«Группа Астра» объявила о выпуске обновленной службы каталога ALD Pro 3.0. Её внедрение помогает развивать технологический суверенитет без остановки основной деятельности компаний. Но заменяемые продукты также продолжают развиваться, и российский вендор старается не отставать от мировых трендов.
- Введение
- Российский рынок служб каталогов
- Развитие ALD Pro
- Поэтапный переход с Windows на Linux
- Новые возможности ALD Pro 3.0
- Философия безопасности ALD Pro
- Развитие ALD и AD: параллельно или врозь?
- Дальнейшее развитие ALD Pro и безопасность
- Выводы
Введение
Отечественный разработчик инфраструктурного ПО «Группа Астра» представил 10 сентября мажорное обновление службы каталога ALD Pro 3.0. Основное внимание при разработке новой версии было уделено задачам горизонтального и вертикального масштабирования продукта, наращивания надежности его работы в высоконагруженных средах, повышению уровня защищенности и безопасности.
Механизм ALD Pro предназначен для эксплуатации в корпоративном секторе и служит для выстраивания доменов из рабочих станций и серверов, работающих в первую очередь под управлением ОС Astra Linux. Благодаря ему реализовано централизованное управление параметрами Linux-машин по всему парку, можно выполнять прикладные задачи по администрированию ИТ-инфраструктуры.
ALD Pro зарегистрирован в реестре российского ПО (№12159 от 30.11.2021). ФСТЭК России выдала на него сертификат № 4830 от 26.07.2024. Благодаря этим документам продукт можно применять для строительства инфраструктурных ИТ-проектов, отвечающих любым (вплоть до самых высоких) требованиям по защищенности. Поэтому ALD Pro 3.0 фактически является универсальным решением для компаний любого масштаба и профиля.
Презентация ALD Pro 3.0 прошла в Москве с участием представителей «Группы Астра», а также партнеров (ГК Softline и «К2Тех»).
Рисунок 1. Участники презентации новой версии ALD Pro 3.0
Российский рынок служб каталогов
Сергей Сергеев, представитель CNews Market, рассказал на анонсе продукта о выпущенном недавно обзоре российского рынка программных систем служб каталогов, разработанных отечественными вендорами. Отметим сразу, что в этом списке отсутствует упоминание Microsoft Active Directory, хотя ИТ-инфраструктура многих российских компаний до сих пор исторически выстроена на Windows-системах. Использование Microsoft AD является для них естественным выбором.
Оценить долю Microsoft достаточно сложно, потому что несмотря на явное давление государства по отказу от этой системы и переходу на отечественные ОС, доля Windows в корпоративном секторе остается значительной. По оценкам Сергея Сергеева, в критически важных отраслях она составляет около 15%, хотя существует интуитивное мнение, что реальная доля экосистемы Microsoft значительно выше.
Рисунок 2. Рейтинг российских ОС — 2025 (CNews Market)
Отметим, что методика CNews для оценки российских продуктов через рейтинги не является классической. Она отражает мнение аналитиков о функциональных возможностях продуктов. Чем больше баллов каждый продукт набирает по соответствующему направлению, тем больше в нем реализовано функциональных возможностей. Но для компаний более важное значение имеет совместимость и полнота функционального набора инструментов, а не просто отметка о наличии.
Поэтому их выбор ориентируется на индивидуальный программный стек, а рейтинг CNews – это скорее возможность подсказки, какая служба каталога может предложить наибольшие возможности для построения гетерогенной инфраструктуры из доменов Windows и Linux.
Согласно полученным результатам, доля «Группы Астра» на российском рынке служб каталогов составляет по итогам 2025 г. около 50%. Общий объем рынка оценен в 3 млрд. руб., оставшуюся часть делят компании РЕД СОФТ (служба РЕД АДМ), «Базальт СПО» (служба «Альт Домен»), РОСА (служба ROSA Dynamic Directory).
Рисунок 3. Рейтинг российских служб каталогов — 2025 (CNews Market)
Развитие ALD Pro
Быстрый старт продукта ALD Pro в 2021 году объясняется тем, что в его основу легли уже рабочие продукты с открытым кодом: FreeIPA и Salt (SaltStack).
Специализированная служба каталога FreeIPA представляет собой интегрированное решение, позволяющее централизованно управлять в среде Linux аутентификацией пользователей, устанавливать политики доступа и аудита. Функциональные возможности приближены к Microsoft AD, среда безопасности интегрирована через следующие модули: 389 Directory Server, MIT Kerberos, NTP, DNS, система сертификации DogTag, служба SSSD и другие.
Для интеграции FreeIPA с Active Directory используется популярный пакет Samba, который позволяет обмениваться данными по протоколу SMB / CIFS. Разработкой FreeIPA занимается сообщество разработчиков, спонсорскую поддержку осуществляет Red Hat, продукт доступен по лицензии GNU GPL.
Второй базовый элемент ALD Pro — это модульная ИТ-инфраструктура Salt (SaltStack). Она служит для управления конфигурациями и позволяет быстро собирать данные и выполнять административные задачи через отправку скриптов. Разработкой Salt занимается Broadcom, продукт доступен по лицензии Apache License 2.0.
Как отметил Алексей Фоменко, директор серверного ПО «Группы Астра», «мы тщательно подходили к выбору технологического стека и сделали ставку на FreeIPA, поскольку эта служба ориентирована на потребности корпоративных Linux-систем. Если сравнить с другими решениями, которые базируются на Samba, то везде подключение доменов осуществляется с помощью демона SSSD. Изначально была создана система, состоящая из серверной части FreeIPA и клиентской части SSSD. Этот подход отвечает трендам развития существующих программных экосистем, и ALD Pro также следует этим принципам».
Рисунок 4. Выступление Алексея Фоменко на анонсе ALD Pro 3.0
Уже на старте развития ALD Pro была проведена декомпозиция всех программных объектов. Они были тщательно проверены и изучены. Сейчас разработчики самостоятельно поддерживают их развитие, опираясь на опыт опенсорс-сообщества.
«Мы делаем ставку на открытости применяемого протокола LDAP (Lightweight Directory Access Protocol), который позволяет взаимодействовать с каталогом хранения и получения данных из его иерархической структуры, — отметил Анатолий Лысов, технический менеджер продукта ALD Pro. — Все используемые программные объекты доступны для извлечения и редактирования.
При разработке механизма групповых политик, одним из ключевых требований стала возможность расширения состава групповых политик силами интеграторов. Поэтому внутри ALD Pro изначально заложена возможность для участия внешних разработчиков (на стороне интеграторов и заказчиков), которые могут вносить необходимые изменения с учетом собственных потребностей заказчика, его корпоративных приложений».
Поэтапный переход с Windows на Linux
К переходу компаний на отечественную платформу подталкивает и, как ни странно, сама Microsoft. С 14 октября 2025 года будет прекращена поддержка всех версий ОС Windows 10 (Home, Pro, Pro Education, Pro for Workstations). После этого выпуск обновлений по безопасности будет прекращен. Пользователям будет рекомендовано переходить на Windows 11 или Windows 365.
С точки зрения безопасности разумным решением для российских компаний в сложившейся ситуации становится план миграции на гетерогенную инфраструктуру: в одном домене поддержка парка рабочих станций на Windows, в другом – собственной инфраструктуры на отечественных ОС. Для управления такой конфигурацией потребуются системы, подобные ALD Pro.
Важно, что ALD Pro 3.0 предоставляет поддержку перехода на российскую платформу с Windows в рамках импортозамещения. Предусмотрено создание отдельных доменов под управлением Microsoft Active Directory и установка двустороннего, доверительного канала обмена данными с остальной серверной группировкой, работающей на базе ALD Pro, через контроллер домена AD.
Служба обмена данными ALD Pro поддерживает коммуникационный сервис Microsoft Exchange и другие корпоративные системы в домене AD. Компании получают полную свободу в формировании собственного плана переноса данных из Windows в их аналоги на Linux. Процесс импортозамещения становится реальным для практической реализации.
Отметим, что одномоментный переход инфраструктуры на новую платформу – это всегда трудно осуществимое мероприятие. Оно чревато неожиданными проблемами и появлением многочисленных угроз с точки зрения безопасности и защищенности вследствие неизбежной необходимости выбора простых временных решений для реализации на новой платформе.
Рисунок 5. Архитектура решения ALD Pro
Выбор на базе ALD Pro выглядит более надежным и продуманным с точки зрения практики. Компании получают централизованные средства управления через графический интерфейс. Теперь они могут быстро и в удобной форме перенести десятки тысяч учетных записей AD без остановки рабочих процессов.
Как отметил Алексей Фоменко, развитие ALD Pro 3.0 учитывает особенности процесса развертывания конфигурации службы, роста отказоустойчивости и повышения возможностей для масштабирования, предлагая это в удобной для компаний форме.
Для знакомства предложена бесплатная версия ALD Pro Free. Она рассчитана на 25 пользователей, не имеет функциональных ограничений и может применяться в небольших компаниях. Благодаря этой версии, они также получают возможность для импортозамещения и перехода на отечественное ПО на базе продуктов «Группы Астра».
Новые возможности ALD Pro 3.0
До мажорного обновления ALD Pro 3.0 продуктовая команда «Группы Астра» провела исследование функциональных возможностей технологического стека с целью оценки возможностей горизонтального и вертикального масштабирования. Были выбраны ограничения, исходя из реальных практических запросов. В результате появилась топовая конфигурация для поддержки: 400 контроллеров, один миллион пользователей и 30 млн управляемых объектов. Исходя из этих данных, разработчики провели оптимизацию программного кода ALD Pro 3.0.
В новой версии существенно переработаны алгоритмы поддержки синхронизации данных с доменом Microsoft AD. Это сделано для повышения надежности и производительности сервиса. Пилотное тестирование позволило получить реальную оценку производительности: миграция доменов с объёмом в 10 тыс. учетных записей занимает около двух часов. Практическая работа в гетерогенной среде позволяет гарантированно справляться с одновременной поддержкой до 300 тыс. пользователей в домене.
Много внимания при оптимизации было уделено исключению конфликтов при обработке данных. Это потребовало перейти на использование уникальных идентификаторов «objectGUID» и «nsUniqueId», а также реализовать синхронизацию паролей в отдельном параллельном потоке.
Рисунок 6. Решение ALD Pro назвали лидером на российском рынке служб каталогов
Принимая во внимание большой «зоопарк» решений у заказчиков, разработчики «Астры» постарались обеспечить в ALD Pro 3.0 допустимость полноценного управления другими отечественными ОС (ALT Linux 10.4, РЕД ОС 7.3 и 8). Для этих целей были выпущены соответствующие клиенты.
Управление этими клиентами осуществляется через службу SaltStack и Salt-скрипты. Это позволяет применять механизм групповых политик ALD Pro, а само решение не устанавливает моновендорных требований на выбор прикладного ПО, не заставляет пользователей переходить на собственную ОС Astra Linux, оставляя им право делать выбор, исходя из своих возможностей и практического опыта. ALD Pro позволяет управлять мультивендорной инфраструктурой и облегчает внедрение отечественного ПО в корпоративных сетях.
Философия безопасности ALD Pro
Поддержка кибербезопасности является для компаний сейчас решающей (kill feature). Как отметил в своем выступлении Алексей Фоменко, 32% инцидентов в российских компаниях, связанных с нарушениями в области ИБ, привели к возникновению сбоев в их основной деятельности. Ущерб уже можно оценить в финансовых затратах. Поэтому заказчики требуют теперь достаточно высокий уровень защищенности. Их отказ от AD диктуется не только регулярными требованиями, но и отсутствием стабильной поддержки. Выход из ситуации — это переход к суверенной безопасности.
Отметим функции безопасности, которые уже были реализованы в предыдущих версиях ALD Pro:
- централизованное управление учетными записями (пользователи, компьютеры, сервисы);
- гетерогенная инфраструктура с участием домена на базе Microsoft AD;
- делегирование полномочий администраторов на управление объектами в домене;
- система поддержки групповых политик для автоматизации управления в домене;
- автоматическое развертывание сервисов (репозитории пакетов, файловый сервер, сервер печати, DHCP, установка ОС по сети, средства мониторинга и пр.);
- единая точка для сквозной аутентификации пользователей по протоколу Kerberos v5.
Теперь в ALD Pro 3.0 появился механизм централизованного управления мандатным (обязательным) контролем доступа. Это гарантирует безопасность при работе в ИТ-инфраструктуре любого масштаба и уровня требований по конфиденциальности обрабатываемых данных.
Внесены изменения в работу системы поддержки паролей локальных администраторов (Local Administrator Password Solution, LAPS). Новый механизм администрирования выполняет проверку новых паролей по словарю запрещенных слов, предупреждая в случае совпадений о снижении защищенности. Аналогичная проверка проводится также на стороне контроллеров домена. Вся система в целом работает автоматически и повышает барьер защищенности перед попытками взлома путем перебора паролей.
Выбранный подход отражает философию безопасности и защиты конфиденциальности. Она предполагает, что безопасность должна быть выстроена как самостоятельный принцип, а не как набор политик, делая реальную безопасность зависимой от качества техподдержки. Концептуально этот подход не противоречит принципам «нулевого доверия» (Zero Trust).
Развитие ALD и AD: параллельно или врозь?
До сих пор многие рассматривают импортозамещение как возможность отвечать требованиям по безопасности после ухода от технической поддержки западных вендоров. Но этот подход отражает задачу минимум. Развитие всех продуктов продолжается. В этом году Microsoft выпускает новую версию Windows Server 2025, в которую добавлены улучшения для доменных служб Active Directory (AD DS) и служб Active Directory Lightweight Directory Services (AD LDS). Улучшения касаются в первую очередь наращивания доступности, а также поддержки и повышения безопасности.
Доступность в понимании Microsoft сейчас основывается на переходе компаний к облачной модели вычислений. Она выстраивается по трем основным направлениям: доступность онлайн; быстрое выявление проблем с доступностью и их устранение; онлайн-безопасность через стойкость к кибератакам и восстановление после них. Это меняет подходы к проектированию, эксплуатации и защите Active Directory в гибридных средах, охватывающих локальные и облачные компоненты.
При этом структура облачной Azure AD существенно отличается от структуры локальных сред AD. Azure AD в основном использует язык SAML (Security Assertion Markup Language) и технологию авторизации OAuth. Для подтверждения пользователей в Azure AD поддерживаются различные методы многофакторной аутентификации (MFA), в числе которых можно выделить: приложение Microsoft Authenticator, токены OAuth или ключи безопасности FIDO2. Многие локальные и устаревшие приложения часто уже не могут справиться с обработкой новых параметров.
Рисунок 7. Тема служб домена, несмотря на технический характер, вызвала активную дискуссию
Отвечая на вопрос о развитии облачной поддержки в ALD Pro, Алексей Фоменко отметил, что текущей задачей разработчиков «Группы Астра» является импортозамещение существующего решения AD. Оно не обеспечивает необходимой для российских пользователей надежности и безопасности, поэтому требует замены. При этом он отметил, что возможности российского вендора по количеству разработчиков трудно сравнить с «армией разработчиков, которые работают на Microsoft». Поэтому ее разработка в сторону поддержки облачных вычислений пока не проводится.
В то же время Алексей Фоменко подчеркнул, что путь России в целом не станет исключением и российские компании будут активно развивать свое облачное присутствие в будущем:
«В облачных системах легче обновляться, легче сделать закрытые контуры, легче обеспечить взаимодействие и интеграцию, легче контролировать периметр. Это дешевле, потому что инфраструктуру предоставляют компании-гиперскейлеры, которые уже появились в стране».
К числу таких компаний относятся облачные провайдеры, обладающие определенным набором характеристик. Во-первых, они имеют доступную для пользователей инфраструктуру, исчисляемую в тысячах, десятках или сотнях тысяч серверов. Во-вторых, предоставляют свои аппаратные мощности в формате самообслуживания (self-service) или типовых услуг. Разработка архитектуры таких платформ сразу учитывает возможности для их горизонтального масштабирования. В-третьих, заказчики получают от гиперскейлера инфраструктуру, создающую эффект безграничного облака, у которого нет лимитов для масштабирования. Благодаря этому, гиперскейлеры могут оптимизировать свои затраты, а заказчики постепенно переходить к облакам.
Алексей Фоменко добавил, что хотя непосредственной разработки облачного направления в ALD Pro пока не ведется, но это направление уже учитывается в проводимых исследованиях.
«Мы сейчас смотрим в сторону разработки таких сервисов, каждый из которых допускает возможность его запуска в облаке. Уже появились реальные решения, где настройка ALD осуществляется через российское облако. В будущем мы планируем предоставить не только возможности для развертывания в облаке, но и гибкие инструменты для поддержки его функционирования. Это позволит обеспечить надежность, например, при DDoS-атаках, когда часть ресурсов испытывают сложности с обработкой их трафика. В этом случае сервис аутентификации будет подниматься отдельно в тех облачных ресурсах, которые имеются у заказчика. Это позволит обеспечивать надежность и непрерывность работы сервисов».
Дальнейшее развитие ALD Pro и безопасность
Что касается внедрения систем защиты, таких как беспарольная авторизация, то, как отметил Алексей Фоменко, развитие биометрии открывает двери к реализации этих методов. «Мы с воодушевлением смотрим на это направление. Но для их реализации необходимо, чтобы обработка биометрии стала доступна на стороне всех заказчиков. Тогда они смогут применять эти технологии и интегрироваться по API или другим протоколам».
Рисунок 8. Верхние границы поддержки ALD Pro весьма высокие
В целом, «Группа Астра» придерживается комплексного подхода к реализации функций ИБ в своих продуктах. В компании следят за изменениями требований со стороны регулятора, контролируют появление информации об уязвимостях, найденных в используемых опенсорсных продуктах. Выпуск каждого релиза сопровождается тестированием на безопасность с использованием подготовленного набора инструментов. В случае выявления проблем, компания самостоятельно проводит рефакторинг кода.
Когда заказчики не могут быстро обновить свои решения для учета найденной уязвимости или изменений в защите от кибератак, «Астра» выпускает рекомендации по нивелированию угрозы. Этим документом следует руководствоваться до выпуска патча.
Анатолий Лысов также добавил, что продукты «Группы Астра» также представлены на площадке BI.ZONE Bug Bounty. Через нее компания работает с экспертами из ИБ-сообщества.
Выводы
Выпуск мажорной версии службы каталога ALD Pro 3.0 позволяет компаниям надежно переходить на новую платформу ради достижения технологического суверенитета. В то же время развитие популярной платформы Microsoft AD продолжается, но оно нацелено прежде всего на переход компаний к облачным моделям вычислений. В «Астра» также планируют развивать это направление, поэтому переход на ее платформу — это еще и возможность развивать свою инфраструктуру вместе с передовыми разработками, отвечая при этом высоким требованиям по безопасности.
