Переход на российские операционные системы часто рассматривают как одну из задач информационной безопасности – наряду с вопросами импортонезависимости, снижения технологических рисков и контроля над инфраструктурой. Однако на практике основная сложность заключается не только в самой защите. Ключевой вызов связан с готовностью бизнес-среды к миграции на отечественный стек.
Автор: Андрей Лаптев, директор по продуктовому развитию в компании “Индид”
Многие организации уже закупили российские ОС и даже применяют их в отдельных сценариях. Но полноценный переход – это не просто замена одной операционной системы на другую. Вместе с ОС нужно перенести привычные рабочие процессы, приложения, отраслевые системы, аналитические инструменты и другое специализированное ПО. Именно здесь чаще всего возникают ограничения.
Значительная часть корпоративной инфраструктуры годами строилась вокруг экосистемы Microsoft и других зарубежных платформ. На них опираются внутренние сервисы, документооборот, бизнес-приложения, исследовательские программы, системы отчетности и другие решения, без которых сложно поддерживать ежедневную работу компании.
Отечественные программные продукты уже закрывают базовые задачи: офисную работу, коммуникации, управление данными, отдельные элементы ERP. Но для полноценной миграции этого недостаточно. Бизнесу нужен зрелый слой прикладных решений, который позволит переносить не только рабочие места, но и реальные процессы.
Развитие экосистемы таких решений зависит от устойчивого спроса. Когда у бизнеса появляется запрос, рынок отвечает новыми продуктами, интеграциями и доработками. Но это не быстрый процесс, требующий инвестиций, времени на разработку и готовности компаний пересматривать привычную ИТ-архитектуру.
Комплексная защита айдентити в новой инфраструктуре
На этом фоне информационная безопасность становится не столько препятствием, сколько одним из условий управляемого перехода. Компании редко переходят от одного стека технологий к другому одномоментно. Обычно они довольно продолжительный период работают в разнородной инфраструктуре, где одновременно сохраняются компоненты Microsoft, внедряются отечественные ОС, используются российские каталоги, легаси-системы и бизнес-приложения разных производителей.
В такой среде сложнее защищать инфраструктуру только на уровне отдельных систем или платформ. Пользователь продолжает работать с разными ресурсами, проходить аутентификацию в разных средах, получать права в разных приложениях и подключаться к сервисам из разных точек. Поэтому сквозным элементом безопасности становится айдентити – как пользователь подтверждает доступ, какие права получает и какие действия выполняет внутри инфраструктуры.
В компании "Индид" мы реализуем этот подход через комплексную защиту айдентити. Это непрерывный и взаимосвязанный процесс, который объединяет управление учетными записями, доступом, аутентификацией, привилегиями и мониторингом угроз. Что особенно актуально по мере усложнения корпоративной среды.
Привычный периметр безопасности постепенно размывается: пользователи все чаще обращаются к ресурсам через облачные сервисы, удаленные подключения и разные типы приложений. В результате злоумышленники стремятся попасть к критичным системам через компрометацию айдентити. В таких условиях имеет значение не только поддержка разных программных продуктов и платформ, но и единый контроль над тем, кто получает доступ, к каким ресурсам и с какими правами. С этим и связано развитие продуктов "Индид" в последние годы. Помимо поддержки конкретных отечественных ОС, ключевыми направлениями для нас стали: снижение зависимости от зарубежных компонентов, расширение интеграций и адаптация решений к российским доменным средам.
Например, Indeed Privileged Access Manager (Indeed PAM) [1] в рамках управления привилегированным доступом поддерживает работу в отечественной инфраструктуре, используя собственные механизмы доступа по RDP и SSH. Это позволяет отказаться от Microsoft Terminal Server и контролировать привилегированные сессии в архитектуре, не привязанной к зарубежным компонентам. Постепенно сценарии контроля расширяются – помимо серверного доступа, они охватывают веб-приложения и административные консоли, а веб-терминал упрощает работу в смешанных средах.
Другая задача – управление доступом к корпоративным приложениям. Для этого используется Indeed Access Manager [2], который помогает объединить веб- и легаси-приложения в общий контур авторизации. За счет встроенного Identity Provider и Enterprise Single Sign-On организации могут сохранять управляемость доступа даже при усложнении инфраструктуры и появлении новых платформ. Еще один важный сценарий – защита входа в операционные системы. Компонент Linux Logon обеспечивает многофакторную аутентификацию при входе в отечественные ОС и дополняет контроль доступа на уровне рабочих станций и серверов.
Логичным продолжением этого подхода является Indeed ITDR (Indeed Identity Threat Detection and Response) [3] – решение ориентировано на мониторинг и выявление угроз, связанных с учетными данными, за счет анализа протоколов аутентификации. Поскольку сами протоколы во многом реализуются схожим образом в разных технологических средах, то этот класс решений может применяться как в западной, так и в отечественной инфраструктуре. Следующим этапом развития Indeed ITDR станет поддержка доменных технологий на базе российских платформ, включая Astra Linux и РЕД ОС.
Партнерство как условие зрелости рынка
Полноценный переход на отечественные платформы невозможен усилиями одного вендора. Он требует совместимости между решениями разных классов: операционными системами, службами каталогов, средствами аутентификации, системами управления сертификатами, платформами доступа и инструментами мониторинга. На практике заказчики все чаще работают в гетерогенной инфраструктуре, где часть компонентов уже переведена на российские решения, часть остается в экосистеме Microsoft, а отдельные системы построены на продуктах разных производителей.
Именно поэтому при развитии продуктов "Индид" мы учитываем как глобальный технологический контекст, так и задачи российского рынка. С одной стороны, мы продолжаем поддерживать экосистему Microsoft как одну из самых распространенных корпоративных платформ. С другой – развиваем продукты так, чтобы они помогали заказчикам постепенно и бесшовно переходить на отечественный стек технологий, работая с набором решений разных производителей.
Гибкость особенно важна в условиях, когда инфраструктура может включать операционную систему одного вендора, службу каталогов другого, центр сертификации третьего и при этом сохранять отдельные легаси-компоненты Microsoft. Поэтому один и тот же продукт должен уметь эффективно работать и обеспечивать защиту в смешанной архитектуре, без жесткой привязки к конкретной платформе. Это требует не только развития отдельных продуктов, но и серьезной работы на уровне технологических партнерств, интеграций и совместимости между вендорами.
Мы развиваем альянсы с другими российскими разработчиками. Одним из результатов такого сотрудничества является платформа управления доступом (ПУД), разработанная Индид совместно с партнерами. Решение объединяет централизованный доступ к системам, строгую аутентификацию и работу с цифровыми сертификатами и ключевыми носителями. В такой архитектуре Indeed AM закрывает задачи централизованного доступа к веб- и легаси-приложениям, а партнерские компоненты дополняют контур средствами аутентификации, управления сертификатами и ключевыми носителями.
Такие решения особенно востребованы в средах, где необходимо учитывать требования регуляторов, включая приказ ФСТЭК России № 117 для государственных информационных систем. При этом их ценность не ограничивается формальным соответствием требованиям. Они помогают выстроить более целостную модель управления доступом, в которой пользователь, его права, способ аутентификации и используемые приложения связаны в единый процесс.
В перспективе наша общая задача: прийти к тому, чтобы ИТ- и ИБ-специалисты могли разворачивать необходимую инфраструктуру максимально просто и предсказуемо, без сложных ручных доработок и длительной настройки совместимости. Реализация этой цели – долгий процесс, требующий времени, инвестиций и кооперации между вендорами. Но именно такие партнерства делают переход к отечественной инфраструктуре более практичным и управляемым для конечного заказчика.
Вместо заключения
Ограничения перехода на отечественные операционные системы в большей степени связаны с прикладными задачами, чем с информационной безопасностью. Для бизнеса ключевой вопрос – сможет ли он перенести на новые решения все свои реальные процессы, а не только отдельные задачи.
Со стороны ИБ базовые условия для такого перехода уже сформированы: решения адаптируются к отечественным ОС, поддерживают российские доменные среды, развивают независимые технологические компоненты и интегрируются с продуктами других разработчиков.
По мере развития прикладного ПО и укрепления партнерской экосистемы переход на отечественные платформы будет становиться более практичным – не как разовая замена инфраструктуры, а как постепенное формирование управляемой и независимой ИТ-среды.
Реклама: ООО «Индид». ИНН 7801540219. Erid: 2SDnjdkNU4S