Андрей Арефьев, Pragmatic Tools: Импортозамещение — это как переезд в новый дом
В цифровом мире операционные системы, объединенные корпоративным каталогом, — неразрывная часть ИТ-инфраструктуры, которая играет ключевую роль для эффективности бизнес-процессов и обеспечения информационной безопасности. Мы обсудили с Андреем Арефьевым, сооснователем Pragmatic Tools, важность обеспечения доступа к ресурсам сети через корпоративные каталоги, необходимость переноса данных без потери информации с должным уровнем безопасности, а также, какие шаги необходимо предпринять для успешной трансформации и улучшения ИТ-инфраструктуры компании.
Какую общую ценность имеет процесс перехода на российскую операционную систему и трансформации корпоративного каталога в контексте современных вызовов и требований к информационной безопасности и суверенности данных?
Андрей Арефьев: Начну с очевидной вещи, операционная система (ОС) играет важную роль для информационной безопасности в ИТ-инфраструктуре, однако ее основная функция заключается в обеспечении эффективного функционирования компонентов информационных систем, а не в прямом обеспечении защиты от угроз. Отсутствие своевременных обновлений операционной системы или программного обеспечения от западных вендоров критично увеличивает риск взлома. Когда контроллер домена взламывается, злоумышленники получают доступ ко всей IT-инфраструктуре компании, что является очень опасным, самым опасным, что можно придумать. И здесь нам не обойти тему корпоративных каталогов, функционирующих на определенных ОС, которые обеспечивают доступ к ресурсам сети, администрированию и централизованному управлению правами и политиками безопасности.
Сейчас ситуация такая, что управление инфраструктурой осуществляется во многих компаниях по-прежнему на Microsoft Active Directory — пока еще обновляемом, но не лицензируемым и вообще запрещенным для использования в текущих обстоятельствах. Если не принимать меры и затягивать эту историю, то риски ИБ будут расти по экспоненте. Поэтому в рамках импортозамещения крайне важно обратить внимание на корпоративные каталоги от отечественных разработчиков, интегрировать его в свою ИТ-инфраструктуру и начать процесс миграции данных.
Как, на ваш взгляд, обстоит ситуация сегодня на российском рынке заказчиков?
Андрей Арефьев: Решение о выборе операционной системы определяется критериями импортозамещения, оцениваемыми по проценту рабочих станций, работающих под отечественными или западными ОС. Это может привести к сложностям, когда компании сначала выбирают ОС, а затем думают как ею управлять, каким корпоративным каталогом. Поэтому переход на отечественный каталог часто считается второстепенной задачей, в то время как замещение операционных систем на рабочих станциях — первоочередной.
Получается ситуация «с ног на голову», как я понимаю, в основном из-за предъявляемых критериев. C нашей точки зрения, сначала нужно выбрать инструмент управления системой, а затем систему. Не наоборот. Трансформация корпоративного каталога — это информационная безопасность, сохранение целостности данных и непрерывность бизнес-процессов. И одна из первых задач, требующих решительных действий.
Какими принципами вы руководствуетесь в процессе миграции данных из одного корпоративного каталога в другой?
Андрей Арефьев: На примере бытовой ситуации, если представить, что импортозамещение — это переезд в новый дом. Вы благополучно жили в старом, достаточно уютном доме, построенном на импортном стеке, однако пришло время и вам нужно построить новый дом с новым стеком технологий. Очевидно, что в старом доме накопилось много мусора, но есть и нужные вещи, которые вы хотите перевезти, а от старой рухляди и мусора нужно избавиться, и уж точно не тащить в новое жилище. Но по факту придется собрать весь накопившийся хлам. В целом такая метафора хорошо отображает важность вдумчивого подхода по использованию данных.
Реализация процесса миграции данных через один из распространенных методов, например, через контроллеры доменов в значительной степени похож на перевозку абсолютно всего, включая всю пыль и грязь, которая была накоплена в старом доме. Это риски информационной безопасности. Во-первых, потому, что весь этот «мусор» нужно контролировать. Если этого не делать, то это всегда потенциальная точка взлома. Например, обычная практика, когда в корпоративном каталоге хранятся данные Exchange-сервера, который очень глубоко интегрирован с Microsoft Active Directory. И теперь он вам точно не нужен, как и те данные, которые переедут из старой инфраструктуры в новую.
Также лично меня беспокоит, что при такой реализации миграции все пользователи имеют доступ ко всей гибридной инфраструктуре. Думаю, не нужно объяснять почему мы не рекомендуем такой подход с точки зрения ИБ.
На мой взгляд, для процесса миграции просто необходимо использование автоматизирующих программных продуктов, а не полагаться исключительно на ИТ-специалистов, которые попадают в совершенно затруднительное положение при столкновении с трудностями. Вообще ручной перенос — это всегда риск, потому что это занимает много времени, гарантированно выскакивают непрогнозируемые сложности, а значит есть угроза непрерывности бизнес-процессов. Таким программным продуктом для трансформации корпоративного каталога является Pragmatic Tools Migrator.
Почему, говоря о решении Pragmatic Tools Migrator, вы употребляете термин «цифровая трансформация корпоративного каталога», когда речь идет в общем-то о процессе миграции данных?
Андрей Арефьев: Потому, что наш инструмент это не просто про перенос корпоративных данных, что-то вроде еще одного способа из существующих на рынке. Это не так. Применение нашего продукта позволит изменить фактически основу своей IT-инфраструктуры в виде корпоративного каталога и ОС, и построить правильную и эффективную экосистему.
Это не просто миграция данных, а изменение всего стека технологий, что включает в себя различные аспекты, такие как слияние доменов и перенос информации между ними. В отличие от механизма репликации — где просто копируются данные, включая прежние ошибки, без возможности их устранить, мы предоставляем инструмент, позволяющий изменить и построить новую правильную экосистему в соответствии с новыми принципами. И пока это единственный способ осуществить такую трансформацию — правильно заместить корпоративный каталог зарубежного вендора, исправить ошибки старой IT-инфраструктуры и обеспечить сосуществование двух экосистем. Pragmatic Tools Migrator позволяет синхронизировать каталоги, учитывая все изменения, и переносить только необходимые данные, избавляясь от мусора. При этом с соблюдением всех регламентов информационной безопасности. Любой специализированный инструмент обязан предоставлять отчетность для контроля за изменением инфраструктуры, как оно планируется и как происходит. Без отчетности вы теряете контроль. Без контроля вы теряете информационную безопасность.
Плюс адаптивность процессов миграции, адаптивность правил трансформации, контроль видеоотчетов и т.д. с учетом требований по информационной безопасности компании. Все это заложено в нашем решении. И как бонус, снижение нагрузки на существующий IT-персонал.
Почему?
Андрей Арефьев: После разворачивания целевого каталога на базе отечественной ОС, у заказчика будет существовать два корпоративных каталога. Выбранный целевой каталог и MS AD — который может быть остановлен по окончании миграции всех сервисов, что займет не менее трех лет. И на протяжении всего этого времени нужно будет поддерживать два каталога в синхронном состоянии. Осуществлять это силами IT невозможно, потому что вызовет избыточную нагрузку на персонал, риски информационной безопасности, связанные с несвоевременным или некорректным управлением двумя каталогами. Помимо этого, невозможно обеспечить сотрудников одинаковыми паролями в двух каталогах. Единственный правильный способ — это автоматическая синхронизация двух каталогов с использованием специализированных инструментов, которые помимо синхронизации оргструктуры, групп безопасности и учетных записей должны синхронизировать пароли между двумя каталогами на протяжении всего времени сосуществования целевого каталога и MS AD.
Известны ли вам случаи полного замещения сервисов Microsoft в российских компаниях? В частности, полный перенос инфраструктуры или корпоративного каталога на российское ПО?
Андрей Арефьев: Несмотря на то, что процесс импортозамещения идет, условно говоря, с 2014 года, и компании, так или иначе, уделяют этому значительное внимание, реальных примеров — когда конкретная организация остановила все сервисы Microsoft и тем более контроллер домена MS AD, и размер этой организации существенен, мне неизвестны. На рынке можно услышать от вендоров операционных систем о таких кейсах, но я не готов всерьез это комментировать.
Крупное предприятие, где есть много разных бизнес-процессов, и которое использовало программный стек западных компаний, не может просто заменить их на отечественные аналоги, о причинах я говорил выше. Простых альтернатив и замен сейчас нет, они только в процессе разработки. Избавиться от западного ПО, обеспечивающего бизнес-процесс это сложно и долго.
При этом есть решения, которые получают положительные ответы. Например, есть ли альтернатива Oracle? Да, есть, хорошая альтернатива — Postgres Pro. Но полностью ли она замещает функционал Oracle? Нет, требуется адаптация IT-инфраструктуры. Есть ли альтернативы Exchange-серверу? Да, но насколько они полноценны, сложно сказать. Безусловно, российские разработчики — серьезные профессионалы, усиленно работают, но догнать Exchange за несколько лет невозможно. Рынок все время меняется, есть точечные успехи в этом направлении.
Какие стратегии или практики вы рекомендуете компаниям, которые планируют начать процесс трансформации своих корпоративных каталогов, основываясь на вашем опыте?
Андрей Арефьев: Обычно мы помогаем клиентам найти ответы и сформировать единый подход к миграции, выработать правила. И начать с аудита того, что есть: какие групповые политики применяются к рабочим станциям, какие процессы управления корпоративным каталогом применимы в вашей компании, как вы поступаете в тех или иных случаях с точки зрения делегирования прав администратора. Вообще, если у вас делегированный администратор, понимаете ли вы, о чем идет речь? Построить план процесса импортозамещения, понять, миграцию каких подразделений вы планируете осуществить, как планируется разворачивать программное обеспечение уже на импортозамещенной платформе и так далее. Вопросов очень много возникает. Но в первую очередь — аудит.
Для успешной миграции корпоративного каталога необходимо тщательно спланировать процесс, учитывая все ограничения и особенности данных, а также обеспечить согласование изменений с заказчиком. Постепенный перенос данных и обновление структуры данных помогут минимизировать риски и обеспечить плавный переход к новой системе без значительных проблем для пользователей.