Сегодня в программе:
- Методика разработки ОС РОСА.
- Широкий спектр функций и возможностей системы.
- Отличие ОС РОСА от других отечественных и зарубежных ОС.
- Организация защищенного удалённого доступа к корпоративной ИТ-инфраструктуре.
Поговорим о том, как мигрировать с иностранного ПО на российское с минимальными затратами, гарантировав безопасность и сохранность данных, а также совместимость с существующей ИТ-инфраструктурой.
Сегодня роль спикера будут выполнять Кадомский Вячеслав, директор по стратегическому развитию, Новоселов Михаил, инженер-разработчик и Бетхер Александр, инженер-программист.
В конце 2022 года, благодаря публикациям журналистов, сложилось такое мнение, что государство выбрало три ОС, и операционной системы РОСА не было среди них. Но мы, тем не менее, упорно продолжали совершенствовать операционные системы РОСА, делать эту систему лучше. И наши усилия увенчались успехом, нас заметили, и в последних публичных выступлениях представителя Минцифры объявили, что МинЦифры и государство видят теперь уже четыре основные ОС, среди которых появилось место для РОСЫ.
И сегодня мы бы хотели более подробно рассказать о том, что представляет собой система РОСА, что представляет собой компания РОСА. Потому что от того, кто делает ОС и другие программные продукты, как они делаются, зависит очень многое.
Итак, научно-технический центр информационных технологий ROSA (Russian Operation System and Applications). Так компанию назвали в 2010 году. И компания с самого начала фокусировалась на работе со свободным ПО, внося свой вклад в развитие сообщества. И более того, мы сформировали собственное сообщество ROSA, которое участвует в развитии нашей ОС. В общем наша миссия такова, что мы делаем то же, что делают и другие ведущие игроки на рынке open source продуктов. Мы обеспечиваем решения, построенные на базе open source технологий, стабильностью, производительностью и безопасностью, т.е. тем, что необходимо компаниям для того, чтобы строить эффективные безопасные инфраструктуры, и иметь то, что они привыкли иметь, покупая проприетарное ПО.
За 13 лет работы мы выстроили большую разветвленную партнерскую экосистему, выстроили работу техподдержки и проводим обучение в различных форматах. Техподдержку мы организовали таким образом, что в разных часовых поясах у нас находятся инженеры ТП, мы с легкостью оказываем техподдержку как стандартную, так и круглосуточную расширенную, и выдерживаем заявленные временные рамки. Пользователи получают портал техподдержки для общения со специалистами, электронную почту, и, при наличии расширенной техподдержки, есть возможность воспользоваться телефоном. При наличии техподдержки получаются обновления безопасности и переход на новые версии. И, если у заказчика имеется расширенная техподдержка, то переход происходит абсолютно бесплатно.
И мы выстроили партнерскую экосистему, которая включает в себя производителей оборудования, производителей ПО и системных интеграторов, которые как перепродают наши решения, так и занимаются их продвижением. Для нас процесс тестирования нашего ПО с оборудованием и различным прикладным ПО является процессом постоянным. Мы регулярно занимаемся тестированием новых версий наших продуктов и продуктов наших партнеров.
Одним из самых частых вопросов, которые нам задают на каждой встрече, является вопрос о том, кто является нашими клиентами. Мы продаем везде и всем, наше ПО не заточено под какое-то одно направление индустрии. Среди наших клиентов есть и государственные и коммерческие организации, компании с госучастием и без госучастия. Наше ПО используется и в сфере образования, и в науке. Нас можно увидеть как в небольших компаниях, так и в крупных, таких, как РосАтом.
Нашу деятельность в 2010 году мы начали с создания собственной среды разработки, которая называется ABF (Automatic Build Farm). Это среда, в которой происходи сборка ОС и других продуктов ROSA. И там же находится репозиторий. И все наше производство находится на территории России. Мы полностью автономны, мы в своем производственном процессе не остановимся. Репозиторий, который мы создали, имеет приличные размеры.
В июне 2023 года мы оказались на седьмом месте по размерам своего репозитория в мировом рейтинге. В России лишь две компании занимаются созданием и развитием собственного репозитория, ведут собственную независимую политику при создании операционных систем. Это компания ROSA и БазАльт.
Следующий аспект - это безопасность. Один из критериев, который мы постоянно держим в фокусе, это безопасность. Поскольку именно это прежде всего требуется российским заказчикам. У нас с 2018 года внедрена безопасная разработка и сейчас ФСТЭК занимается разработкой требования для всех российских разработчиков с тем, чтобы при производстве они использовали методику безопасной разработки. Мы у себя внедрили эту методологию еще в 2018 году, используем для выполнения всех этапов, это целый набор инструментариев как купленного у производителей средств защиты информации безопасности, так у нас есть собственные разработки. Это позволяет нам находить уязвимости, заниматься их закрытием и держать ОС в безопасном состоянии.
Из чего состоит наш портфель. У нас есть целое семейство операционных систем, большинство из них сделано на базе нашего репозитория. РОСА ХРОМ - это ОС гражданского применения, которая имеет 2 варианта реализации. Первый - то серверная. Второй вариант – РОСА БАРИЙ. Это ОС, которая выполнена в виде дистрибутива. И ROSA MOBILE - это ОС, которую мы делаем для смартфонов. И в конце года ожидается выход смартфонов с российской ОС, ROSA MOBILE. Есть у нас еще одна ОС. Она называется РОСА КОБАЛЬТ. И ее отличие состоит в том, что она бинарно совместима с RHEL.
Для того, чтобы управлять операционными системами в большом количестве, мы выпускаем продукт под названием «Центр управления». Еще у нас есть центр виртуализации и менеджер ресурсов. По-хорошему, наше решение по виртуализации состоит из двух модулей. ROSA Virtualization – это базовый уровень виртуализации. А менеджер ресурсов добавляет автоматизацию на уровне Operation, т.е. обслуживание виртуальной среды. И единое решение включает в себя два этих модуля.
Теперь более подробно о наших операционных системах расскажет Михаил Новоселов.
На слайде видно то, какие у нас существуют операционные системы. Наша компания для ОС развивает две ветки. Первая, что на слайде показана зеленым, это ОС на базе своего репозитория РОСА 2021.1. Пакетная база ROSA FRESH - это бесплатная версия. И корпоративный дистрибутив на этой же пакетной базе РОСА Хром. Пакетная база у них общая. В 2012 году был у нас появился дистрибутив MANRIVA, потом компания MANRIVA была куплена компанией РОСА и было принято решение прекратить разработку дистрибутива MANRIVA из-за финансовой несостоятельности французской компании. И то, что было MANRIVA, стало РОСА. И с тех пор развивается самостоятельно с участием сообщества MANRIVA. И мы развиваем дистрибутив Linux не как коммерческую поделку. Мы развиваем полноценный самостоятельный дистрибутив Linux, и на основе этой пакетной базы выпускаем уже коммерческий дистрибутив РОСА ХРОМ. Но при этом исходные коды РОСА ХРОМ остаются открытыми. И поэтому наши заказчики защищены. Итак, ХРОМ это самостоятельный дистрибутив, построенный на самостоятельной пакетной базе, которая общая у ХРОМ и FRESH.
Отдельно у нас идет ветка, которая на слайде показана синим цветом. Она бинарно совместима с RHEL. Сертифицированный РОСА КОБАЛЬТ уже есть, РОСА ХРОМ планируется сертифицировать к осени.
На этом слайде перечислены основные особенности РОСА ХРОМ 12.4. Дистрибутив в качестве графической оболочки используется наш дизайн, который выполнен так, чтобы при работе с ним была минимальная нагрузка на глаза. Фон не чисто белый, используются пастельные цвета. Эргономика выдержана такая, которая привычна для пользователей Windows. Как показывает практика, даже немолодые бывшие пользователиWindows легко осваиваются в этой системе. В качестве офисного пакета можно установить «Мой офис» R7. Можно настроить ленточный интерфейс. Можно отдельно включить верхнее меню. Т.о. многим пользователям будет еще привычнее.
Меня спросили, как будет развиваться КОБАЛЬТ, как линейка. КОБАЛЬТ, т.е. дистрибутив, основанный на совместимости с RHEL. Сейчас основное внимание уделяется ХРОМу, самостоятельному дистрибутиву. А КОБАЛЬТ скорее всего будем продолжать выпускать в серверном виде.
Свой домен в ХРОМ. Есть групповые политики. Домен у нас как бы не свой. Мы используем проверенные временем в свободной реализации домены. Вместо групповых политик мы рекомендуем использовать не виндовые инструменты, натянутые на Linux, а линуксовые инструменты, в том числе через наш новый центр управления. Использовать сервер ХРОМ или использовать какой-то внешний сервер. Любая групповая политика позволяет делать не всё. Когда вы работаете через родные средства Linux, вы можете сделать всё. Но там возникает проблема, что для части действий нужно либо какие-то свои «искры» написать, либо еще что-то сделать. Поэтому мы работаем над готовым решением, которое условно можно назвать групповой политикой.
Важно отметить то, что мы когда делаем свой дистрибутив, не копируем чужие технические решения, мы делаем сами так, как мы считаем нужным исходя из потребностей заказчика. И у нас не возникает необходимости смиряться с чужими решениями, которые нам не очень подходят, мы сразу делаем так, как нам нужно.
Я уже показал на примере РОСА ХРОМ, что пользовательские приложения у нас регулярно обновляются. Поддерживается автоматизированное развертывание, в том числе по специальным сценариям.
На этом слайде показана РОСА КОБАЛЬТ 7.9. Он тоже поддерживает автоматизированное развертывание. Эта ОС нацелена на совместимость с CentOS.
Этот КОБАЛЬТ уже сертифицирован.
На базе наших серверных решений можно много чего сделать. Например, кластер высокой доступности. Отдельно отмечу то, что серверный дистрибутив ХРОМ - это минималистичный образ, в котором ставится минималистичная ОС. Там, допустим, сеть работает. Все остальное нужное вставляется уже по мере необходимости для репозитория. Это делает систему легковесной и удобной для самых разных применений как на железе, так и в виртуализации, в облаках и пр.
Также у нас есть отдельное решение РОСА БАРИЙ, которое построено на той же пакетной базе, что и ХРОМ. Это специальный дистрибутив для либо работы с флэшки, либо для массового развертывания однотипных дистрибутивов, например, о загрузки по сети. О это подробнее расскажет его разработчик Александр Бетхер.
РОСА БАРИЙ – это еще один дистрибутив линейки продуктов РОСА, собранных на базе платформы РОСА-2021.1. Т.е. это та же платформа, на которой собирается РОСА ХРОМ и ROSA FRESH. При этом БАРИЙ кардинально отличается архитектурно. БАРИЙ - это модульная ОС, что делает его ближе к лайт-сборке, чем к обычному дистрибутиву. И та и другая характеристики достаточно точно определяют, что это за система. Это отличие обусловлено тем, что дистрибутив предназначен в первую очередь для загрузки с внешнего носителя. В настоящий момент БАРИЙ собирается в двух редакциях. Первая – это ознакомительная версия для установки на обычную флэшку. И вторая версия - для установки на токен.
В разработке находится некоторое количество кастомных сборок Бария по техническому заданию заказчика. Там будет собственный набор ПО и собственные настройки. Сегодня мы будем говорить именно о "Барии", установленном на токен.
Такой дистрибутив предназначен в первую очередь для организации безопасно-удаленного доступа сотрудников к своим рабочим местам или VDI. Задачу обеспечения безопасно-удаленного доступа можно условно разделить на 2 части: серверную и клиентскую. Если с серверной частью все более или менее понятно, то со стороны клиента у пользователей неразбериха: машины разные, операционные системы разные, вирусы, отсутствие обновлений и т.п. Организовать надежный доступ в такой ситуации достаточно сложно, а о безопасности такого подключения говорить вообще нет смысла.
«Барий» на токене - это операционная система, которую пользователь носит с собой и использует из дома, в командировке, где по понятным причинам рядом с ним нет системного администратора. Поэтому особое внимание уделено безопасности и надежности ОС. Безопасность обеспечивается следующим образом:
1) шифрование файлов пользователя, настроек, дополнительного ПО и вообще всех изменений, сделанных в системе. Т.е. сама система не шифруется, но, если создать новый специальный системный файл, то эти изменения будут шифроваться.
2) Логин пользователя в системе осуществляется по пин-коду токена. Т.е. можно говорить о том, что логин имеет аппаратную защиту. Также возможна двухфакторная аутентификация, когда нужно будет вводить как пин-код, так и пароль пользователя. Т.о., даже утеря носителя с ОС с высокой вероятностью не приведет к компрометации данных. Впрочем, продолжать использовать токен после того, как он побывал в чужих руках, уже не стоит. Следует всё отформатировать заново.
Что сделано для надежности? Первое – это отложенная запись. Она существенно увеличивает срок службы носителя. Обычно операционные системы, тот же «Хром», постоянно пишут какие-то файлы, например, логик, кеш или конфиги и прочее. Эта постоянная запись резко отрицательно сказывается на сроке жизни флэш-памяти. Для «Бария» эта проблема решена. Системные изменения записываются на диск только при выключении и перезагрузке. Домашний каталог пользователя можно дополнительно сохранять вручную, нажав иконку на рабочем столе, или автоматически с интервалом, который специально задается в месте, где собрано управление особенностями ОС «Бария».
Кроме того, атомарное обновление с переключением версий. "Барий", в отличие от своих собратьев "Хром" и FRESH, не может обновлять пакеты по одному, как это делается в обычных дистрибутивах. Пакеты в «Барии» установлены в модуле. А модуль – это архив, его невозможно изменить, его можно только создать заново. Поэтому "Барий" обновляется синхронизацией копий операционной системы с обновленной версией на сервере. Т.е. даже при ошибках, привнесенных неудачным обновлением, у пользователя всегда есть возможность загрузить версию ОС в виде, в котором она была до обновления.
И третье по надежности. Системный раздел ОС монтируется в режиме Read Only. А при работе в режиме Terminal, носитель и вовсе отмонтирован. Поэтому случайно сломать ОС не так и просто.
Режимы загрузки. На самом деле режимов загрузки не два, а четыре. Поговорим о двух основных. Первый режим работы у нас называется Terminal. Это режим загрузки, где пользователю недоступны никакие программы, кроме клиентов, для подключения к удаленному рабочему столу. Т.е. сразу, как только вы выбираете режим загрузки Terminal, загрузка доходит до клиента, и никакие другие приложения пользователь загрузить не может.
Второй режим работы - это рабочая станция. При загрузке в рабочую станцию пользователь получает обычную универсальную безопасную операционную систему, которая отличается лишь тем, что пользователь носит ее с собой в кармане, а не таскает с собой компьютер. Там есть офис, браузер, почта и т.п. Учитывая то, что у "Бария" полная совместимость по soft с "Хром" и FRESH, все то, что можно запустить в них, будет прекрасно работать и в "Барии".
"Барий" - это токен, у которого есть встроенная Flash память, и в эту память установлена ОС. Операционная система собрана модульно, что делает ее более подходящей для такой загрузки с внешнего носителя. Итак, мы имеем токен, Flash накопитель, его мы можем продолжать использовать как флэшку, плюс полнофункциональная ОС и преднастроенные тонкие клиенты. Все это в одном физическом устройстве карманного масштаба.