Cho đến gần đây, dịch vụ thư mục duy nhất dành cho khách hàng doanh nghiệp là Microsoft Active Directory. Bây giờ sự thay thế nhập khẩu cũng đã đến đây. Những lựa chọn thay thế trong nước nào tồn tại và tính năng của chúng là gì?
- Giới thiệu
- Vai trò của Microsoft Active Directory trong cơ sở hạ tầng CNTT hiện đại quan trọng như thế nào?
- Nhược điểm của việc sử dụng Microsoft Active Directory
- Các lựa chọn thay thế cho Microsoft Active Directory
- 4.1. Samba DC và FreeIPA
- Dịch vụ danh bạ tiếng Nga nên có những chức năng gì?
- 5.1. Hệ sinh thái và hội nhập
- 5.2. Hiệu suất và bảo mật
- 5.3. Các vấn đề và rủi ro
- Quá trình di chuyển sang dịch vụ thư mục tiếng Nga
- Mẹo di chuyển sang dịch vụ danh bạ tiếng Nga
- kết luận
Giới thiệu
Microsoft Active Directory là một trong những công cụ quản lý quyền truy cập và nhận dạng phổ biến nhất trong môi trường doanh nghiệp mà cho đến gần đây vẫn chưa có giải pháp thay thế nào. Giờ đây, với sự phát triển của việc thay thế nhập khẩu, các sản phẩm tương tự trong nước đang xuất hiện. Trên AM Live, chúng tôi đã xem xét các tính năng và sự khác biệt của chúng so với Microsoft Active Directory thông thường, đồng thời nói về cách di chuyển sang chúng một cách chính xác.
Hình 1. Các chuyên gia trong ngành trong trường quay của dự án truyền hình AM Live
Diễn giả trực tiếp:
- Igor Koptelovnhà thiết kế chính, Iridium.
- Andrey Arefievđồng sáng lập Công cụ thực dụng.
- Pavel OsipovPhó Tổng Giám đốc Phát triển Kinh doanh, Công nghệ Quốc gia.
- Andrey CherepanovTrưởng phòng Hỗ trợ, Basalt SPO.
- Alexander Makhnovskygiám đốc kỹ thuật, Avanpost.
- Anatoly Lysovgiám đốc kỹ thuật của sản phẩm ALD Pro, Tập đoàn Astra.
Người dẫn chương trình và người điều hành chương trình phát sóng – Ilya ShabanovTổng Giám đốc AM Media.
Vai trò quan trọng như thế nào? Thư mục hoạt động của Microsoft trong cơ sở hạ tầng CNTT hiện đại
Cơ sở hạ tầng của công ty càng lớn thì càng khó kiểm soát tất cả các quy trình trong đó. Igor Koptelov. Các dịch vụ thư mục được tạo ra để quản lý tập trung và làm cho nó minh bạch và đáng tin cậy, bất kể số lượng đối tượng. Việc sử dụng rộng rãi Microsoft AD là điều có thể lý giải và dễ hiểu: ban đầu, cơ sở hạ tầng của công ty được xây dựng trên các dịch vụ của Microsoft. Tiêu chuẩn này mở và có sẵn công khai, hầu hết các ứng dụng Windows đều sử dụng nó và tương tác với Active Directory. Vì vậy, tốt hơn là sử dụng những chất tương tự kế thừa các tiêu chuẩn này.
Igor Koptelov, nhà thiết kế trưởng, Iridium
Về bảo mật, các chuyên gia nhấn mạnh AD là hệ thống phân tán có nhiều quản trị viên. Bạn cần phải bảo vệ mình khỏi những kẻ xâm nhập nội bộ.
Nhược điểm của việc sử dụng Thư mục hoạt động của Microsoft
Andrey Cherepanov giải thích: Microsoft gần đây đã không hỗ trợ các giải pháp của mình tại Liên bang Nga. Người dùng phải hiểu rằng thế giới đang trở nên chi tiết hơn. Điều quan trọng là phải giảm thiểu rủi ro bằng cách sử dụng các công nghệ trong nước có sự hỗ trợ và độ tin cậy rõ ràng.
Một điểm quan trọng khác trong việc sử dụng hệ thống danh bạ là việc tuân thủ luật pháp Nga trong lĩnh vực bảo mật thông tin.
Pavel Osipov giải thích rằng Microsoft Active Directory là một sản phẩm tuyệt vời mà các nhà phát triển đã đầu tư rất nhiều tiền, công sức và thời gian. Đây là giải pháp rất thuận lợi cho doanh nghiệp nhưng hiện nay vấn đề an ninh chiến lược và tuân thủ pháp luật được đặt lên hàng đầu. Đây là một bất tiện lớn cho khách hàng, nhưng bạn không thể để doanh nghiệp hoạt động trên cơ sở hạ tầng không được hỗ trợ về mặt kỹ thuật.
Pavel Osipov, Phó Tổng Giám đốc Phát triển Kinh doanh, Công nghệ Quốc gia
Kết quả cuộc khảo sát đầu tiên giữa những người xem truyền hình cho thấy mối quan tâm đến việc thay thế Microsoft Active Directory chủ yếu là do cơ quan quản lý yêu cầu chuyển sang phần mềm của Nga (70% số người được hỏi). 15% số người được hỏi cho rằng những thay đổi trong cơ sở hạ tầng CNTT là nguyên nhân và yêu cầu bảo mật thông tin tăng 4%. Không ai chọn chuyển sang các giao thức và tiêu chuẩn khác và 11% đang từ bỏ Microsoft Active Directory vì một số lý do khác.
Hình 2: Tại sao bạn lại quan tâm đến việc thay thế Microsoft Active Directory?
Lựa chọn thay thế Thư mục hoạt động của Microsoft
Andrey Cherepanov lập luận rằng Microsoft đã quảng bá Active Directory rộng rãi như vậy chỉ vì không có giải pháp thay thế nào trên thị trường. Bây giờ chúng ta có nhiệm vụ thay thế nhà độc quyền. Đã có những giải pháp không liên quan đến việc thay thế toàn bộ cơ sở hạ tầng.
Alexander Makhnovsky tin rằng với việc giới thiệu một thư mục thay thế, sẽ cần phải có một hệ điều hành thay thế. Andrey Arefiev Tôi chắc chắn rằng trước hết bạn cần nghĩ đến vấn đề bảo mật, hãy xem tần suất cập nhật.
Samba DC và FreeIPA
Các chuyên gia thảo luận xem cái nào tốt hơn để thay thế Microsoft AD: Samba DC hay FreeIPA.
Anatoly Lysov tin rằng vấn đề thay thế có thể được giải quyết bằng cách sử dụng Samba DC: sản phẩm này gần nhất với kiến trúc của Microsoft, mặc dù nó không phải là một sự thay thế hoàn toàn. Tuy nhiên, thử nghiệm cho thấy cả hai giải pháp đều có thể đáp ứng được tải trọng cao ở các công ty lớn.
Anatoly Lysov, giám đốc kỹ thuật sản phẩm ALD Pro, Tập đoàn Astra
Andrey Arefiev tuyên bố rằng FreeIPA hoạt động dễ dàng hơn trên Linux.
Cuộc khảo sát thứ hai đối với người xem chương trình phát sóng cho thấy yêu cầu chính đối với một phiên bản tương tự của Microsoft Active Directory đối với hầu hết người dùng là sự đơn giản và tiện lợi, vì 75% người tham gia đã phản hồi. “Chỉ cần làm việc và không có gì khác” – phương án này được 14% người xem chọn. Chỉ có 4% ủng hộ sự an toàn.
Hình 3. Yêu cầu chính của bạn đối với Microsoft Active Directory tương đương là gì?
Dịch vụ danh bạ tiếng Nga nên có những chức năng gì?
Điều chính là khi dịch vụ thư mục thay đổi, toàn bộ hệ thống vẫn tiếp tục hoạt động. Chúng tôi cần kiến trúc sư hệ thống, hỗ trợ kỹ thuật và cũng đảm bảo rằng các ứng dụng hoạt động bằng danh mục mới. Do đó, dịch vụ này phải càng gần với Microsoft AD càng tốt. Điều quan trọng là chọn một công cụ quản lý cơ sở hạ tầng thuận tiện, an toàn và dễ kiểm soát. Nó có thể hoạt động song song với các miền khác, giải thích Andrey Arefiev.
Ilya Shabanov đề nghị xem tin nhắn video Sergei Alyakrinsky, người đứng đầu dịch vụ phát triển an toàn thông tin tại VimpelCom, để tìm hiểu ý kiến của khách hàng về tình hình. Sergey tin rằng khi thay thế một dịch vụ thư mục, cần phải thay đổi toàn bộ hệ sinh thái sản phẩm – không chỉ để bảo vệ mà còn đơn giản là để làm việc thoải mái. Điều này chủ yếu ảnh hưởng đến các dịch vụ bưu chính, tin nhắn tức thời và các hệ thống cần thiết để bảo mật.
Sergey Alyakrinsky, người đứng đầu dịch vụ phát triển bảo mật thông tin, VimpelCom
Hệ sinh thái và hội nhập
Alexander Makhnovsky lưu ý rằng đối với hầu hết các ứng dụng, việc không tương thích với LDAP là một lỗi thiết kế. Hiện tại, có các giao thức mở giúp chuyển các ứng dụng hiện đại sang đó, chủ yếu là OpenID Connect.
Có nhiều lý do khiến dịch vụ thư mục không thể được sử dụng làm yếu tố xác thực: thông tin lọt vào ứng dụng, tạo ra lỗ hổng. Nếu ứng dụng chạy qua Kerberos, nó được phép xác thực thông qua dịch vụ thư mục. Nếu việc này được thực hiện thông qua LDAP thì sẽ vi phạm các yêu cầu bảo mật thông tin hiện đại. Tốt nhất nên có một hệ thống riêng biệt thực hiện chức năng xác thực tập trung.
Alexander Makhnovsky, giám đốc kỹ thuật, Avanpost
Anatoly Lysov nói thêm rằng việc tích hợp với các hệ thống SIEM là rất quan trọng để có thể đảm bảo tính bảo mật của miền.
Hiệu suất và bảo mật
Các ứng dụng hiện đại truy cập định kỳ vào dịch vụ thư mục. Tên miền càng lớn thì càng có nhiều. Anh ta phải trả lời ngay lập tức. Nếu tính bảo mật của thư mục bị xâm phạm, điều này sẽ ảnh hưởng đến tính bảo mật thông tin của toàn bộ cơ sở hạ tầng. Igor Koptelov.
Các chuyên gia nhất trí rằng các giải pháp hiện đại của Nga sẵn sàng đối phó với khối lượng công việc nặng nề mà họ sẽ phải làm việc ở các công ty lớn với số lượng người dùng lớn.
Pavel Osipov cho biết hỗ trợ kỹ thuật quan trọng như thế nào trong các vấn đề bảo mật và khả năng chịu lỗi.
Theo kết quả của cuộc khảo sát thứ ba, hóa ra các công ty Nga không muốn chuyển sang các sản phẩm tương tự trong nước của Microsoft AD do các sắc thái tương thích với các hệ thống CNTT khác – đây là câu trả lời của 34% số người được hỏi. Không có đủ chuyên gia đủ trình độ cho 29% số người được hỏi và 24% người dùng xếp việc thiếu chức năng là ưu tiên hàng đầu của họ. Giá cao khiến 10% số người được hỏi bối rối và 3% phàn nàn về hỗ trợ kỹ thuật kém.
Hình 4. Điều gì hạn chế bạn nhất khi di chuyển từ Microsoft Active Directory sang các phiên bản tương đương của Nga?
Các vấn đề và rủi ro
Andrey Cherepanov tin rằng ở Nga có vấn đề với các nhà tích hợp đã nghiên cứu công nghệ của Microsoft trong nhiều năm nhưng biết rất ít về các sản phẩm mới. Việc đào tạo và sử dụng các giải pháp mới từ khách hàng thực vẫn còn nhiều vấn đề. Các nhà tích hợp chưa sẵn sàng chuyển sang các giải pháp cơ sở hạ tầng khác.
Andrey Cherepanov, trưởng bộ phận hỗ trợ, Basalt SPO
Quá trình di chuyển sang dịch vụ thư mục tiếng Nga
Andrey Arefiev tin rằng nếu không có chiến lược thay thế nhập khẩu thống nhất thì quá trình di chuyển là không thể. Có nhiều bước chiến thuật cần được thực hiện: xem xét sự khác biệt về thư mục và các hạn chế về mặt kỹ thuật, phân tích hệ thống quyền. Chỉ sau khi kiểm tra kỹ lưỡng, bạn mới có thể hiểu được nơi và cách di chuyển. Bạn cũng cần quyết định cách quản lý cơ sở hạ tầng kết hợp. Việc di chuyển được thực hiện theo từng giai đoạn, nhưng quá trình này phải được tổ chức sao cho không vi phạm hệ thống bảo mật.
Andrey Arefiev, đồng sáng lập Công cụ thực dụng
Pavel Osipov nhắc nhở rằng di chuyển không phải là điểm cuối mà là một quá trình lâu dài. Chúng ta cần tạo ra các công cụ giúp làm cho nó dễ hiểu và đơn giản hơn.
Mẹo di chuyển sang dịch vụ danh bạ tiếng Nga
Việc di chuyển không được làm gián đoạn hoạt động của công ty nơi việc di chuyển được thực hiện, nói Igor Koptelov. Nó phải tính đến triển vọng phát triển sản phẩm. Khi chuyển đổi, bạn cần đưa ra lựa chọn sáng suốt với triển vọng làm việc trong nhiều năm, vì việc chuyển sang sản phẩm khác sẽ rất khó khăn. Lựa chọn sai sẽ gây nguy hiểm cho hoạt động của toàn bộ cơ sở hạ tầng. Một công ty chọn giải pháp nội địa gần với Microsoft Active Directory nhất có thể sẽ được hưởng lợi về lâu dài.
Andrey Arefiev khuyên bạn nên thực hiện một cuộc kiểm toán lớn cũng như giám sát quá trình di chuyển và lưu giữ các báo cáo. Cơ sở hạ tầng CNTT mới phải đáp ứng nhu cầu và yêu cầu bảo mật của công ty.
Pavel Osipov tin rằng các giải pháp trong nước sẽ phát triển và các công ty sẽ không thể chọn từ hai phương án mà từ một số phương án, quyết định phương án nào là tốt nhất cho họ.
Andrey Cherepanov đề nghị triển khai các giải pháp khác nhau trong công ty để thử nghiệm và lựa chọn giải pháp tốt nhất cho chính bạn. Có một cơ hội để làm cho quá trình di chuyển trở nên dễ dàng hơn.
Alexander Makhnovsky hy vọng rằng các dịch vụ thư mục hiện đang cạnh tranh sẽ đi đến quyết định chung và chia sẻ trách nhiệm.
Anatoly Lysov khuyên nên bắt đầu thay thế nhập khẩu càng sớm càng tốt: đã có những giải pháp đáng tin cậy cho việc này.
Theo kết quả của cuộc khảo sát trực tuyến mới nhất, 37% người tham gia sẵn sàng thử nghiệm và triển khai các dịch vụ danh bạ tiếng Nga. 21% tin chắc rằng hệ thống được chọn là đúng. Ngược lại, cùng một số lượng người xem chưa sẵn sàng chuyển sang các phim tương tự của Nga. 17% số người được hỏi nhận được rất nhiều thông tin mới và bây giờ sẽ tập trung vào việc phân loại nó.
Hình 5. Ý kiến của bạn về các dịch vụ thư mục tiếng Nga sau khi phát sóng là gì?
kết luận
Việc lựa chọn giải pháp thay thế Microsoft Active Directory phải dựa trên nhu cầu và mục tiêu cụ thể của công ty cũng như khả năng tương thích với cơ sở hạ tầng và ngân sách hiện có. Một số lựa chọn thay thế của Nga cung cấp các tính năng và lợi ích độc đáo có thể hấp dẫn các công ty, đặc biệt là trong bối cảnh tuân thủ các yêu cầu bảo mật dữ liệu và luật pháp của Nga. Các chuyên gia khuyên các công ty nên bắt đầu chuyển sang các giải pháp của Nga tương tự như Microsoft Active Directory ngay từ bây giờ.
Dự án truyền hình AM Live hàng tuần mời các chuyên gia trong ngành đến trường quay để thảo luận về các chủ đề hiện tại trên thị trường CNTT và bảo mật thông tin của Nga. Luôn cập nhật các xu hướng và sự kiện quan trọng. Để thực hiện việc này, hãy đăng ký kênh của chúng tôi Kênh Youtube. Hẹn gặp lại!
