Разработчики: | Avanpost (Аванпост) |
Дата премьеры системы: | 2022 |
Дата последнего релиза: | 2023/11/16 |
Технологии: | ИБ - Аутентификация |
Содержание |
2023
Avanpost Directory Service 1.1
16 ноября 2023 года компания Аванпост сообщила о выпуске обновленной версии службы единого каталога Avanpost Directory Service 1.1. Добавленный функционал решения сочетает в себе ролевую модель с гранулярным назначением прав доступа и интеграцию с DNS-сервером.
Microsoft Active Directory долгое время являлась единственным поставщиком службы каталогов на отечественный рынок, обеспечивающей централизованное управление пользователями и ресурсами и упрощающей процесс аутентификации и авторизации пользователей в сети. Из-за санкций и ухода Microsoft из России все продукты компании, включая операционную систему Windows и службу доменов Active Directory, стали недоступны российским организациям.
В начале 2023 года компания Аванпост предложила рынку актуальный продукт для импортозамещения – полноценную отечественную замену единой службы каталогов Avanpost Directory Service.
Avanpost Directory Service (Avanpost DS) решает задачи идентификации и аутентификации пользователей в организациях, осуществляя управление учетными записями, политиками безопасности и правами доступа пользователей к ресурсам.
Avanpost Directory Service является первой службой каталогов собственной разработки, без использования Open source решений, что гарантирует высокую производительность продукта, возможность оптимизации и масштабирования функциональных модулей каталога, а также использование в облачных технологиях.
В основе Avanpost DS лежат высокопроизводительный LDAP-каталог собственной разработки, представляющий собой централизованное хранилище информации о пользователях и ресурсах, а также центр распространения ключей Kerberos, обеспечивающий сквозную аутентификацию в домене.Метавселенная ВДНХ
Дополнительный функционал, реализованный в версии Avanpost DS 1.1, предлагает сетевым администраторам расширенные возможности контроля доступа и управления инфраструктурой службы каталога современных организаций с большим числом рабочих мест.
Для гибкого делегирования полномочий к отдельным участкам каталога в Avanpost DS 1.1 была разработана ролевая модель с гранулярным назначением разрешений на уровне атрибутов. Данная функция позволяет реализовать самые сложные сценарии делегирования полномочий к объектам службы каталогов для отдельных подразделений. Например, ограниченный набор прав доступа может выдаваться сотрудникам техподдержки или региональным администраторам.
Такая гранулярная система контроля делает управление доступом более эффективным, уменьшая сложность нормативных требований и при этом обеспечивая оптимальную доступность и катастрофоустойчивость данных каталога и сервисов аутентификации в геораспределенных инфраструктурах.
Возможность гибкой интеграции с инфраструктурными сервисами – еще одна ключевая особенность Avanpost DS, которая позволила провести интеграцию с высокопроизводительным DNS-сервером Power DNS в части хранения данных зоны, для которого Avanpost DS выступает LDAP бэкендом. Служба каталогов и система доменных имен максимально тесно взаимосвязаны – настолько, что службы Active Directory не могут функционировать без стабильной конфигурации DNS.
Теперь Avanpost DS 1.1 хранит в каталоге данные зоны и поддерживает безопасное динамическое обновление DNS-записей. Как результат – обеспечивается равноправность серверов и актуальность передаваемой информации.
Разработкой службы Avanpost DS мы занимались более трех лет и, выпустив релиз LDAP-каталога в сентябре, продолжаем совершенствовать наш продукт. Наша цель – предоставить рынку высокопроизводительное решение с широкими возможностями масштабирования. Новый функционал Avanpost DS 1.1 призван помочь нашим заказчикам в решении ряда важных задач в части высокой доступности и катастрофоустойчивости данных каталога, что особенно актуально для крупных распределенных инфраструктур, рассчитанных на десятки тысяч рабочих мест, – отметил Дмитрий Закорючкин, владелец продукта Avanpost DS. |
Запуск службы единого каталога Avanpost DS
16 августа 2023 года компания Аванпост сообщила о запуске службы единого каталога Avanpost DS.
По информации компании, служба каталога Avanpost DS представляет собой решение по централизованному управлению пользователями, аутентификацией и авторизацией в Linux-инфраструктурах с возможностью иерархического представления объектов.
Avanpost DS является самостоятельной разработкой. Протоколы LDAP и Kerberos, построение топологии домена и репликация – все основные функции разработаны компанией Аванпост самостоятельно на языке Go. С одной стороны, это делает реализацию полностью управляемой, с другой – обеспечивает оптимальную производительность, возможность оптимизации и масштабирования функциональных модулей каталога, а также использования в облачных технологиях.
Целевой аудиторией продукта, в первую очередь, являются крупные предприятия, государственные компании и учреждения – структуры. Они, как правило, обладают большой, часто распределенной ИТ-инфраструктурой, рассчитанной на десятки и сотни тысяч рабочих мест. Это предъявляет особые требования к масштабируемости и производительности, которые свободно распространяемые службы каталогов обеспечить не могут. По этой причине использование открытых решений, например, FreeIPA, или продуктов, построенных на их основе, в таких организациях остается под большим вопросом.
В 2020 году компания начала разработку своей службы каталогов (Avanpost DS) в ответ на запрос российского рынка по импортозамещению инфраструктурных сервисов. В конце 2022 года была выпущена первая версия продукта. Это позволило провести в первом полугодии 2023 года ряд пилотных проектов у крупных заказчиков. Потенциальный объем будущих проектов охватывает около 1 миллиона рабочих мест.
Корни развития систем класса Directory Service уходят в 1980-е годы. Все началось с разработки стандарта X.500, который представлял собой распределенную службу каталогов, разработанную Международным телекоммуникационным союзом (ITU-T), а также создания протокола LDAP, который получил широкое распространение. В 1999 году Microsoft выпустила свою реализацию службы каталогов под названием Active Directory. Он стал основой для организации ресурсов и учетных записей пользователей в сетях семейства Windows и быстро стал стандартом, в том числе и для российских предприятий. В структуре Global Identity and Access Management Market сегмент Directory Service на август 2023 года занимает около 11%, при этом Microsoft AD по сути является монополистом в этом сегменте.
На август 2023 года в рамках тренда на импортозамещение в России складывается благоприятная ситуация для отечественных производителей, которая позволяет им вывести на рынок конкурентную замену Microsoft AD. Служба каталогов Avanpost DS решает задачи централизованной аутентификации и авторизации, управления пользователями и компьютерами в иерархической структуре, при этом обеспечивая оптимальную доступность и катастрофоустойчивость данных каталога и сервисов аутентификации в геораспределенных инфраструктурах.
В основе Avanpost DS лежат высокопроизводительный LDAP каталог собственной разработки, представляющий собой централизованное хранилище информации о пользователях и ресурсах, а также центр распространения ключей Kerberos, обеспечивающий сквозную аутентификацию в домене. Для таких задач как управление конфигурацией рабочих станций, разрешение имен, синхронизация времени, в Avanpost DS предусмотрена интеграция с внешними системами, для которых решение выступает в роли LDAP бэкенда. Так, например, для DNS сервера Avanpost DS может хранить в каталоге данные зоны и поддерживать безопасные динамические обновления, а для системы управления конфигурацией выступать в роли «селектора групповых политик», сопоставляя хранимые конфигурации с нужными компьютерами. Гибкость интеграции с инфраструктурными сервисами является особенностью Avanpost Directory Service. Это позволяет, например, использовать в качестве DNS сервера вместо обычно используемого Bind более производительный Power DNS, а также выбрать наиболее подходящую для конкретной инфраструктуры систему управления конфигурациями.
Более того, Avanpost DS позволит плавно провести миграцию с Microsoft AD, без прерывания обслуживания в переходный период. В период сосуществования будет предоставлена возможность доступа к ресурсам в домене Avanpost DS с рабочих станций Windows, а также доступ к не прошедшим миграцию ресурсам c рабочих станций под управлением любых отечественных дистрибутивов Linux.
Подрядчики-лидеры по количеству проектов
Индид, Indeed (ранее Indeed ID) (55)
Инфосистемы Джет (50)
ДиалогНаука (37)
Softline (Софтлайн) (36)
Информзащита (32)
Другие (846)
Card Security (Кард Сек) (4)
Национальный аттестационный центр (НАЦ) (4)
Softline (Софтлайн) (3)
СэйфТек (SafeTech) (3)
Инфосистемы Джет (3)
Другие (52)
Индид, Indeed (ранее Indeed ID) (8)
Информзащита (2)
Deiteriy (Дейтерий) (2)
Softline (Софтлайн) (2)
Национальный аттестационный центр (НАЦ) (2)
Другие (33)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Индид, Indeed (ранее Indeed ID) (5, 56)
СэйфТек (SafeTech) (6, 38)
FalconGaze (Фалконгейз) (1, 38)
Аладдин Р.Д. (Aladdin R.D.) (20, 27)
Visa International (2, 26)
Другие (470, 229)
СэйфТек (SafeTech) (1, 3)
МегаФон (1, 2)
Konica Minolta (Коника Минолта) (1, 1)
Shenzhen Chainway Information Technology (1, 1)
ГК ОТР (1, 1)
Другие (3, 3)
Индид, Indeed (ранее Indeed ID) (3, 8)
Avanpost (Аванпост) (1, 1)
Солар (ранее Ростелеком-Солар) (1, 1)
СэйфТек (SafeTech) (1, 1)
Другие (0, 0)
Индид, Indeed (ранее Indeed ID) (2, 9)
Shenzhen Chainway Information Technology (1, 6)
СэйфТек (SafeTech) (1, 4)
Аладдин Р.Д. (Aladdin R.D.) (4, 3)
IT-Lite (АйТи Лайт) (1, 1)
Другие (2, 2)
СэйфТек (SafeTech) (1, 3)
Shenzhen Chainway Information Technology (1, 2)
1IDM (АйТи Солюшнз) (1, 1)
Right line (Райт лайн) (1, 1)
VK (ранее Mail.ru Group) (1, 1)
Другие (7, 7)
Распределение систем по количеству проектов, не включая партнерские решения
Indeed Access Manager (Indeed AM) - 45
FalconGaze SecureTower - 38
3-D Secure (3D-Secure) - 23
PayControl - 23
Avanpost IDM Access System - 20
Другие 270
PayControl - 3
МегаФон Мобильный ID - 2
Multifactor Сервис многофакторной аутентификации - 1
JaCarta Authentication Server (JAS) - 1
Samsung Knox - 1
Другие 3
Indeed Access Manager (Indeed AM) - 6
Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
Indeed PAM - Indeed Privileged Access Manager - 2
Avanpost IDM Access System - 1
Solar webProxy Шлюз веб-безопасности - 1
Другие 1