Куда российским компаниям мигрировать с Active Directory?
Редакция журнала "Информационная безопасность", 20/01/25
Несмотря на то, что Active Directory является проверенным и широко используемым решением для управления идентификацией и доступом в Windows-средах, существует веская причина, по которой российские компании рассматривают переход на альтернативные каталоги. Эта причина – миграция с иностранных операционных систем, и как следствие – отказ от их экосистем и инфраструктур, построенных на их основе.
Вообще, выбор качественного каталога на замену – нетривиальная задача со своими сложностями и нюансами. Во-первых, необходимо учитывать совместимость с существующей инфраструктурой и приложениями. Не все альтернативные каталоги поддерживают тот же набор функций, протоколов и структур данных, что и AD.
Во-вторых, важно оценить функциональные возможности предлагаемого решения. Некоторые каталоги могут не предоставлять такой же уровень управления групповыми политиками, как AD, или иметь ограниченные возможности по масштабированию и отказоустойчивости. Следует также обратить внимание на поддержку современных протоколов безопасности и аутентификации.
Третьей сложностью является поддержка разработчиков или сообщества. Решения Open Source всегда будут привлекательными с точки зрения капитальных затрат, но при этом важно не оказаться перед фактом ограниченной поддержки или недостаточной документации – особенно в ситуациях, когда и то, и другое нужно срочно. Коммерческие продукты, с другой стороны, могут обеспечить высокий уровень поддержки, но они потребуют дополнительных финансовых вложений.
Наконец, при выборе необходимо учитывать не только сиюминутные, но и долгосрочные потребности организации. Выбранное решение должно быть гибким и масштабируемым, чтобы соответствовать растущим требованиям или запланированным изменениям в инфраструктуре. Стоит закладывать поддержку облачных сервисов, мобильных устройств и возможностей для интеграции с другими системами управления идентификацией и доступом.
Одной из систем, которая подходит для корпоративной инфраструктуры, является служба каталогов MultiDirectory со структурно адаптированным под Active Directory LDAP-каталогом и расширенной функциональностью. Продукт решает важные задачи в области управления доступом и упрощения администрирования для организаций со смешанными инфраструктурами, где используются как Windows, так и Linux. Посмотрим подробнее на функциональность и возможности MultiDirectory.
Что такое MultiDirectory?
MultiDirectory – это современная служба каталогов, функционирующая на основе протокола LDAP. Она предназначена для хранения информации о пользователях, ролях, структуре и ресурсах организации, а также для выполнения базовых задач аутентификации и авторизации.
Служба каталогов MultiDirectory создана компанией “МУЛЬТИФАКТОР” (разработчиком системы для многофакторной аутентификации) и является частью комплексной экосистемы безопасности. MultiDirectory позиционируется как отечественное решение на замену Active Directory.
Технологическая основа продукта – язык Python, известный своей эффективностью, универсальностью и простотой в использовании. Для хранения данных используется PostgreSQL – одна из наиболее современных и развитых в мире СУБД. Она обеспечивает масштабируемость, отказоустойчивость и надежное резервное копирование, что делает MultiDirectory хорошо применимым для корпоративного использования.
Посмотрим, что еще есть под капотом у MultiDirectory.
Совместимость с Active Directory
Два важных аспекта, с которых стоит начинать рассматривать альтернативу для корпоративного домена – совместимость с Active Directory по структурам данным и по протоколам.
Архитектура каталога MultiDirectory адаптирована под структуру AD, и это позволяет практически бесшовно интегрировать пользователей и группы. Другими словами, структура каталогов и иерархия, привычная администраторам AD, может быть перенесена и использована в MultiDirectory. Такая архитектура упрощает процессы миграции и адаптации, поскольку не требует масштабных изменений в ИТ-инфраструктуру, которая опирается на пользовательский каталог.
На сегодняшний день MultiDirectory поддерживает подключения к домену Linux-хостов, что дает возможность обеспечить поддержку миграции операционных систем на хостах – не секрет, что этот процесс не одномоментный, и довольно продолжительное время корпоративная инфраструктура будет жить в гибридном формате на два домена.
Парольные и сетевые политики доступа
В MultiDirectory реализованы встроенные функции для настройки гибких политик паролей и сетевых политик доступа.
Парольные политики задают требования к надежности паролей, включая минимальную длину, ограничение на использование прошлых паролей, а также определяют периодичность смены паролей и блокировку учетной записи после нескольких неудачных попыток входа.
Сетевые политики доступа регулируют способы взаимодействия клиентов с каталогом, ограничивая доступ по IP-адресам, подсетям или группам пользователей, задавая требования к двухфакторной аутентификации. Для защиты данных применяются защищенные протоколы, в том числе LDAPS (LDAP over SSL), обеспечивающий шифрование передаваемой информации.
Интегрированный Kerberos-сервер
Kerberos используется для обеспечения безопасной аутентификации. Он реализует механизм единого входа (Single Sign-On, SSO), позволяя пользователям и сервисам подтверждать свою "личность" (Identity) только один раз, после чего они получают доступ ко всем разрешенным ресурсам без необходимости повторного ввода пароля. Это происходит с помощью использования временных токенов (тикетов) для аутентификации. Kerberos защищает данные от перехвата и предотвращает атаки, например "человек посередине" (Man-in-the-Middle).
В составе MultiDirectory также есть Kerberos-сервер, он позволяет централизованно управлять аутентификацией пользователей, предоставляя защиту от перехвата учетных данных и сетевых атак. Управление реализовано через веб-интерфейс – администраторы могут создавать, изменять и удалять принципалы пользователей или сервисов, настраивать политики.
Интеграция с BIND 9
BIND – один из наиболее широко используемых серверов DNS, который разрешает (переводит) доменные имена в IP-адреса и обратно, он часто используется для управления DNS в корпоративной ИТ-инфраструктуре. Кроме, собственно, разрешения доменных имен BIND также производит кэширование запросов для повышения производительности сети.
Совместимость с BIND крайне полезна для корпоративных каталогов, которые зависят от точного и стабильного разрешения имен для функционирования сервисов аутентификации и управления доступом. Поддержка таких современных стандартов, как DNSSEC и IPv6, обеспечивает дополнительную надежность и безопасность.
Разработчики добавили в MultiDirectory интеграцию с BIND 9 для централизованного управления DNS-записями. Эта возможность пригодится, если используются собственные DNS-сервера для внутренней маршрутизации и управления доменными именами, причем управление DNS-записями производится через встроенный веб-интерфейс.
Встроенная поддержка двухфакторной аутентификации
Сложно представить корпоративную аутентификацию без поддержки второго фактора (2FA). Количество киберугроз растет, увеличивается число удаленных сотрудников, а 2FA значительно снижает риск несанкционированного доступа даже в случае компрометации учетных записей. Да и с точки зрения комплаенса наличие 2FA требуется в ряде современных стандартов информационной безопасности, в частности, PCI DSS.
MultiDirectory поддерживает двухфакторную аутентификацию с использованием компонентов от системы MULTIFACTOR (от того же разработчика – компании МУЛЬТИФАКТОР), что добавляет еще один уровень защиты учетных записей пользователей. MULTIFACTOR предоставляет гибкость в выборе методов второго фактора аутентификации (Push-уведомления и OTP) и интегрируется в инфраструктуру MultiDirectory.
Интеграции с ИТ- и ИБ-системами
Корпоративный домен существует в довольно плотном окружении как ИТ-, так и ИБ-систем. Часто удается обойтись нативной совместимостью на базе де-факто стандартных сетевых протоколов, но для того, чтобы настроить связь с другими популярными системами (например, с SIEM, сервисами облачной инфраструктуры, VPN и т.п.), уже существующими в инфраструктуре, разработчики подготовили документацию и инструкции по интеграции.
Пара слов о миграции каталога
Миграция с Active Directory в работающей инфраструктуре – это сложный процесс, связанный с множеством подводных камней как технического, так и организационного характера.
Одной из главных сложностей является обеспечение совместимости и интеграции различных систем аутентификации. Windows и Linux используют разные протоколы и механизмы безопасности, что почти наверняка вызовет трудности при попытке объединить их в единую инфраструктуру. Кроме того, перенос прав доступа и политик безопасности из одной системы в другую требует тщательной настройки и проверки.
В качестве еще одной важной проблемы стоит отметить управление идентификацией и доступом пользователей. Синхронизация учетных записей между системами должна быть надежной и безопасной, чтобы избежать несоответствий и потенциальных уязвимостей в процессе миграции. Специалисты, ответственные за администрирование, несомненно столкнутся с необходимостью освоения новых инструментов и технологий, а это потребует дополнительных финансовых и временных ресурсов на обучение и адаптацию.
Изменения в ИТ- и ИБ-инфраструктуре, вызванные миграцией, – это еще одно серьезное испытание. Необходимо убедиться, что все сетевые конфигурации поддерживают новые сервисы и протоколы, а приложения, ранее зависящие от специфических функций экосистемы Windows, будут корректно работать в новой среде. Значит, потребуется тщательное тестирование, а возможно и модификация или замена некоторых приложений.
Стоит готовиться к тому, что финансовые и ресурсные затраты могут оказаться весьма значительными. Процесс миграции требует инвестиций в новое оборудование и программное обеспечение, а также существенных временных ресурсов со стороны ИТ- и ИБ-команд. Без тщательного планирования и управления проектом возможны перебои в работе сервисов и недовольство со стороны бизнеса и пользователей. Поэтому для успешной миграции важно разработать детальный план, провести пилотное тестирование, обеспечить обучение персонала и поддерживать открытую коммуникацию со всеми заинтересованными сторонами.
Некоторые выводы
Пока еще в значительном количестве российских инфраструктур на серверах и рабочих станциях используются как Windows, так и Linux, и для обеспечения работоспособности такой гибридной среды необходимо использование службы каталогов, которая будет поддерживать работу с обеими системами.
На фоне усиления требований к безопасности организациям нужно улучшить безопасность аутентификации, реализовать защиту от компрометации учетных данных и обеспечить гибкие методы защиты, включая двухфакторную аутентификацию.
Нельзя забывать и про удобство: централизованное управление учетными записями, группами и политиками добавляет точности и надежности в контексте защиты всей инфраструктуры.
Понимание этих аспектов и привело к разработке MultiDirectory – технологичного решения, которое не только готово стать заменой AD, но и расширяет его возможности управления сетевой инфраструктурой.
MultiDirectory предоставляет инструмент для создания гибкой, масштабируемой и безопасной среды управления учетными данными, идентификацией и доступом. Благодаря адаптации под Active Directory, интеграции с DNS и Kerberos, поддержке 2FA и централизованному управлению, MultiDirectory помогает решать задачи безопасности и совместимости, возникающие в современных ИТ-инфраструктурах.
В 2025 г. "МУЛЬТИФАКТОР" планирует выпуск MultiDirectory версии Enterprise с расширенным функционалом для крупных предприятий, а также регистрацию продукта в реестре отечественного ПО.
Ознакомиться с решением вы можете на официальном сайте [1], а также обсуждать решение в Телеграм-чате [2].