Миграция с Microsoft Active Directory на российские аналоги: как обеспечить стабильность

Импортозамещение в российских компаниях постепенно доходит и до замены Microsoft Active Directory. Отечественные аналоги предлагают схожую функциональность, но требуют тщательной оценки и грамотного внедрения. Эксперты обсудили российские альтернативы AD, критерии их выбора и основные этапы миграции.

 

 

 

 

 

1. Введение
2. Ситуация на рынке: как развиваются российские службы каталогов
3. Как готовить пользователей к работе с аналогами Microsoft Active Directory
4. Почему выбирают нас: преимущества российских аналогов Active Directory
5. Пошаговая миграция с Microsoft AD: план перехода на отечественные аналоги
6. Основные трудности при замене Active Directory и как их преодолеть
7. Что нужно знать заказчику перед миграцией с Microsoft AD
8. Будущее российских альтернатив Active Directory: прогнозы экспертов
9. Выводы

Введение

Одним из ключевых компонентов корпоративной ИТ-среды является служба каталогов, и Microsoft Active Directory (AD) долгое время оставалась стандартом де-факто для управления пользователями, компьютерами и политиками. Однако в условиях санкционных ограничений и требований к безопасности данных переход на российские аналоги становится не просто желательным, а необходимым. Понимание особенностей отечественных аналогов Active Directory поможет снизить риски и сохранить стабильность ИТ-инфраструктуры в условиях импортозамещения.

 

Рисунок 1. Эксперты в студии AM Live

 

Участники эфира:

• Анатолий Лысов, технический менеджер продукта ALD Pro, «Группа Астра».
• Дмитрий Соловьёв, технический директор, АО «НТЦ ИТ РОСА».
• Дмитрий Закорючкин, руководитель продуктовой линейки Avanpost Directory Services, Avanpost.
• Денис Солоничкин, директор центра компетенций, РЕД СОФТ.
• Антон Голощапов, руководитель отдела корпоративных решений, «Инфосистемы Джет».
• Дмитрий Макаров, руководитель продукта MULTIDIRECTORY, МУЛЬТИФАКТОР (по видеосвязи).

Ведущий и модератор эфира — Андрей Арефьев, независимый эксперт.

 

 

Ситуация на рынке: как развиваются российские службы каталогов

Антон Голощапов считает, что рынок сильно изменился за последние три года. Раньше заказчики имели моновендорное решение, которое их устраивало. Теперь всё основательно изменилось, появилось много новых продуктов. Рынок расширился, продукты предлагают разную функциональность, поэтому выбор стал более сложным.

Анатолий Лысов рассказал о развитии рынка в три больших этапа: начало 2000-х годов — необходимость импортозамещения рассматривали только силовые ведомства, 2012 — подключились стратегические предприятия, 2022 — субъекты критической инфраструктуры стали основным двигателем. Видны изменения требований к продуктам: сейчас на первое место выходит необходимость расширения экосистемы, интеграция с различными системами — классов SIEM, PAM, DLP, популярными прикладными приложениями. Это уже не просто служба каталогов, а инструмент для решения бизнес-задач.

 

Анатолий Лысов, технический менеджер продукта ALD Pro, «Группа Астра»

 

Антон Голощапов добавил, что наиболее заинтересованы те сектора, которые попадают под госрегулирование, имеют объекты критической инфраструктуры. Большая часть таких заказчиков уже провели пилотные внедрения и вышли на этап миграции. Секторы, которые не подпадают под регулирование, пока осторожно присматриваются к решениям такого рода.

В первом опросе зрители AM Live ответили, какой у них опыт миграции с Microsoft Active Directory на российские аналоги: не мигрировали — 54%, планируют миграцию — 26%, успешно завершили миграцию — 10%, в процессе миграции — 5%, миграция была неудачной — 5%.

 

Рисунок 2. Какой у вас опыт миграции с Microsoft Active Directory на российские аналоги?

 

Дмитрий Макаров по этому поводу заметил, что миграция небеспроблемна: не все сервисы можно сохранить при замене контроллера домена. Например, при переходе на Samba будет функционировать репликация, но не смогут работать «из коробки» сразу несколько важных служб — например, такой важный для любого заказчика компонент, как инфраструктура открытых ключей (PKI). 

Дмитрий Закорючкин добавил, что чаще всего под Microsoft Active Directory подразумевается AD DS (доменная служба), но там есть и другие сервисы — AD CS, AD FS (удостоверяющий центр, службы федерации). При замене Active Directory придётся менять эти сервисы. Поэтому решение по импортозамещению должно в себя включать, среди прочего, интегрированный УЦ и взаимодействие с сервисами федерации.

Как готовить пользователей к работе с аналогами Microsoft Active Directory

Дмитрий Соловьёв выделяет два множества: первое — множество отечественных решений служебных каталогов, у которых разные подходы, интерфейс, принципы; второе — множество администраторов, конечных пользователей систем, которые имеют разную квалификацию. Целесообразно при создании решения стремиться приблизить графический интерфейс и функциональность к привычным стандартам Microsoft AD.

Дмитрий Макаров тоже считает, что интерфейсы логично делать похожими на продукты от «Майкрософта», так как больше системных администраторов, которые в них разбираются. Важно, однако, не просто управление системой, нужно смотреть и на этапы внедрения. Хорошо, если для развёртывания используются Docker и скрипты: такие решения разворачиваются быстрее всех.

 

Дмитрий Макаров, руководитель продукта MULTIDIRECTORY, МУЛЬТИФАКТОР

 

Анатолий Лысов объяснил, что 5 лет назад можно было нанять сильных Linux-инженеров, чтобы сформировать команду для выполнения замещения. Сейчас, когда тысячи предприятий ведут процесс замещения, это сделать невозможно. Переобучение становится ключевым условием успешной миграции. Эксперт рассказал, что когда они столкнулись с большим количеством проектов, поняли, что пора делать курс переподготовки, собрав него лучшие практики, материалы по реализации разных бизнес-задач на компонентах Linux. Главное — показать сравнение: не просто учить Linux с нуля, а показать различия и сходство Windows и Linux. Нужно переобучать, а не учить заново.

Денис Солоничкин добавил, что в дополнение к обучению важно учитывать в развитии продукта, дорожных картах опыт заказчиков и интеграторов. Есть база в виде опыта работы с Microsoft AD, от которой будет сложно уйти, поэтому и наблюдается схожесть интерфейсов и механизмов администрирования. Люди к этому привыкли, значит нужно делать удобные для них интерфейсы.

 

Денис Солоничкин, директор центра компетенций, РЕД СОФТ

 

Анатолий Лысов уверен, что администраторы не против, если интерфейсы будут отличаться от AD. Главное — сохранить лучшие практики: экономия времени и денег, надёжность. Антон Голощапов добавил, что требования к персоналу резко меняются, когда внедряются импортонезависимые платформы. Знания, которые были у предыдущих администраторов, нужно дополнять. Качество курсов и документации у вендоров сильно улучшилось.

Во втором опросе зрители выделили главное требование к аналогу Microsoft Active Directory: должно быть так же понятно и удобно — 61%, просто должно работать — 27%, должно быть дешевле — 5%, должно быть безопаснее — 4%. По сравнению с прошлым годом стало больше «нетребовательных» респондентов. 

 

Рисунок 3. Каково ваше главное требование к аналогу Microsoft Active Directory?

 

Почему выбирают нас: преимущества российских аналогов Active Directory

Именно такой вопрос задал модератор представителям вендоров и интеграторов, предлагающих отечественные службы каталогов.

Анатолий Лысов («Группа Астра»): 

«Огромный опыт реальных проектов и отработанных бизнес-практик. Мы более 10 лет совершенствовали подходы и отрабатывали практики реализации, как это реализовать».

Дмитрий Соловьёв (АО «НТЦ ИТ РОСА»): 

«Возможность делегирования прав на основе организационных единиц, мультивендорность, аналоги фильтров безопасности, возможность применения групповых политик пользователей с доверенного домена, моделирование результатов применения групповых политик из графического интерфейса».

Дмитрий Закорючкин (Avanpost): 

«Владение кодом: продукт написан самостоятельно с нуля. Его легко адаптировать, менять по требованиям. Изначально Avanpost DS разработан с учётом требований крупных заказчиков к производительности и масштабированию. Он тянет до 30 млн объектов каталога, хорошо масштабируется и реализует лучшие практики Microsoft на современной технологической базе».

Денис Солоничкин (РЕД СОФТ): 

«РЕД АДМ — это не только служба каталога, а система централизованного управления, которая включает в себя много различных сервисов для построения инфраструктуры. Компания РЕД СОФТ предлагает портфель решений, не ограничиваясь службой каталогов».

Антон Голощапов («Инфосистемы Джет»): 

«Мы, как интеграторы, работаем со всеми вендорами и решениями. Есть богатый опыт реализации проектов и пилотирования, собственная лаборатория, где можно посмотреть продукты, узнать об их преимуществах и недостатках. Мы смотрим комплексно на импортозамещение инфраструктуры и всех системных сервисов».

Дмитрий Макаров (МУЛЬТИФАКТОР): 

«Наше решение написано самостоятельно с полным владением исходным кодом, оно полностью абстрагировано от санкционных рисков — ни один из компонентов им не подвержен. Решение имеет две редакции: бесплатная комьюнити-версия с исходным кодом и платная энтерпрайз-версия с поддержкой от вендора».

Пошаговая миграция с Microsoft AD: план перехода на отечественные аналоги

Антон Голощапов считает, что многое зависит от исходных данных. Каждая система заказчика отчасти уникальна. Универсального подхода к миграции не существует, но обобщённый план включает следующие шаги:

1. Обследование инфраструктуры.
2. Пилотирование и выбор продукта.
3. Внедрение продуктивного контура с многократным тестированием.
4. Старт миграции с опорой на фокусные группы.
5. Опытная эксплуатация, учёт замечаний.
6. Последующие этапы миграции (связанные, к примеру, с масштабированием).

Нельзя забывать об обучении персонала: как только выбрано техническое решение, нужно обучать не только администраторов, но и пользователей.

 

Антон Голощапов, руководитель отдела корпоративных решений, «Инфосистемы Джет»

 

Анатолий Лысов добавил, что этап исследования крайне важен. Нужно понять, какие приложения использует заказчик. Бывает так, что одну группу сотрудников можно мигрировать, а другую вынуждены временно оставить в старой инфраструктуре. Интеграторы дают возможность гибридного развёртывания. Есть инструмент доверительных отношений, который позволяет получать доступ из одного домена к ресурсам из другого домена, есть инструменты синхронизации. Нужно смотреть на задачу комплексно и выявлять компоненты системы, которые готовы к импортозамещению.

Основные трудности при замене Active Directory и как их преодолеть

Дмитрий Соловьёв выделил несколько проблем. Заказчик при миграции всегда хочет получить Microsoft Active Directory, чего не получится сделать. Наблюдается дефицит кадров, часто у сотрудников нет времени и квалификации погружаться в процесс. Импортозамещение часто осложняется неподготовленностью прикладных и информационных систем к работе в среде Linux. Приходится поддерживать гетерогенную среду через функциональность доверительных отношений или синхронизацию.

 

Дмитрий Соловьёв, технический директор, АО «НТЦ ИТ РОСА»

 

Дмитрий Макаров уверен, что для перехода потребуется помощь интегратора, который подберёт для заказчика те решения, которые нужно импортозаместить, найдёт российские аналоги, поможет с внедрением. Только по завершении внедрения экосистемы можно выключить AD. Пока есть хоть один зависимый от «Майкрософта» компонент, придётся использовать две системы.

Анатолий Лысов уточнил, что на этапе планирования важно понимать, как будет двигаться процесс, какие есть риски, чтобы не возникло непредвиденных проблем, которые могут потребовать значительного увеличения бюджета. Нужно смотреть на открытые протоколы, интегрировать системы проверенными способами, не задействовать скрытые возможности продуктов, которые могут потом создать большие сложности.

Третий опрос показал, что для зрителей является основной трудностью при миграции с Microsoft Active Directory на российские решения: проблемы интеграции с существующими сервисами — 32%, отсутствие аналогов ПО — 21%, отсутствие или ограниченность групповых политик — 16%, сложности обучения и адаптации персонала — 13%, недостаточная документация и поддержка — 10%, сложности с миграцией пользователей и паролей — 8%. В комментариях к опросу был предложен свой вариант ответа: недостаёт стабильности работы, даже с минимальной функциональностью есть проблемы.

 

Рисунок 4. Какая основная трудность при миграции с Microsoft AD на российские решения?

 

Что нужно знать заказчику перед миграцией с Microsoft AD

Анатолий Лысов: 

«Заказчик должен иметь чёткие представления о своей инфраструктуре. Требуется инвентаризация всего используемого программного обеспечения, все приложения нужно разделить по типам. Дальше можно подходить к планированию поэтапной миграции».

Дмитрий Соловьёв: 

«У заказчика должна быть понятная стратегия перехода. Импортозамещается не только служба каталогов, а целый стек технологий, который должен быть опробован сначала в пилотной, а потом в боевой инфраструктуре, чтобы гарантировать, что все компоненты корректно работают вместе и решают задачи заказчика».

Дмитрий Закорючкин: 

«Служба каталогов — это ядро всей системы аутентификации. Важно понимать план миграции всей инфраструктуры. Часто заказчик хочет поменять только службу каталогов, но это невозможно — она часть инфраструктуры, с которой интегрируется всё. Обязательно нужен план по импортозамещению всей ИТ-инфраструктуры».

 

Дмитрий Закорючкин, руководитель продуктовой линейки Avanpost Directory Services, Avanpost

 

Денис Солоничкин: 

«Важно не только мигрировать инфраструктуру, но и дальше её сопровождать, эксплуатировать. Здесь нужно опираться на те продукты, которые имеют стабильное развитие, большие команды разработки, понятен жизненный цикл, есть сопровождение, путь развития».

Антон Голощапов: 

«Сначала заказчик должен определить цели и задачи в рамках проекта. Если цель — избавиться от всех решений Microsoft, то это может длиться годами. Нужно осознавать, что это процесс, который имеет определённые этапы. Быстро он не завершится. Имеет смысл выбрать правильного технологического партнёра».

Дмитрий Макаров: 

«Необходим план миграции, нужно подходить комплексно и настроиться на длительную работу».

Будущее российских альтернатив Active Directory: прогнозы экспертов

Андрей Арефьев позитивно смотрит на развитие российского рынка технологий: есть собственная поисковая система, известная во всём мире, два антивируса, пять DLP-систем. Все эти решения успешно конкурируют на международном уровне. В результате конкуренции российских вендоров получится создать продукт мирового уровня, которым можно будет гордиться.

 

Андрей Арефьев, независимый эксперт

 

Денис Солоничкин считает, что важно не просто предлагать заказчику дорожную карту, а выполнять её в каждом релизе, опираться на опыт администраторов, интеграторов, вендоров. Развивая решения, важно не только гнаться за функциональностью, но и работать над стабильностью продукта, масштабируемостью, геораспределённостью. Важен комплексный подход в инфраструктуре. Сервис также важен: нужно помочь заказчику на этапе «пилота», найти обученного партнёра, обеспечить технической поддержкой.

Анатолий Лысов уверен, что рынок будет претерпевать значительные изменения в направлении сокращения числа альтернатив, поскольку их избыточность увеличивает стоимость конечного продукта. При выборе решений стоит делать ставку на крупных игроков рынка. Преимущество будут иметь те службы каталогов, которые развиваются в рамках существующих операционных систем. Ожидается также увеличение количества интеграций.

Дмитрий Макаров пообещал, что в ближайшее время на российском рынке каталогов появятся облака и аналог Microsoft Azure. Можно будет предоставлять службу каталогов как облачную услугу. Клиенты смогут покупать подписку и размещать пользователей в облаке, не задействуя свои ресурсы.

Четвёртый опрос показал, как изменилось мнение зрителей о российских службах каталогов после эфира. Узнали много нового, будут разбираться дальше — 38%, готовы тестировать и внедрять — 25%, пока не готовы — 18%, не заинтересовались — 10%, убедились в правильности выбранной системы — 7%.

 

Рисунок 5. Каково ваше мнение о российских службах каталогов после эфира?

 

Выводы

Замена Microsoft Active Directory на российские аналоги — сложный, но необходимый шаг для многих организаций в условиях импортозамещения. Современные отечественные решения предлагают схожую функциональность, включая управление пользователями, групповыми политиками и интеграцию с другими сервисами.

Ключевыми факторами успешной миграции являются тщательный анализ требований, поэтапное внедрение, тестирование в пилотной среде перед полным переходом, обучение сотрудников, обеспечение совместимости.

При грамотном подходе переход на российские аналоги Active Directory позволит сохранить стабильность ИТ-систем, повысить уровень защищённости и снизить критическую зависимость от иностранных технологий.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!