная лицензионная нагрузка на заказчика в проекте — всегда проблема.

Третьей причиной является простота развертывания и сопровождения. Это спорный момент, многие скажут, что Windows всем привычнее и имеет более понятный графический интерфейс, но, по нашему опыту, это не так. При внутреннем обучении для инженеров, занимающихся проектами внедрения и технической поддержкой, в большинстве своем поверхностно знакомых с Linux ранее, не было каких-либо затруднений с их стороны при развертывании, более того, большинство из них отметило, что развертывание происходит проще и надежнее.

Говоря о этом, мы подразумеваем не только локальную рабочую станцию, помимо нее есть еще инструменты контроля версий, непрерывной интеграции и доставки, тестовое окружение. Уже сейчас разработчики используют докер-контейнеры для локального тестового окружения, а CI-инфраструктура, построенная на базе открытых решений несколькими годами ранее, значительно упростилась. Нативные git, grep, sed, Python и другие инструменты, активно используемые и ранее в виде портов в Windows, значительно удобнее для применения в среде, для которой созданы.

С коммерческой точки зрения наиболее важной причиной, очевидно, является политика импортозамещения. Хотя решение полностью российское и, в отличие от конкурентов, не содержит в некоторых случаях нелегитимных с точки зрения права заимствований из открытых решений, зависимость от Windows-окружения, СУБД MSSQL или Oracle создавала определенные препятствия для продажи в государственные структуры и компании, ориентированные на создание независимой инфраструктуры. После того как ожидаемая «оттепель» не случилась, увеличилось количество запросов, связанных с импортозамещением уже построенных систем, в том числе от крупных коммерческих компаний, и стало отчетливо понятно: игнорировать ситуацию, в том числе с технической точки зрения, нельзя, и все усилия разработчиков были направлены на создание платформо-независимой версии с поддержкой открытой СУБД. PostgreSQL в данном случае был выбран как практически безальтернативное решение, поскольку в настоящий момент обладает:

1. наиболее полным функционалом среди открытых реляционных СУБД;
2. большим сообществом специалистов в России, включая компании, оказывающие услуги по технической поддержке.

Во многих крупных коммерческих компаниях, ответственно относящихся к ИТ-архитектуре уровня предприятия, приняты архитектурные стандарты, в соответствии с которыми Windows-инфраструктура может использоваться в информационных системах, уровень критичности которых не выше Business Operational. IdM же, выполняя, например, функцию авторизации подменных кассиров, автоматически поднимается на уровень Business Critical. В этом случае возможность развертывания в Linux-окружении означает более простой пресейл и меньшее количество вопросов на этапе технического проектирования, в комитетах по технической архитектуре и на прочих мероприятиях, предшествующих продаже лицензий.

Большое значение имеет экспертиза интеграторов, ранее работавших с западными продуктами. Они в большинстве своем привыкли строить инфраструктуру IdM-систем на базе открытых решений. За последние пару лет, начав активно работать с крупнейшими интеграторами, обладающими собственной экспертизой в сфере управления доступом, мы неоднократно сталкивались с отторжением на уровне технических специалистов, привыкших к стеку Linux + Java.
Для решения вопроса компетенций интеграторов в плане разработки интеграционных решений поддержка открытых стандартов была обеспечена на достаточно высоком уровне. Теперь, получив поддержку любимой платформы и возможность упрощенного развертывания в контейнере, они будут счастливы, реализуя проекты с использованием нового решения.

Портирование IdM на Linux — важнейший шаг, направленный на укрепление лидерства отечественного решения на российском рынке и хороший задел для будущего развития архитектуры продукта в направлении улучшения масштабируемости и надежности.

Александр Махновский, руководитель отдела разработки компании Аванпост

Avanpost — российский вендор-новатор в области безопасности идентификационных данных, развивает свою экспертизу с 2007 г.
Avanpost предлагает как комплексное решение безопасности Identity Security Platform для защиты цифровых идентичностей пользователей, устройств и приложений от различных угроз для крупных предприятий и нагруженных инфраструктур, так и более легкие стандартизированные продукты для среднего бизнеса:

• Avanpost IDM/IGA — система управления учетными записями и доступом к корпоративным ресурсам предприятия;
• Avanpost SmartPAM для контроля привилегированного доступа;
• Avanpost DS — российская служба каталогов, предназначенная для управления Linux-инфраструктурами и замены MS AD, каталог для промышленных нагрузок, протестированный на 30 млн объектах);
• Avanpost CA (российский доменный сервис сертификации; универсален для различных доменов, включая MS),
• Avanpost PKI (управление жизненным циклом объектов инфраструктуры открытых ключей из единого центра),
• Продукты линейки аутентификации Avanpost Access: FAM, MFA+, USSO, WSSO,  Device Control.

Экосистема программного обеспечения по управлению доступом построена на базе полностью собственного программного обеспечения, лучшего в своем классе, не зависящего от сторонних решений и Open Source компонентов.
Архитектура продуктов предполагает использование в отказоустойчивых, геораспределенных, высоконагруженных инфраструктурах.
Avanpost придерживается идеологии максимальной открытости. Технологически совместимы с отечественным ПО, интегрируем и объединяем программные компоненты различных вендоров.