Группа «Астра» и компания «Аладдин» выпустили совместное решение — серверную операционную систему с интегрированными средствами доменного управления, включая центр управления сертификатами. Насколько значимо это событие? Какие задачи решает такое решение и его возможные аналоги от других вендоров?
- 1. Введение
- 2. Как было раньше
- 3. Усложнение ИТ-инфраструктуры и потеря управляемости
- 4. Лоскутная ИБ и снижение защищённости
- 5. Новые требования регуляторов
- 6. Как вернуть управляемость
- 7. Выводы
Введение
Группа «Астра» и компания «Аладдин» 9 июня объявили о выпуске совместного решения Astra Server Core. Это серверная операционная система (ОС) с интегрированной системой управления доменной инфраструктурой, включая центр управления сертификатами на основе инфраструктуры открытых ключей (Public Key Infrastructure, PKI). Пока оно единственное в своём роде, но это, скорее всего, ненадолго: решение закрывает целый комплекс актуальных задач, и аналогичные продукты от других вендоров, вероятно, появятся.
Это значимое событие уже потому, что это первое на российском рынке решение, где центр управления сертификатами на базе PKI включён «из коробки». В принципе, внедрить такую систему от внешнего поставщика можно было и раньше, но сложностей с её интеграцией было много. Прежде всего, они связаны с обеспечением совместимости ОС и центра управления сертификатами в процессе эксплуатации, особенно при установке обновлений, которые могут нарушать интеграцию или приводить к другим проблемам.
Как рассказали на пресс-конференции представители обеих компаний, эта интеграция стала лишь первым этапом. Уже анонсировано включение новых компонентов в единое решение, среди которых модуль доверенной загрузки, средства шифрования данных и инструменты обеспечения безопасности удалённой работы.
«Чтобы доверие и безопасность стали фундаментом, а не надстройкой, они должны быть "вшиты" в системное и инфраструктурное ПО, а проектирование новой ИТ-инфраструктуры должно начинаться с безопасной архитектуры. Объединив наши ИБ-компетенции с ИТ-экспертизой "Группы Астра", мы делаем то, что ранее не было реализовано на российском рынке, — встраиваем PKI в ядро экосистемы. Это и есть стратегическое партнёрство, а не просто бандл (совместная продажа двух решений в одном пакете — прим. ред.). Результат — комплексное решение, которое давно ждали заказчики», — прокомментировал выпуск совместного решения генеральный директор компании «Аладдин» Сергей Груздев.
Как было раньше
До 2022 года практически все ИТ-инфраструктуры базировались на технологиях Microsoft. Прежде всего это касалось десктопов, тогда как в серверном сегменте ситуация была иной.
Управление фактически моновендорной инфраструктурой было не то чтобы совсем простым, но понятным процессом. Для этого у Microsoft есть широкий спектр инструментов, основу которого составляет служба каталогов Active Directory (AD).
Фактически «каталог» в данном случае означает не просто синоним слов «директория» или «папка», обозначающих поименованную совокупность файлов на диске, а базу данных об объектах. Она включает не только имена, но и место в корпоративной иерархии (подразделение, домен, лес), а также атрибуты (имя, номер телефона, пароль, права доступа). Это позволяет эффективно работать с данными, даже если число объектов достигает сотен тысяч.
Microsoft была далеко не первым вендором ПО, начавшим использовать службы каталогов. Они впервые появились в операционной системе Banyan VINES в 1984 году, предназначенной для объединения в сеть машин под управлением различных Unix-систем. Первой сетевой операционной системой для x86 со службой каталогов стала Novell NetWare 4, вышедшая в 1993 году.
В Windows NT служба каталогов с ограниченными функциями, заметно уступавшими возможностям NetWare 4, появилась в 1994 году. И только в 2000 году, с выходом Windows 2000, была внедрена Active Directory. При этом её возможности тогда были значительно скромнее современных. С другой стороны, AD была самодостаточной и не требовала установки сторонних утилит. Кроме того, все её компоненты были частью единой системы, что снижало риск проблем при обновлениях.
AD — основной инструмент управления пользователями (в том числе мобильными и удалёнными) и их группами в среде Windows. С его помощью создают и удаляют учётные записи, назначают права доступа и контролируют поведение пользователей. Также поддерживается ролевая модель, что упрощает настройку прав: достаточно назначить пользователю роль с преднастроенными параметрами.
С помощью AD администраторы решают широкий круг задач по управлению инфраструктурой, используя гибкие политики, настраиваемые через своего рода единое окно. Как и в других службах каталогов, здесь реализованы централизованные идентификация и аутентификация пользователей. Это избавляет от необходимости проходить проверку заново при доступе к каждому ресурсу или приложению.
В малых компаниях AD применялась редко. Однако уже в средних организациях, где число рабочих мест превышает 100, а серверов больше двух, этот инструмент использовался практически повсеместно.
Отдельным элементом инфраструктуры AD является центр управления сертификатами Active Directory Certificate Services (AD CS), использующий инфраструктуру открытых ключей (Public Key Infrastructure, PKI). AD CS является доминирующим решением в этой области, в том числе на российском рынке. Его доля с 2022 года практически не меняется. В мае 2026 года доля AD CS составила 85 % (рис. 1).
Рисунок 1. Результаты опроса К2Тех по использованию служб каталогов в российских компаниях
Вместе с тем, как отметил на пресс-конференции 9 июня Сергей Груздев, инфраструктура PKI, доступ к управлению которой находится у Microsoft, оказалась уязвимой для внешнего воздействия. Не случайно технология PKI считается стратегической, и её экспорт находится под строгими ограничениями, которые в ряде случаев даже жёстче, чем ограничения для ядерных технологий. Системы управления PKI с открытым кодом практически отсутствуют.
Злоумышленники также активно используют перехват управления контроллером домена для атак на компании. Именно таким образом была похищена информация о ряде военных разработок в 2017 году. В России одним из самых резонансных эпизодов стала атака на «Аэрофлот» в июле 2025 года. В ходе неё, по заявлениям злоумышленников, была похищена информация из 122 систем, а также уничтожены данные на 7000 серверах.
Усложнение ИТ-инфраструктуры и потеря управляемости
Любой сложный процесс происходит не мгновенно. К импортозамещению это относится в полной мере, особенно если речь идёт о крупных территориально распределённых организациях с большим парком ПК и серверов. Процесс замены операционных систем в таких компаниях растянут по времени.
Кроме того, компании, как показывает практика, не ограничиваются использованием одной отечественной системы. На ответственных десктопах, например, где обрабатываются персональные данные или другая информация ограниченного доступа, используется одна ОС, на обычных рабочих станциях — другая. То же самое касается и серверов. При этом полного отказа от Windows не происходит — ни на рабочих местах, ни в серверной инфраструктуре. Не секрет, что далеко не всё ПО доступно для Linux-систем.
Однако, как подчеркнул архитектор по информационной безопасности компании Getmobit Султан Салпагаров, разными системами нельзя управлять по отдельности. Необходимо выстраивать единую централизованную систему управления с общей точкой входа. Несмотря на сложность и затраты, это позволяет устранить «слепые зоны», через которые могут проникать злоумышленники.
Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин отметил, что из-за разнородных «островов» в инфраструктуре — включая сегменты на базе разных ОС и облачные ресурсы — компании теряют понимание того, у кого и к чему есть доступ:
«В подобных системах довольно быстро выясняется, что десятки сотрудников годами имеют избыточные права, сервисные аккаунты не документированы, а подрядчики работают из-под одной общей учётной записи».
Как отметил генеральный директор Test IT «Девелоника» (бренд fabricaONE.AI, акционер — ГК Softline) Роман Аникеев, типичными проблемами при ручном или недостаточно автоматизированном администрировании разнородных систем являются дублирование учётных записей, отсутствие единого справочника пользователей, разные способы входа в системы, «забытые» служебные учётные записи, неактуальные данные о пользователях и устройствах.
Сложности также возникают при управлении сервисными учётными записями. Дополнительно проявляются ошибки конфигурирования и недостаточный контроль привилегированных пользователей. Наиболее остро эти проблемы проявляются в крупных инфраструктурах государственных ведомств, финансовых организаций и многопрофильных холдингов.
Для Linux также существуют системы, предоставляющие функции службы каталогов. Их несколько — как коммерческих, так и свободных. Среди последних наиболее широко распространены три: FreeIPA, Samba 4 и новее, а также OpenLDAP. На их основе базируются и российские разработки. Так, ALD Pro от ГК «Астра» и Dynamic Directory от НТЦ ИТ РОСА основаны на FreeIPA, «Альт Домен» и РЕД АДМ — на Samba. Есть и разработки других компаний — как вендоров коммерческого ПО («Аванпост», «Кайрос Диджитал», «Мультифактор»), так и крупных холдингов, например Росатома.
Центров управления корпоративными сертификатами на рынке также существует как минимум четыре, включая Aladdin Enterprise CA. На мировом рынке, помимо Microsoft, работают ещё 6 компаний. Однако, как уже было сказано, импорт таких продуктов в Россию подпадает под санкционные ограничения, за соблюдением которых следят достаточно строго.
Интеграция всех этих компонентов, как подчеркнул Сергей Груздев, часто вызывает сложности. Кроме того, работоспособность такой связки может нарушаться при обновлении одного или нескольких компонентов. В результате каждый из таких «островов» — будь то унаследованная инфраструктура на Windows или системы на базе отечественных ОС, которых также часто несколько, — управляется отдельно.
Как отметил старший партнёр интегратора «Энсайн» Алексей Постригайло, ситуацию осложняет и то, что полностью перестроить уже работающую инфраструктуру сложно. По этой причине чаще обсуждается внедрение подобных систем для новых серверов и рабочих мест.
Кроме того, Active Directory затрагивает гораздо больше процессов, чем выдача и отзыв доступа. В частности, с её помощью управляются сами операционные системы на рабочих местах и серверах, и именно AD определяет, что пользователь может делать, а что ему запрещено.
Ситуацию осложняет и рост объёма ИТ-инфраструктуры в крупных компаниях — в среднем на 10 % ежегодно, как отметил лидер платформы Cloudlink компании Orion soft Сергей Мерещенко. Роман Аникеев также указал на недостаточный уровень компетенций технического персонала.
«Большинство пошло по пути фрагментированного наращивания: Windows-домен сохранился, добавились Linux-серверы, рабочие станции на базе российских операционных систем, отдельные средства защиты, отдельный контур для удалённых приложений и удалённого доступа, а также два каталога пользователей», — делится своими наблюдениями директор департамента реализации инфраструктурных проектов ГК Softline («Софтлайн Решения») Виталий Попов. По его оценке, доля тех, кто полностью перешёл на отечественные системы управления доменом, незначительна.
Также, как отметил директор центра компетенций «РЕД СОФТ» Денис Солоничкин, задача построения единой системы управления в условиях «технозоопарка» объективно сложная, и её решение может занимать многие месяцы и даже годы. Среди проблем для вендоров он назвал замену сертификатов, которую не всегда удаётся провести без неудобств для пользователей.
«Сложность в первую очередь на старте, на этапе планирования. Есть риск изначально составить ТЗ на слишком сложное решение и в итоге не найти ничего подходящего под запрос. Оптимальный вариант — сначала пообщаться с разработчиками, посмотреть на текущие и ближайшие задачи, оценить возможности компании и начинать переход постепенно», — предупреждает Сергей Мерещенко.
Как показал опрос зрителей эфира AM Live «Миграция с Microsoft AD на российские службы каталогов: от аудита до промышленной эксплуатации», значительная доля респондентов сообщила, что проект миграции на отечественную службу каталогов завершился неудачно (рис. 2).
Рисунок 2. Опыт зрителей AM Live по миграции на российские службы каталогов
Тем не менее появился запрос на наведение порядка в гибридной инфраструктуре. Как подчеркнул эксперт по комплексным проектам информационной безопасности компании STEP LOGIC Владимир Арышев, он уже стал массовым для владельцев крупных гетерогенных инфраструктур. При этом рынок ищет не просто набор разрозненных компонентов, а единую управляемую платформу, которая снижает сложность и объединяет как минимум идентификацию, доменное управление и PKI в единый контур.
Лоскутная ИБ и снижение защищённости
Прямым следствием усложнения инфраструктуры и использования разнородного ИТ-ландшафта становится частичная потеря управляемости, что неизбежно создаёт прорехи в защите. Кроме того, подходы к защите Windows- и Linux-систем существенно различаются. В целом практический опыт защиты гетерогенных инфраструктур только начинает формироваться.
По мнению архитектора ИБ компании «Кросстех» Егора Норкина, децентрализованный подход приводит к высокой нагрузке на персонал, потере фокуса и, как следствие, пропуску кибератак из-за большого числа разрозненных уведомлений. При этом попытки внедрить системы контроля и управления доступом сложно интегрировать в разнородную среду без значительных доработок. Это удорожает проекты, на что заказчики в текущих экономических условиях идут неохотно.
Кроме того, в условиях постоянно меняющейся инфраструктуры, когда за год она обновляется до 20 %, сложно зафиксировать правила аутентификации и идентификации пользователей и устройств.
Как отметил Роман Аникеев, проблемы с безопасностью являются прямым следствием «слепых зон» в инфраструктуре, где отсутствует единое управление. Дополнительным источником рисков становятся разные права у пользователей в отдельных сегментах, а также отсутствие единой модели доступов и ролей. При этом последствия не ограничиваются только безопасностью: это также нарушает работу системы управления изменениями, если она была выстроена в компании.
Как обратил внимание Алексей Постригайло, в новую систему могут мигрировать ошибки, допущенные при конфигурировании AD. Туда же могут попадать неактуальные данные, не соответствующие реальной организационной структуре компании и состоянию ИТ-инфраструктуры. В результате возникает ситуация, при которой у пользователей появляются избыточные права.
«Для управляемости недостаточно установить одну программу. Нужно проверить, как новая система применяет политики безопасности и работает с действующими приложениями. Безопаснее сначала внедрить решение на ограниченном участке, а затем расширять его с учётом выявленных проблем. Стоимость зависит прежде всего от состояния инфраструктуры. Чем больше старых систем, накопленных политик и неучтённых доступов, тем дороже обследование и перевод пользователей», — рекомендует Алексей.
«Возникает множество проблем: дублирование учётных записей, избыточные права, отключение которых может привести к сбоям, поскольку в legacy-коде нередко жёстко прописана учётная запись с широкими привилегиями для доступа к базе данных. Присутствуют общие административные учётные записи, отсутствует единая политика паролей, не согласованы роли, имеются неизвестные устройства и недокументированные интеграции. Всё это создаёт серьёзные трудности при попытке упорядочить аутентификацию и идентификацию. Действовать нужно предельно осторожно, поскольку отключение даже одной учётной записи может вызвать непредсказуемые последствия», — отмечает Виталий Попов.
Новые требования регуляторов
Как отметил на пресс-конференции 9 июня директор направления серверного ПО ГК «Астра» Алексей Фоменко, новая волна импортозамещения должна начаться в 2026 году. При этом одним из ключевых драйверов этого процесса станут действия регуляторов.
Согласно указу Президента РФ № 166, с 1 января 2025 года запрещена закупка зарубежного ПО для объектов критической информационной инфраструктуры (КИИ). Однако к этому сроку фактический уровень импортозамещения не превысил 40 %.
В ноябре 2025 года глава Минцифры Максут Шадаев озвучил новый дедлайн — 1 января 2028 года. При этом у компаний сохраняется возможность продлить этот срок на три или даже восемь лет, однако, как подчеркнул министр, крупные организации больше не смогут откладывать переход, ссылаясь на отсутствие альтернатив зарубежному ПО.
В апреле 2026 года Минцифры по поручению первого вице-премьера Дмитрия Григоренко анонсировало штрафы за нарушение требований по защите КИИ, в том числе за срыв сроков импортозамещения. Размер штрафов для компаний может достигать 700 тыс. рублей.
Однако в ещё большей степени на ситуацию влияет приказ ФСТЭК России № 117, вступивший в силу 1 марта 2026 года. Он существенно ужесточает требования к системам идентификации и аутентификации пользователей и распространяется не только на госструктуры, компании с госучастием и подведомственные организации.
Как отметил Сергей Груздев, требования этого документа затрагивают в том числе и те компании, которые формально не подпадают под законодательство о защите КИИ. При этом доступ к системам, созданным на государственные средства, есть у большого числа коммерческих организаций, и на них также распространяется действие приказа № 117.
По оценке Сергея Полунина, приказ усилил мотивацию приводить инфраструктуру в порядок за счёт расширения области применения и приближения требований к современным реалиям. В результате для многих компаний выполнение этих требований стало реальным поводом заняться задачами, которые ранее откладывались.
Как отметил Алексей Постригайло, появление документа привело к росту числа проектов по упорядочиванию учёта пользователей и устройств, а также подтверждению выполненных мер. При этом такие проекты часто оказываются сложнее, чем кажется: их стоимость напрямую зависит от состояния инфраструктуры. Чем больше устаревших систем, накопленных политик и неучтённых доступов, тем дороже обследование и миграция.
«117-й приказ усилил требования к постоянному контролю и проверке механизмов защиты. Управление доступами, многофакторная аутентификация и учёт цифровых идентичностей стали частью постоянного процесса, а не отдельных проектов. Для многих организаций это стало стимулом пересмотреть процессы ИБ в комплексе», — отмечает Роман Аникеев.
Как подчеркнул Султан Салпагаров, такие проекты часто становятся серьёзным вызовом — сложной и затратной задачей. Тем не менее их необходимо реализовывать, чтобы не допускать критического отставания защиты от средств нападения. Унификацию рабочих мест и единообразие управления он назвал одними из ключевых элементов приведения систем в соответствие с требованиями приказа № 117. Кроме того, именно на эти 20 % систем приходится до 80 % атак.
«Ранее компании рассматривали управление доступом и инфраструктурой как желаемый уровень зрелости — от базового до продвинутого. Для многих это было скорее “хорошо бы иметь”. Теперь требования закреплены нормативно и становятся обязательной частью системы защиты информации», — подчеркнул Виталий Попов.
Как вернуть управляемость
Чтобы вернуть управляемость инфраструктуры, требуется сочетание технических средств и организационных мер, при этом универсальных рецептов не существует. По мнению Виталия Попова, набор инструментов, входящих в Astra Server Core, можно рассматривать как минимально необходимый.
Как отмечает Сергей Полунин, ключевая сложность таких проектов связана с инвентаризацией и нормализацией процессов. Необходима связка процессов, архитектуры и, что особенно важно, дисциплины эксплуатации. Без единого каталога учётных данных и документированного жизненного цикла учётных записей начинать внедрение технических средств не имеет смысла — автоматизация сама по себе проблему не решит.
Роман Аникеев обращает внимание на то, что инфраструктура должна изначально проектироваться таким образом, чтобы все проверки были воспроизводимыми и поддавались автоматизации. В противном случае, особенно в сложных системах, управляемость быстро теряется. При этом основные сложности лежат именно в плоскости управления процессами.
Сергей Мерещенко предостерегает от разработки собственной системы управления инфраструктурой внутри компании: как правило, это экономически нецелесообразно. Быстрее и эффективнее реализовывать такие проекты совместно с вендорами и интеграторами, которые помогают подобрать решение под конкретные задачи и внедрить его. По его оценке, хорошие результаты даёт использование технологий частного облака. В целом он рекомендует не бояться применять новые подходы в управлении инфраструктурой.
Как подчёркивает Алексей Постригайло, для достижения управляемости недостаточно установить одну систему. Необходимо проверить, как она применяет политики безопасности и взаимодействует с существующими приложениями. Оптимальный подход — начинать с пилотного внедрения на ограниченном участке, а затем масштабировать решение с учётом выявленных проблем.
Как считает Егор Норкин, для обеспечения реальной управляемости необходимы три элемента: нативная интеграция, платформы оркестрации и сохранение фокуса экспертизы.
Продукты должны иметь встроенные механизмы интеграции и работающие API для обмена данными. Управление разнородной инфраструктурой следует консолидировать в единой консоли: это позволяет автоматизировать рутинные операции, снизить нагрузку на персонал и обеспечить прозрачность. При этом процессы нужно выстраивать так, чтобы инженеры не были перегружены рутиной и могли заниматься развитием инфраструктуры.
По мнению Владимира Арышева, управляемость достигается за счёт связки нескольких уровней: единых систем идентификации и аутентификации, централизованного управления учётными записями и привилегиями, наличия центра управления PKI и сертификатами, контроля удалённого и беспроводного доступа, мониторинга конечных и мобильных устройств, а также понятных внутренних регламентов. В условиях «технозоопарка» критически важна интеграция различных систем между собой с возможностью управления из единого центра.
При этом, как отмечает эксперт, такие проекты требуют значительных затрат — не только на лицензии и внедрение, но и на инвентаризацию, миграцию доменов и сертификатов, перестройку процессов, обучение администраторов, тестирование совместимости и снижение рисков простоя. Однако для крупных организаций это зачастую дешевле, чем поддерживать разрозненную инфраструктуру вручную, что повышает риски сбоев и инцидентов по безопасности.
Как подчёркивает Виталий Попов, одних технических мер недостаточно. Необходимо полноценное документационное обеспечение: методология, описание владельцев процессов, понимание активов компании. При этом регламенты должны строго соблюдаться — при отсутствии дисциплины процессы быстро приходят в хаотичное состояние.
Выводы
Проблема управляемости будет усиливаться по мере масштабирования импортозамещения системного ПО. Этот процесс только начинается, и его издержки проявятся не сразу. Одной из ключевых станет сложность управления крупными инфраструктурами, которые по мере замены прежних систем на российские решения становятся всё более гетерогенными.
Централизованное управление такими средами — серьёзный вызов. Для его решения требуется интеграция различных систем от разных вендоров, как минимум служб каталогов и центров сертификации на базе PKI. Выход Astra Server Core — первый шаг в этом направлении. За ним, вероятно, последуют аналогичные решения других вендоров, что должно способствовать повышению управляемости и защищённости инфраструктур.
