ROSA Centro de Control y Dynamic Directory: gestión centralizada de la infraestructura

Hoy en el programa:

Nikolái Dovzhenko, consultor técnico de soporte de ventas de soluciones, NTC IT ROSA, comenzó su presentación proponiendo hablar sobre la gestión centralizada de las soluciones de NTC IT ROSA. La empresa ROSA se dedica a la creación y el desarrollo de software de infraestructura y sistemas para que las empresas puedan construir una infraestructura eficaz.

Estamos presentes en el mercado desde 2010 y tenemos una competencia suficientemente profunda para cubrir las necesidades de productos de TI de la empresa. Comencemos con nuestra cartera de productos. Se compone de los siguientes sistemas operativos: ROSA Хром, ROSA Барий, ROSA Кобальт y ROSA Мобайл. También la plataforma de gestión centralizada de sistemas operativos y acceso. Se trata de «ROSA Centro de Control» y Dynamic Directory. También en la cartera se encuentra el entorno de virtualización RОSA Virtualization y el sistema de gestión de entornos híbridos y virtuales, que es el «Administrador de recursos».

En la diapositiva anterior podemos ver qué productos extranjeros estamos reemplazando. Se trata tanto de sistemas operativos como de sistemas de virtualización y sistemas de gestión centralizada de la infraestructura de TI de la empresa. Dado que hoy vamos a hablar de la gestión centralizada, entonces unas palabras sobre qué objetivos y tareas cubre la gestión centralizada.

La viabilidad con la ayuda de la gestión centralizada es el soporte de la continuidad del negocio. ¿Por qué es esto importante? Porque cualquier, incluso la más mínima inactividad de la empresa, supone pérdidas financieras y de reputación. Idealmente, por supuesto, es necesario reducir estos costes al mínimo. Y luego sigue el aumento de la eficiencia. Es decir, aquí nos ayudará tanto la monitorización como la elaboración de informes para un uso más eficaz de los recursos. A continuación, por supuesto, está la mejora de la calidad del servicio. Es decir, sobre la base de todo tipo de métricas sobre el estado de los sistemas de TI y los ARM finales dentro de la empresa y su estado. A continuación, está el soporte de la escalabilidad. Es decir, cualquier infraestructura de TI, para ser eficaz, debe ser capaz de escalar rápida y eficazmente para las tareas de un negocio en crecimiento.

¿Qué otros objetivos y tareas hay? Es la mejora de la gestión de las actualizaciones. Si tenemos puestos de trabajo intensivos en nuestra empresa y no se actualizan a tiempo, esto supone brechas de seguridad, la no disponibilidad de todo tipo de funciones actualizadas y, en consecuencia, reduce la eficiencia del trabajo de los empleados en los dispositivos finales. También la optimización de los costes de la infraestructura de TI, es un alto nivel de respuesta a todo tipo de incidentes ocurridos y su prevención.

En esta diapositiva podemos evaluar qué productos de nuestra empresa reemplazan a qué productos extranjeros. Dynamic Directory es un sistema nacional de gestión del servicio de directorio, reemplaza a Microsoft Active Directory, que todavía utilizan muchas empresas en este momento, están acostumbradas a las comodidades que ofrece este producto. También «ROSA Centro de Control», esta plataforma es más adecuada para la gestión de los ARM finales. Permite gestionar la configuración tanto de los ARM como de los sistemas operativos en ellos. Y también ayuda a gestionar la distribución de software y su actualización. Nuestro sistema se basa en software de código abierto libre. Y nuestros productos están adaptados para su uso por clientes rusos en el mercado ruso.

Nos detendremos en esta diapositiva con más detalle, porque con bastante frecuencia me encuentro con la objeción de que podemos crear nosotros mismos una solución similar basada en software libre de forma totalmente gratuita. Sí, se puede crear un software similar, pero, en primer lugar, no pasará la certificación FSTEC, no estará en el Registro, además será inseguro, porque para pasar todos estos eventos, es necesario gastar muchos recursos humanos y muchas finanzas. Esto en términos de legislación. Ahora en términos técnicos. Nuestros desarrolladores comprueban constantemente el código y las aplicaciones, y los paquetes de cada aplicación en busca de todo tipo de malware, vulnerabilidades y marcadores. Para realizar las mismas manipulaciones con todo el código de software libre, es necesario gastar muchos recursos. Y si se calculan todos estos costes, es mucho más rentable adquirir una solución ya hecha que crearla desde cero.

Sistema de gestión del servicio de directorio: Dynamic Directory

El sistema de gestión del servicio de directorio es necesario para gestionar los accesos dentro de una gran empresa. Es decir, es la división por departamentos, es la división del acceso a las impresoras, a las cámaras y a otro equipo de oficina.

¿Quién necesita un sistema de gestión del servicio de directorio? En primer lugar, lo necesitan los especialistas en TI. Porque este sistema de gestión, la gestión del acceso, permite crear un catálogo de TI único que contiene información clave sobre los recursos de la empresa, como los parámetros del ordenador, los parámetros de las impresoras, para qué departamentos están destinados los ordenadores o las impresoras y, en consecuencia, en qué estructura entran.

Todo se lleva a cabo de forma controlada, centralizada y distribuida por todos los departamentos. Configuración de la automatización de las reglas de acceso y el trabajo conjunto. Es decir, aquí ya estamos hablando de la política de acceso. Podemos establecer de forma centralizada las reglas de acceso necesarias a través de nuestro sistema, así como a través de un único repositorio de documentos. Prácticamente en todas partes, en la empresa hay alguna nube interna común y, en consecuencia, está dividida en carpetas por departamentos. Y cada departamento al que no pertenece esta carpeta no debe tener la posibilidad de utilizar esta carpeta o de utilizar de alguna manera los documentos de la carpeta del departamento al que no pertenece. Así también estamos centralizados con la ayuda de Dynamic Directory, con la ayuda del control de acceso podemos gestionar estas direcciones de seguridad.

También el sistema de gestión del servicio de directorio y acceso es necesario para los responsables de TI. Con la ayuda del servicio de directorio, los responsables podrán realizar un seguimiento en un espacio único de todos los ARM, su estado y, en consecuencia, el acceso a los recursos de la empresa. El segundo punto es el ahorro de tiempo en la búsqueda de los objetos necesarios en la red local. Es decir, precisamente cuando tenemos todo dividido por carpetas, por departamentos, por accesos, entonces buscar, todo esto y distribuir el acceso es mucho más fácil que si todo estuviera en una carpeta común. En primer lugar, la búsqueda llevará demasiado tiempo. En segundo lugar, cada empleado podrá utilizar cada archivo y documento, lo que es absolutamente inseguro e ineficaz.

La actualización intempestiva del ordenador es una brecha de seguridad y la no recepción de algunas funciones nuevas precisamente en los ARM finales. Con la ayuda de Dynamic Directory también podemos establecer políticas de actualización de los ARM finales y utilizar de forma más eficaz los recursos de la empresa.

Uso de documentos en cualquier PC. Gracias al servicio de directorio, al crear una cuenta podemos entrar en ella, autorizarnos en absolutamente cualquier ARM dentro de la empresa.

Si nuestros usuarios trabajan por turnos, entonces se pueden utilizar dos cuentas en un mismo PC y el derecho de acceso se configura de forma totalmente tranquila en modo de ventana única.

¿Qué ventajas nos ofrece el sistema de gestión del servicio de directorio Dynamic Directory? En primer lugar, la funcionalidad de Dynamic Directory es lo más análoga posible a Microsoft Active Directory. La interfaz visual también es lo más cercana posible a la interfaz de Microsoft Active Directory. Esto se hace para que los administradores que antes trabajaban con Active Directory puedan pasar rápida y económicamente al uso de Dynamic Directory. Además, nuestro producto tiene la posibilidad de utilizar de forma independiente subsistemas individuales de Dynamic Directory y una interfaz IP ampliada para añadir todo tipo de servicios adicionales, como, por ejemplo, una monitorización adicional. Y lo que es aún más importante, es que todos los servicios están desarrollados sobre la base de software ruso. Lo que también será imposible al crear un producto similar análogo a partir de algunos proyectos de código abierto.

A continuación, compararemos un proyecto de código abierto con el sistema Dynamic Directory. Si tomamos FreeIPA tal como viene, no tiene soporte para una estructura jerárquica de unidades organizativas. Es decir, precisamente la estructura a la que todos estamos acostumbrados en Active Directory. FreeIPA no la tiene de fábrica. En Dynamic Directory, esta función sí está disponible. También es importante el soporte para la delegación de derechos dentro de la estructura jerárquica de unidades organizativas. Esta función ofrece una funcionalidad más flexible para la transferencia de derechos dentro de la estructura organizativa de la empresa, lo que reduce significativamente el tiempo. También se incluye el soporte para un modelo de acceso restrictivo, ya que, al no haber soporte para la jerarquía, el soporte para un modelo de acceso restrictivo en FreeIPA tampoco es posible. Nosotros sí tenemos esta funcionalidad. Además, se incluye el soporte para la gestión del servidor DHCP a través de una interfaz web, lo que aumenta la facilidad de uso. Soporte para atributos extendidos, así como para impresoras y carpetas compartidas. Esta funcionalidad aumenta el porcentaje de seguridad de la interacción dentro de la empresa, ya que restringe el acceso. Y soporte para la gestión de análogos de políticas de grupo. Y también una función importante: el soporte para la aplicación de análogos de políticas de grupo en el dispositivo final. Es decir, antes de aplicar una política de acceso, el administrador puede comprobarla sin afectar a la infraestructura real.

Diferencia principal de Dynamic Directory con Microsoft Active Directory

La principal es que el soporte para bosques aún no está implementado por ninguno de los proveedores. En nuestra hoja de ruta, el soporte para esta función está previsto para finales de 2024. Entonces se implementará esta función. La autenticación en el dominio solo es posible con el protocolo Kerberos. Esto se debe a que incluso NTLM se considera inseguro en el entorno Linux. FSTEC ha expresado su opinión sobre el uso de NTLM, indicando que es preferible no utilizar este protocolo, ya que no es seguro.

Funciones únicas de Dynamic Directory

Aquí había una pregunta sobre el soporte de sistemas operativos. Sí, podemos trabajar con todos los sistemas operativos nacionales directamente.

Es decir, РОСА, Astro Linux, РЭД ОС y Alt Linux. Posibilidad de delegar derechos basados en unidades organizativas. También es la posibilidad de delegar derechos. Es decir, en nuestro sistema de gestión de servicios de directorio existe la posibilidad de delegar derechos de un empleado a otro, y así sucesivamente. El administrador puede transferir los derechos al siguiente usuario, y los siguientes usuarios, dentro de sus poderes, pueden transferir los derechos al siguiente usuario, y el administrador no tendrá que transferir manualmente los derechos a 10.000 usuarios cada vez.

Además, el número de parámetros de las políticas de grupo en el paquete de entrega actual es de aproximadamente 1500 y este valor está aumentando, las políticas también se están mejorando.

Aquí podemos ver con más detalle nuestra hoja de ruta en el desarrollo de Dynamic Directory. Tomemos el tercer trimestre. Se trata de la gestión de los servicios DHCP desde la interfaz gráfica y también desde la interfaz de la consola. También, las relaciones de confianza bidireccionales están previstas para el tercer y cuarto trimestre de 2024. Y también está previsto añadir soporte para el sistema de orquestación SoltStack.

Sobre nuestra experiencia de implementación: pueden ver cifras bastante grandes en la diapositiva. Incluso en el proyecto de Ferrocarriles Rusos, hay 16 CPD, un CPD principal, aproximadamente 100 servidores y 34 servidores de servicios de directorio. Esto es bastante. En cuanto a los usuarios de esta instalación, no fue que se desplegó desde cero, es decir, desplegar desde cero es bastante fácil. Hemos migrado a más de 10.000 usuarios, y en consecuencia toda la instalación que se organizó también funciona hasta el día de hoy.

También hemos implementado un proyecto bastante grande en MEPhI, que es la sustitución de Microsoft Active Directory. Y, en consecuencia, este proyecto también funciona hasta el día de hoy y no causa ninguna objeción.

Centro de control ROSA

El Centro de control ROSA es una plataforma para la gestión centralizada de puestos de trabajo automatizados, sistemas operativos y también una nube privada dentro de la empresa. El Centro de control ROSA es una plataforma única para la gestión del ciclo de vida de los sistemas operativos y el software en ellos.

¿Qué funcionalidad tiene el Centro de control ROSA? Es el despliegue de sistemas operativos y aplicaciones en nubes físicas, virtuales y privadas, respectivamente. Gestión de la actualización y configuración del software en los ARM, gestión de contenidos, es decir, actualización de aplicaciones, paquetes, etc. Supervisión e informes sobre el estado de los sistemas, tanto de hardware como virtuales, cuando necesitamos instalar todo tipo de paquetes, también el estado de llenado, por ejemplo, de los mismos discos del sistema. Otra funcionalidad son las opciones de servicio. Es decir, aquí podemos establecer opciones para actualizar los ARM, actualizar paquetes individuales, integrar con sistemas externos de forma automatizada.

Al igual que en Dynamic Directory, en el Centro de control ROSA, tenemos una API abierta que puede añadir e integrar en sus sistemas, por ejemplo, de supervisión. La interfaz gráfica del Centro de control ROSA es una interfaz de usuario bastante sencilla e intuitiva, a la que los administradores de las empresas también se adaptan con bastante rapidez gracias a los comentarios de nuestros socios.

En la interfaz gráfica tenemos una única ventana para la gestión de la infraestructura y la supervisión. Todas las placas que se presentan en la pestaña inicial, el administrador puede moverlas, sustituirlas, también añadir algunas nuevas, precisamente para la comodidad de uso. También en la interfaz gráfica existe la posibilidad de estar al tanto de los eventos en tiempo real, lo que también aumenta la eficiencia de uso. También hay diversos datos sobre el estado de los ARM, es decir, el software, el hardware, también los sistemas operativos y las aplicaciones.

La elaboración de informes, a su vez, permite responder de forma oportuna a los incidentes dentro de la infraestructura. Además, el Centro de control ROSA permite gestionar los repositorios. Esto es relevante para las empresas con un circuito cerrado, donde no hay acceso a Internet. El repositorio es un único lugar para almacenar el software en una empresa con un circuito cerrado. Como resultado, esto reduce en gran medida el riesgo de eliminación o modificación accidental de archivos por parte del administrador o de los usuarios. También ayuda a gestionar las versiones dentro del repositorio local, porque en el repositorio global la versión del software puede cambiar, pero por alguna razón no es aplicable en la infraestructura actual. Así que el administrador puede gestionar esta función y dejar en el repositorio local precisamente la versión que es necesaria para su uso dentro de la empresa. Además, la gestión de contenidos permite unificar y estandarizar el proceso de actualización, es decir, todos los ARM de la empresa recibirán la misma versión del software.

También existe una funcionalidad: la automatización del despliegue. En este caso, dicho despliegue ayuda a reducir el tiempo y a disminuir el factor humano en cuanto a la aparición de errores.

El Centro de control ROSA ayuda a desplegar sistemas en nubes privadas de hardware y virtuales, a gestionar sistemas que no están desplegados en el Centro de control ROSA. Es decir, si en su empresa tiene PC ARM en los que, por ejemplo, está instalado РЭД ОС, entonces a través de la pestaña "Búsqueda", respectivamente, el Centro de control ROSA detecta estos ARM, mientras que el administrador puede añadir los ARM no añadidos al sistema y también gestionarlos. También es posible la automatización utilizando roles de Ansible y manifiestos de Puppet.

La gestión de actualizaciones permite crear listas de sistemas para los que se requiere una actualización. Es decir, de forma automatizada, el administrador puede rastrear los sistemas y recibir notificaciones sobre aquellos que deben actualizarse para cerrar las brechas de vulnerabilidad y añadir funcionalidad actualizada. Es posible agrupar los hosts por varias características, es decir, agrupar los hosts precisamente de los ARM finales, o por departamentos para facilitar la administración, o es posible agruparlos por algunos criterios de memoria, por el estado de los procesadores, por la cantidad de memoria operativa, etc. Es decir, hay muchos criterios y posibilidades. Reacción rápida a la necesidad de actualizar el sistema para mantenerlo siempre actualizado.

La arquitectura del Centro de Control consta de un centro de control principal y también de centros subordinados. Es decir, el centro de control principal se ocupa principalmente de la certificación, y los servidores subordinados se ocupan de la gestión de los dispositivos finales. También existe la posibilidad de gestionar repositorios locales para minimizar todo tipo de confusiones con el control de versiones para los circuitos cerrados de las empresas.

Sobre el despliegue de los puestos de trabajo automatizados (ARM) finales. El sistema ROSA del Centro de Control puede detectar ordenadores, incluso si no se han conectado previamente al Centro de Control ROSA. Esto permite cargar sistemas operativos en los ARM a través de PXE y, en consecuencia, permite gestionar estos sistemas de forma centralizada.

Actualmente no todo el mundo utiliza Linux, por lo que es necesario simplificar la transición de otros sistemas operativos a sistemas operativos nacionales seguros. Pues bien, el Centro de Control ROSA también permite migrar a sistemas operativos nacionales.

El Centro de Control recopila datos sobre los usuarios y los guarda en el servidor. A continuación, se instala de forma centralizada el sistema operativo ruso, seguido de la creación de perfiles de los ARM, es decir, se añaden todo tipo de aplicaciones en el momento de la instalación, para que el administrador no tenga que instalar manualmente todo tipo de aplicaciones y servicios después de la instalación del sistema operativo, lo que reduce significativamente el tiempo de trabajo del administrador y el tiempo de despliegue y configuración del sistema operativo para las tareas específicas del empleado. Y luego también se produce la recuperación automatizada de los datos del usuario en el dispositivo final.

Hoja de ruta del Centro de Control ROSA para 2024. Para el tercer trimestre tenemos previsto añadir un canal de control de versiones, ampliar las capacidades de gestión de los ARM finales, controlar y analizar el estado del comportamiento de un objeto o proceso en el sistema operativo para un seguimiento más flexible de las acciones del usuario y de los sistemas, y para aumentar la seguridad. Integración con la monitorización de la infraestructura de hardware, es decir, para un seguimiento más flexible del estado físico de los ordenadores. Portabilidad de las funciones de gestión, ampliación de las capacidades de monitorización del estado y gestión de las reglas de reacción a los eventos. Aquí, en modo semiautomático, el sistema podrá reaccionar a todo tipo de incidentes. Y, por supuesto, ampliación del número de sistemas soportados para el control y análisis del estado del propio sistema.

Algunos cálculos basados en los comentarios de nuestros clientes, es decir, el efecto de la introducción de la gestión centralizada: los tiempos de inactividad no planificados se reducen en un 75% gracias a que hay menos errores debidos al factor humano, tiempos de inactividad debidos a que el software no se ha actualizado a tiempo o a que a un empleado le falta algún software específico en su PC y tiene que instalarlo manualmente. La productividad del departamento de TI aumenta en un 30% gracias a que los especialistas de TI no tienen que administrar manualmente los ARM. Todo esto se hace de forma centralizada en modo de una sola ventana. El despliegue de nuevos sistemas operativos también aumenta en un 70% gracias a que también se realiza de forma centralizada y todas las configuraciones adicionales, es decir, todo tipo de servicios, todo tipo de aplicaciones, existe la posibilidad de instalar todas estas aplicaciones en el momento de la instalación del sistema operativo. Los gastos operativos de la empresa se reducen en un 28%. Los tiempos de inactividad no planificados son un 75% menores en comparación con la ausencia de gestión centralizada. Es decir, aquí hablamos más de la gestión de los ARM finales que de la gestión de los servicios de directorio. Además, si hablamos de la sección de servicios de directorio, aquí tenemos un 75% menos de tiempo de inactividad, gracias a que, en ausencia de un sistema de servicios de directorio, tenemos un almacén muy grande de archivos de la empresa, a los que tiene acceso cada empleado. Es decir, aquí no tenemos ninguna estructura y para utilizar todo tipo de documentos y archivos hay que dedicar bastante tiempo. Cuando esto está estructurado, el tiempo necesario es mucho menor y los tiempos de inactividad relacionados con la búsqueda de la información necesaria, del archivo necesario, se reducen considerablemente.