Мероприятие OCS и НТЦ ИТ РОСА, российского разработчика системного и инфраструктурного ПО. Здесь поговорим про набор сервисов, необходимый для централизованного управления ИТ-инфраструктурой, куда вошли подсистема службы каталогов Dynamic Directory и РОСА Центр управления, которая решает задачи по управлению конфигурациями ПК и обновлению и распространению ПО.

Сегодня в программе:

Начал свое выступление Николай Довженко, технический консультант по поддержке продаж решений, НТЦ ИТ РОСА, с того, что предложил поговорить о централизованном управлении решениями НТЦ ИТ РОСА. Компания РОСА занимается созданием и разработкой инфраструктурного и системного программного обеспечения, чтобы компании могли выстраивать эффективную инфраструктуру.

На рынке мы представлены с 2010 года и имеем достаточно глубокую компетенцию для закрытия потребностей в IT-продуктах компании. Начнем с нашего продуктового портфеля. Он состоит из следующих операционных систем: РОСА Хром, РОСА Барий, РОСА Кобальт и РОСА Мобайл. Также платформа централизованного управления операционными системами и доступом. Это «РОСА Центр управления» и Dynamic Directory. Также в портфеле имеется среда виртуализации RОSA Virtualization и система управления гибридной и виртуальной средой это «Менеджер ресурсов».

На вышеприведенном слайде мы можем видеть, какие зарубежные продукты мы замещаем. Это и операционные системы, и системы виртуализации, и системы централизованного управления IT-инфраструктурой компании. Так как сегодня мы будем говорить о централизованном управлении, тогда пара слов о том, какие же цели и задачи покрывает централизованное управление.

Реализуемость с помощью централизованного управления – это поддержка непрерывности бизнеса. Почему это важно? Потому что любой даже малейший простой компании – это финансовые и репутационные потери. В идеале, конечно, нужно сократить данные издержки до минимума. А далее следует повышение эффективности. То есть здесь нам поможет и мониторинг, и отчетность для более эффективного использования ресурсов. Далее, конечно же, это улучшение качества обслуживания. То есть на основе всевозможных метрик о состоянии IT-систем и конечных ARMов внутри компании и их состояния. Далее, это поддержка масштабируемости. То есть, любая IT-инфраструктура, чтобы быть эффективной, должна уметь быстро и эффективно масштабироваться под задачи растущего бизнеса.

Какие ещё стоят цели и задачи? Это улучшение управления обновлениями. Если у нас в компании имеются интенсивные рабочие места и они не вовремя обновляются, то это бреши безопасности, это недоступность всевозможных обновлённых функций и соответственно это снижает эффективность работы сотрудников за конечными устройствами. Также оптимизация затрат на IT-инфраструктуру, это высокий уровень реагирования на всевозможные случившиеся инциденты и их предотвращение.

На данном слайде можем оценить какие продукты нашей компании замещают какие зарубежные продукты. Dynamic Directory – это отечественная система управления службой каталогов, она замещает Microsoft Active Directory, которым еще очень многие компании пользуются на данный момент, они привыкли к удобствам, которыми данный продукт обладает. Также «РОСА Центр управления», эта платформа больше подходит для управления конечными ARM-ми. Она позволяет управлять конфигурированием как ARM-ов, так и операционных систем на них. И также помогает управлять распространением программного обеспечения и его обновлением. Наша система основана на свободном open sourse программном обеспечении. И наши продукты адаптированы для использования российскими заказчиками на российском рынке.

На этом слайде мы остановимся подробнее, потому достаточно часто я встречаю такое возражение, что мы можем сами собрать похожее решение на основе свободного ПО совершенно бесплатно. Да, собрать похожее ПО можно, но, во-первых, оно не пройдет сертификацию ФСТЭК, оно не будет находиться в Реестре, плюс оно будет небезопасным, потому что, чтобы пройти все эти мероприятия, нужно затратить очень много человеко-ресурсов и очень много финансов. Это в плане законодательства. Теперь в плане техническом. Наши разработчики постоянно проверяют код и приложения, и пакеты каждого приложения на всевозможные вредоносы, уязвимости и закладки. Чтобы проделать такие же манипуляции со всем кодом свободного ПО, необходимо затратить очень много ресурсов. И если посчитать все вот эти затраты, то приобрести готовое решение намного выгоднее, нежели создавать его с нуля.

Систем управления службой каталогов: DynamicDirectory

Система управления службы каталогов нужна для управления доступами внутри большой компании. То есть это разделение по отделам, это разделение доступа к принтерам, к камерам и другой оргтехнике.

Кому же нужна система управления службы каталогов? Во-первых, это нужно IT-специалистам. Потому что эта система управления, управление доступом, она позволяет создать единый IT-каталог, который содержит ключевую информацию о ресурсах компании, таких как параметры компьютера, параметры принтеров, для каких отделов компьютеры либо принтеры предназначены, и соответственно в какую структуру входят.

Все осуществляется подконтрольно, централизовано и распределено по всем отделам. Настройка автоматизации правил доступа и совместной работы. То есть тут мы уже говорим о политике доступа. Мы централизованно можем задать необходимые правила доступа через нашу систему, а также через единое хранилище документов. Практически повсеместно, в компании имеется какое-то общее внутреннее облако и соответственно оно разделено папками по отделам. И каждый отдел, которому не принадлежит данная папка, не должен иметь возможность использовать эту папку или как-то использовать документы из папки того отдела, к которому он не принадлежит. Вот также мы централизованы с помощью DynamicDirectory, с помощью контроля доступа можем управлять данными направлениями безопасности.

Также система управления службы каталогов и доступом она необходима для IT-руководителей. С помощью службы каталогов руководители смогут отслеживать в едином пространстве все АРМы, их состояние и, соответственно, доступ к ресурсам компании. Второй момент, это экономия времени на поиск необходимых объектов в локальной сети. То есть как раз, когда у нас все разделено по папкам, по отделам, по доступам, то искать, все это и распределять доступ намного проще, чем если бы это все было бы в общей папке. Во-первых, поиск займет слишком много времени. Во-вторых, каждый сотрудник сможет воспользоваться каждым файлом и документом, что абсолютно небезопасно и неэффективно.

Несвоевременное обновление компьютера - это брешь безопасности и не дополучение каких-то новых функций именно на конечных АРМах. С помощью DynamicDirectory мы также можем задать политики обновления конечных АРМов и более эффективно использовать ресурсы компании.

Использование документов на любом ПК. Благодаря службе каталогов при создании учетной записи мы можем войти в нее, авторизоваться на совершенно любом АРМе внутри компании.

Если у нас пользователи работают посменно, то можно на одном ПК использовать две учетные записи и право доступа совершенно спокойно настраивается в режиме единого окна.

Какие преимущества системы управления службы каталога DynamicDirectory нам дает? Во-первых, функционал DynamicDirectory максимально аналогичен Microsoft Active Directory. Визуальный интерфейс также максимально приближен к интерфейсу Microsoft Active Directory. Это сделано для того, чтобы администраторы, которые ранее работали с Active Directory, могли быстро и с меньшими затратами перейти на использование Dynamic Directory. Также у нашего продукта имеется возможность независимого использования отдельных подсистем Dynamic Directory и расширенного IP-интерфейса для добавления всевозможных дополнительных служб, таких как, допустим, дополнительный мониторинг. И что еще важно, то что все сервисы разработаны на базе российского ПО. Что тоже будет невозможным при создании аналогичного похожего продукта из каких-то Open Source проектов.

Далее мы сравним Open Source проект с системой DynamicDirectory. Если мы возьмём FreeIPA из коробки, то она не имеет поддержки иерархической структуры организационных единиц. То есть, как раз, это та структура, к которой мы все привыкли в Active Directory. Из коробки FreeIPA её нет. У нас в Dynamic Directory данная функция имеется. Также важно - это поддержка делегирования прав внутри иерархической структуры организационных единиц. И данная функция дает более гибкий функционал по передаче прав внутри организационной структуры компании, что значительно сокращает время. Также поддержка запретительной модели доступа, так как не было поддержки иерархии, то и поддержка запретительной модели доступа в FreeIPA также не реализуема. У нас данный функционал имеется. Далее, это поддержка управления DHCP-сервером с помощью web-интерфейса, что соответственно повышает простоту использования. Поддержка расширенных атрибутов, а также общих принтеров и папок. Данный функционал повышает процент безопасности взаимодействия внутри компании, потому что разграничивает доступ. И поддержка управления аналогами групповых политик. И также важный функционал – это поддержка применения аналогов групповых политик на конечном устройстве. То есть перед тем, как применить политику доступа администратор может её проверить, не затрагивая реальную инфраструктуру.

Основноеотличие Dynamic Directory от Microsoft Active Directory

Основное, это то, что поддержка лесов на данный момент ни у одного из вендоров еще не реализована. У нас поддержка данной функции по дорожной карте планируется в конце 2024 года. Тогда данная функция будет реализована. Это аутентификация в домене у нас возможна только протокола Kerberos. Потому что даже NTLM в рамках среды Linux признан небезопасным. ФСТЭК высказалось по поводу использования NTLM, что данный протокол желательно не использовать, так как он небезопасный.

Уникальные функции Dynamic Directory

Тут был вопрос про поддержку операционных систем. Да, мы можем работать со всеми отечественными операционными системами прямо из коробки.

То есть это РОСА, Astro Linux, РЭД ОС и это Alt Linux. Возможность делегирования прав на основе организованных единиц. Также - это возможность делегирования прав. То есть в нашей системе управления службой каталогов имеется возможность делегирования прав от одного сотрудника к другому и так далее. Администратор может передать права следующему пользователю, а следующие пользователи в рамках своих полномочий, которые у них есть, могут передать права следующему пользователю, и администратору не надо будет вручную каждый раз 10 тысячам пользователей передавать права.

Также количество параметров групповых политик на данный момент в комплект поставки у нас около 1500 и данное значение растет, политики также дорабатываются.

Здесь мы можем более подробно посмотреть нашу дорожную карту в развитии Dynamic Directory. Возьмем третий квартал. Это управление сервисами DHCP из графического интерфейса и также из интерфейса консоли. Также про двухсторонние доверительные отношения, это планируется на 3-4 квартал 2024 года. И еще планируется добавление поддержки системы оркестрации SoltStack.

Про наш опыт внедрения: вы можете видеть достаточно масштабные цифры на слайде. Даже в проекте РЖД - это 16 ЦОДов, один головной ЦОД, примерно 100 серверов и 34 сервера службы каталогов. Это достаточно много. По пользователям данной инсталляции нами было не то, что развернуто с нуля, то есть развернуть с нуля достаточно легко. Нами было мигрировано более 10 тысяч пользователей, и соответственно вся инсталляция, которая была организована, она также функционирует и по сей день.

Также у нас был реализован достаточно масштабный проект в МИФИ, это замещение Microsoft Active Directory. И соответственно данный проект тоже функционирует по сей день и замечаний не вызывает.

РОСА Центр управления

РОСА Центр управления - это платформа централизованного управления АРМами, операционными системами и также частным облаком внутри компании. РОСА Центр управления - это единая платформа управления жизненным циклом операционных систем и ПО на них.

Какой функционал имеет РОСА Центр управления? Это развертывание операционных систем и приложений физической, виртуальной и в частных облаках соответственно. Управление обновлением и конфигурированием ПО на ARMах, управление контентом, то есть обновление приложений, пакетов и так далее. Мониторинг и отчетность по состояниям систем, как железных, так и виртуальных, когда нам нужно инсталлировать всевозможные пакеты, также состояние заполненности, допустим, тех же дисков системы. Еще функционал – варианты обслуживания. То есть тут мы можем в автоматизированном режиме задать варианты обновления АРМов, обновления отдельных пакетов, интеграции с внешними системами.

Так же как и в Dynamic Directory, в РОСА Центр управления, у нас открытый API, который вы можете добавлять и интегрировать в свои системы, допустим, мониторинга. Графический интерфейс РОСА Центр управления представляет из себя достаточно простой и интуитивно понятный пользовательский интерфейс, на который также по обратной связи от наших партнеров достаточно быстро перестраиваются администраторы компаний.

В графическом интерфейсе у нас представлено единое окно для управления инфраструктурой и мониторингом. Все плашки, которые представлены на исходной вкладке, администратор может перемещать, замещать, также добавлять какие-то новые, именно под удобство использования. Также в графическом интерфейсе имеется возможность оперативной осведомлённости событий в режиме реального времени, что также повышает эффективность использования. Также разнообразные факты о состоянии ARMов, то есть программного обеспечения, аппаратного обеспечения, также операционных систем и приложений.

Отчетность, в свою очередь, позволяет своевременно реагировать на инциденты внутри инфраструктуры. Также РОСА Центр управления позволяет управлять репозиториями. Это актуально для предприятий с закрытым контуром, где нет выхода в Интернет. Репозиторий является единым местом хранения ПО в компании с закрытым контуром. В итоге это достаточно сильно снижает риск случайного удаления или изменения файлов администратором либо пользователями. Также помогает управлять версиями внутри локального репозитория, потому что в глобальном репозитории версия ПО может измениться, но она по каким-то причинам не применима в текущей инфраструктуре. Так вот администратор может управлять данной функцией и на локальном репозитории оставлять именно ту версию, которая необходима для использования внутри компании. Также управление контентом позволяет унифицировать и стандартизировать процесс обновления, то есть все АРМы компании будут получать одинаковую версию ПО.

Есть и такой функционал – автоматизация развертывания. В данном случае такое развертывание помогает сократить время и уменьшить человеческий фактор на предмет возникновения ошибок.

РОСА Центр управления помогает разворачивать системы на аппаратных и виртуальных частных облаках, управлять системами, которые не развернуты в РОСА Центр управления. То есть, если у вас в компании есть ПК АРМы, на которых, допустим, установлен РЭД ОС, то через вкладку «Поиска», соответственно, РОСА Центр управления обнаруживает данные АРМы, при этом администратор может добавить не добавленные АРМы в систему и также управлять ими. Также возможна автоматизация с использованием ролей Ansible и манифестов Puppet.

Управление обновлениями позволяет создать списки систем, для которых требуется обновление. То есть в автоматизированном режиме администратор может отслеживать системы и получать уведомления о тех из них, которые следует обновить, чтобы закрыть бреши уязвимости и добавить обновленный функционал. Возможна группировка хостов по различным признакам, то есть группировка хостов именно конечных АРМов, либо по отделам для удобства администрирования, либо возможна группировка по каким-то критериям памяти, по состоянию процессоров, по количеству оперативной памяти и так далее. То есть критериев и возможностей очень много. Быстрая реакция на необходимость обновления системы, чтобы держать её всегда в актуальном состоянии.

Архитектура Центра управления состоит из главного центра управления и также подчиненных. То есть главный центр управления в основном занимается сертификацией, а соответственно подчиненные серверы занимаются управлением конечных устройств. Также есть возможность управления локальными репозиториями для минимизации всевозможных путаниц с версионностью для закрытых контуров компаний.

Про развертывание конечных АРМов. Система РОСА Центра управления умеет обнаруживать компьютеры, даже если они не подключены были ранее в РОСА Центр управления. Это позволяет загружать на АРМы по PXE операционные системы и это соответственно дает возможность управлять данными системами централизованно.

Сейчас не все пользуются Linux, соответственно надо упростить переход с других операционных систем на отечественные безопасные ОС. Так вот, мигрировать на отечественные операционные системы РОСА Центр управления также позволяет.

Центр управления собирает данные о пользователях и сохраняет их на сервере. Далее производится установка также централизованно российской операционной системы, затем идет профилирование ARM, то есть добавляются всевозможные приложения в момент установки, чтобы администратор вручную не устанавливал всевозможные приложения и службы уже после установки ОС, что значительно сокращает время работы администратора и время развертывания и настраивания операционной системы под конкретные задачи сотрудника. И далее уже идет также автоматизированное восстановление данных пользователя на конечном устройстве.

Дорожная карта РОСА Центру управления на 2024 год. На третий квартал у нас планируется добавление в канал контроля версий, расширение возможности управления конечными АРМами, контроль и анализ состояния поведения объекта или процесса в операционной системе для более гибкого отслеживания именно действий пользователя и систем и для повышения безопасности. Интеграция с мониторингом аппаратной инфраструктуры, то есть для более гибкого отслеживания именно физического состояния компьютеров. Портирование функций управления, расширение возможностей мониторинга статуса и управления правилами реакции на события. Тут уже в полуавтоматическом режиме система сможет реагировать на всевозможные инциденты. И, само собой, расширение количества поддерживаемых систем для контроля и анализа состояния самой системы.

Немного подсчетов по обратной связи от наших клиентов, то есть эффекта от внедрения централизованного управления: незапланированные простои сокращаются на 75% благодаря тому, что меньше возникает ошибок человеческого фактора, простоев из-за того, что программное обеспечение вовремя не было обновлено или из-за того, что какого-то ПО конкретно у сотрудника не хватает на ПК и приходится вручную его устанавливать. Производительность IT-отдела возрастает на 30%, благодаря тому, что IT-специалистам не приходится вручную администрировать АРМы. Все это делается централизованно в режиме одного окна. Развертывание новых операционных систем также возрастает на 70%, благодаря тому, что это проходит также централизованно и все дополнительные конфигурирования, то есть это всевозможные службы, всевозможные приложения, имеется возможность установить все данные приложения в момент установки операционной системы. Операционные затраты компании уменьшаются на 28%. На 75% не запланированные простои меньше в сравнении с отсутствием централизованного управления. То есть тут мы больше говорим про управление конечными АРМами, а не про управление службы каталогов. Также если мы говорим о разрезе службы каталогов, то тут у нас простой на 75% меньше, благодаря тому, что при отсутствии системы службы каталогов, мы имеем очень большой склад файлов компании, к которым имеет доступ каждый сотрудник. То есть тут у нас нет никакой структуры и чтобы воспользоваться всевозможными документами и файлами нужно потратить достаточно много времени. Когда у нас это структурировано, то соответственно времени уйдет намного меньше и простои в связи с поиском нужной информации, нужного файла достаточно сильно сокращаются.