Жизнь без Microsoft: эксперты обсудили вопросы миграции с Active Directory

Компания «Индид» провела первый круглый стол из цикла мероприятий Айдентити Клуба. Центральной темой для отраслевого диалога стала «Миграция с MS Active Directory на отечественные решения: проблемы, подходы, инструменты».

Ведущие специалисты крупных российских компаний и эксперты в области информационной безопасности собрались за круглым столом, чтобы обсудить насущные вопросы перехода с решений Microsoft на российские программные продукты. В мероприятии приняли участие представители компаний «Группа Астра», Pragmatic Tools, «ВКонтакте», «Индид», «Базальт СПО» и других организаций. 

Участники сосредоточили внимание на самых актуальных аспектах замещения Microsoft Active Directory (MS AD) – службы каталогов, которая играет ключевую роль в управлении устройствами, ресурсами и пользователями, обеспечивая безопасный доступ к системам, а также процессы аутентификации и авторизации в ИТ-инфраструктуре. До недавнего времени Microsoft Active Directory широко использовалась в корпоративных сетях российских организаций, но сегодня перед компаниями остро стоит вопрос миграции с MS AD на отечественные аналоги. И этот процесс не обещает быть простым.

«В 2025 году многие компании должны завершить переход с иностранных программных продуктов на российские. Одна из горячих тем импортозамещения – необходимость миграции на отечественные службы каталогов. Active Directory долгое время был отраслевым стандартом и общепринятым каталогом, который использовали все крупные компании для управления корпоративными ресурсами и пользователями.

Однако сегодня замена MS AD сопряжена с целым рядом технических сложностей. Одна из ключевых проблем – глубокая связанность и зависимость продуктов Microsoft от Active Directory. Архитектурные различия между решением Microsoft и отечественными службами каталогов затрудняют миграцию». 

Андрей Лаптев, директор продуктового офиса компании «Индид».

«С 2021 года наша компания занимается решением актуального вопроса – как перейти с инфраструктуры Microsoft на российский программный стек. Миграция корпоративного каталога – это сложный процесс, требующий особого подхода. Более 20 лет служба Microsoft Active Directory оставалась отраслевым стандартом в области управления идентификацией, правами доступа и корпоративными каталогами. Однако в последние годы при использовании технологий Microsoft компании сталкиваются со сложностями, в том числе с отсутствием лицензий и доступа к критически важным обновлениям. Поэтому миграция становится все более актуальным вопросом.

Уязвимости, которые сегодня могут существовать практически в любом ПО, необходимо оперативно устранять. Даже если между публикацией патча и его внедрением проходит совсем немного времени, создается окно для потенциальных атак. Продолжая зависеть от Active Directory как ключевого элемента инфраструктуры, мы серьезно рискуем, поэтому необходимость перехода на российские службы каталогов сегодня не должна ставиться под сомнение». 

Андрей Арефьев, сооснователь Pragmatic Tools, амбассадор Айдентити Клуба.

Участники круглого стола сошлись во мнении, что мигрировать на отечественные решения для управления каталогами следует поэтапно. И при таком подходе лучше всего придерживаться гибридных сценариев развертывания систем. 

«Являясь лидером на отечественном рынке, «Группа Астра» участвует в большом количестве проектов по импортозамещению, что помогает нам лучше понимать реальные потребности заказчиков. Мы осознаем, насколько сложно заменить сразу всю инфраструктуру, которую годами строили вокруг иностранной экосистемы, поэтому уделяем пристальное внимание развитию гибридных сценариев развертывания, чтобы заказчики могли организовать поэтапное замещение без нарушения работы ключевых бизнес-процессов. Например, продуктовая команда ALD Pro первая в мире реализовала функцию глобального каталога для FreeIPA, что обеспечило возможность полноценного использования двусторонних доверительных отношений с MS AD.

Теперь администраторы могут предоставлять доступ не только к ресурсам ALD Pro, но и в обратном направлении. Вместе с тем мы развиваем гибридные сценарии не только самостоятельно, но и при участии ведущих технологических партнеров. Если в ходе миграции данных потребуется сложная трансформация, то в дополнение к встроенному модулю синхронизации у вас будет возможность воспользоваться продуктом от наших коллег». 

Анатолий Лысов, менеджер продукта ALD Pro «Группы Астра».

Еще одна актуальная проблема, связанная с миграцией на российские продукты, – отсутствие у администраторов полной картины ИТ-инфраструктуры. Эксперты отметили, что организациям необходим качественный аудит информационных систем и ресурсов.

«Переход на отечественные решения мы рекомендуем начинать с глубокого аудита ИТ-инфраструктуры. Даже если зарубежные продукты в нее включены лишь формально, важно осознавать: замещение неизбежно. Современные российские аналоги не смогут полноценно взаимодействовать с устаревшими сервисами, построенными на закрытых протоколах: например, пакет программ Samba стал выступать в качестве доменного контроллера только после того, как Microsoft открыл его разработчикам свои стандарты. Использование унаследованных систем, постоянная ротация команд и накопление технического долга – все это приводит к тому, что сегодня никто не может точно сказать, какие функции Active Directory реально используются, как настроены сервисы и какие между ними зависимости. Без этой информации импортозамещение превращается в игру вслепую». 

Николай Мальцев, руководитель «Базальт СПО» по работе с ключевыми клиентами в промышленном секторе.

В заключение участники обсудили роль службы каталогов в решении задач по защите айдентити. Также эксперты рассказали, на что компаниям следует обратить внимание при выстраивании такой защиты, чтобы избежать ошибок.

«Внедрение подхода Identity Security, в основе которого лежит работа служб каталогов, в организации требует последовательных шагов. На начальном этапе компании с небольшим количеством сотрудников и систем обходятся ручным управлением доступом и аутентификацией. С ростом инфраструктуры на первый план выходит внедрение централизованных директорий – каталогов, которые становятся единым средством хранения учетных записей, а также позволяют внешним системам подключаться для аутентификации. Затем внедряют системы IdM. Но здесь кроется риск совершить распространенную ошибку: IdM часто путают с решениями класса IDP или пытаются использовать как замену каталогам. Это не совсем корректно, поскольку система IdM не заменяет, а дополняет директории, автоматизируя процессы. Проблема в том, что компании часто пропускают этап формирования каталогов и сразу переходят к внедрению систем IDM, пытаясь управлять учетными записями без централизованной базы. Это приводит к фрагментации данных и ошибкам в предоставлении доступа, а также повышает риски для безопасности».

Игорь Зверев, руководитель отдела автоматизации и управления доступами «ВКонтакте».