Журнал "Системы Безопасности" № 5‘2018

www.secuteck.ru октябрь – ноябрь 2018 УПРАВЛЕНИЕИДЕНТИФИКАЦИЕЙ w w w . a l l - o v e r - i p . r u n С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 95 dormakaba – системы контроля доступа П ричины решения об инвестиции средств в портирование IdM в Linux можно раз- делить на технические и коммерческие. Исключительно технических причин для быстрой миграции было бы недостаточно, и если бы не пресловутое импортозамещение, то процесс шел бы планомерно и завершился значительно позже. Тем не менее технические предпосылки тоже имеются и возникли рань- ше, чем конъюнктурные изменения, поэтому начнем с них. 1. Высокая доступность и отказоустойчивость Linux Наиболее важной технической причиной является ориентация платформы Linux и ее окружения на высокую доступность и отказо- устойчивость. Несмотря на то что компания Microsoft за последнее десятилетие сделала очень многое для возможности построения отказоустойчивых архитектур на базе ее реше- ний, Windows Server и IIS все еще не дотягивают до Linux с его развитой экосистемой серверных решений. В качестве примера можно привести простей- ший аптайм Linux-сервера в продакшене, кото- рый занимает, как правило, месяцы, в то время как Windows Server без перезагрузки обновлять- ся не умеет, поэтому такой показатель в прин- ципе недостижим. Для многих заказчиков, мас- штаб бизнеса которых растет вместе с развити- ем функционала продукта, отказоустойчивое решение ассоциируется с Linux-инфраструкту- рой по умолчанию. 2. Широкое серверное окружение Второй по значимости причиной является гораздо более широкое серверное окружение, доступное в среде Linux. Например, в Windows есть один Web-сервер Production Ready – это IIS. Справедливости ради замечу, что он достаточно удобен для разработчиков и "балует" Net-при- ложения, принимая на себя дополнительную ответственность в части аутентификации, управ- ления временем выполнения и других функций. При этом правильная настройка для использо- вания в продуктивной среде и поддержка, осо- бенно в отказоустойчивой конфигурации, затруднительна. В случае же с NGINX на Linux все гораздо проще, в том числе в кластере. В сети описано множество конфигураций, есть большое коли- чество примеров, и работает он гораздо понят- нее и стабильнее. В некоторых проектах и ранее использовался NGINX как балансировщик перед IIS, и могу сказать, что в настройке, сопровождении и стабильности такая архитек- тура имела большие преимущества перед NLB. Если отойти от темы Web-серверов, то экосисте- ма открытого ПО предлагает огромное количе- ство полезных функциональных решений для создания надежных систем: l логирование в распределенной сети – Graylog; l мониторинг – Zabbix; l развертывание и обновление – Ansible. Александр Махновский Главный архитектор компании "Аванпост" Н аиболее важной технической причиной является ориентация платформы Linux и ее окружения на высокую доступность и отка- зоустойчивость Портирование IdM в Linux: 7 ключевых предпосылок События, происходящие в мировой экономике и политике, создали вызовы для всех российских производителей, в том числе в области информационной безопасности (ИБ). Отечественные компании столкнулись с серьезными проблемами на рынках США и Европы, в то же время западные вендоры значительно сократили свое присут- ствие на нашем рынке. Как сложившаяся ситуация повлияла на развитие продуктов класса IdM, рассмотрим в этой статье У шло то время, когда большин- ство создателей п р о г р а м м н о г о о б е с п е ч е н и я использовали в качестве базы для разработки и тести- рования своих про- дуктов исключи- тельно операцион- ные системы линейки Microsoft Windows. Тра- диционные жестко зависимые от среды языки и среды программирования уступают свое лидерство кросс-платформенным решениям. Стратегия замещения импортных продуктов, с одной стороны, упрощенная политика приме- нения для коммерческих целей программных готовых продуктов с открытым кодом – с дру- гой, изощренные внешние киберугрозы и под- твержденные факты сотрудничества отдель- ных ИТ-гигантов со спецслужбами четко опре- деленных стран – все это заставляет всерьез задуматься о надежности и защищенности Windows-ориентированных сервисов и при- кладных систем внутри компании. Linux, UNIX, MacOS, FreeBSD… Количество сер- верных и клиентских *.nix-платформ расши- ряется. Пропорционально, если не опережаю- щими темпами растет количество найденных уязвимостей в платформах с открытым исход- ным кодом. Совершенно неудивительно, что отечественные разработчики систем безопас- ности класса IdM давно и успешно тестируют свои решения на *nix-платформах. Тернист и извилист путь последовательной миг- рации с традиционно удобных и привычных нетехническому специалисту продуктов Microsoft на менее раскрученные, слабо адап- тируемые, но при этом гарантированно стойкие к традиционным атакам и менее коммерциали- зированные Linux-платформы. Крупные и сред- ние российские компании не спешат навсегда прощаться с Windows, точечно заменяют эти платформы на отечественные аналоги. Именно для таких компаний решения класса IdM, развернутые на ядре Linux, позволят на этапе перехода и после его успешного завер- шения единообразно и централизованно управлять правами пользователей как в целе- вых *nix-системах, так и для парка Windows- ориентированных сервисов и платформ. Алексей Плешков Редактор рубрики "Управление идентификацией" КОЛОНКА РЕДАКТОРА IdM требует надежной платформы