- Что такое Avanpost DS
- Какие задачи решает Avanpost DS и для кого он создан
- Почему Avanpost DS написан без использования открытого исходного кода
- О компании Аванпост:
Компания Аванпост более трех лет занималась разработкой продукта и в сентябре выпустила релиз LDAP-каталога Avanpost DS, решение по централизованному управлению пользователями, аутентификацией и авторизацией в Linux-инфраструктурах с возможностью иерархического представления объектов. Продукт предназначен для использования в крупных корпорациях. Главное отличие продукта от аналогов — собственная разработка без использования Opensource решений. Это дает пользователям решения целый ряд преимуществ: высокую производительность, масштабируемость и безопасность, а также неограниченное расширение функционала.
Что такое Avanpost DS
Avanpost Directory Service — служба каталогов, которая предоставляет централизованную авторизацию, аутентификацию и идентификацию, а также хранит информацию о ресурсах корпоративной сети. Функционал продукта схож с Windows Active Directory.
Все инфраструктурные сервисы, необходимые для работы каталога и домена, реализованы посредством интеграции с другими решениями — например, с PowerDNS для предоставления службы разрешения имен.
Avanpost DS — собственная разработка Avanpost, написанная без использования элементов конкретных операционных систем. Контроллер домена Avanpost DS может быть развернут на любой Linux-машине. Совместимость была протестирована с четырьмя основными российскими дистрибутивами— Astra Linux, ALT Linux, ROSA и РЕДОС, также поддерживаются наиболее распространенные opensourse—операционные системы— Debian, Ubuntu и CentOS. Доменные клиенты есть для четырех российских дистрибутивов и возможно расширение поддержки других ОС по запросу
Служба может интегрироваться с любыми инфраструктурными решениями, DNS-серверами и серверами управления конфигурацией, выступая для них бэкендом. Avanpost предоставляет точки интеграции с REST API, LDAP-интерфейсами и CIM 2.0-интерфейсами.
Какие задачи решает Avanpost DS и для кого он создан
В настоящий момент реализуется интеграция с DNS-серверами, поддержка двухсторонних доверительных отношений с Windows Active Directory и поддержка групповых политик. Пилотные нагрузочные испытания пройдены успешно, они проводились с заказчиками: в каталоге находилось около 3,5 млн объектов, при этом к нему совершалось около 100 тысяч запросов одновременно.
Реализованный функционал уже сегодня позволяет решать следующие задачи:
- Централизованное управление пользователями и компьютерами
- Иерархическое хранение информации о пользователях и ресурсах
- Геораспределенное отказоустойчивое хранение данных каталога
- Централизованная аутентификация по протоколу Kerberos V5 при доступе к серверам и рабочим станциям, по протоколу LDAP для приложений
- Многофакторная аутентификация (интеграция с Avanpost FAM, другим продуктом разработчика)
- Сквозная аутентификация по протоколу Kerberos V5 (Kerberos Single Sign On)
- Контроль доступа к ресурсам и объектам
- Обеспечение высокой доступности сервисов идентификации, аутентификации и авторизации.
Благодаря высокой производительности и возможностям масштабирования Avanpost DS рекомендуется к использованию на крупных предприятиях — от 10 тысяч сотрудников и больше. В первую очередь, это крупные государственные корпорации, компании со значительным государственным участием, а также организации, попадающие под Указ Президента Российской Федерации от 30.03.2022 № 166 по импортозамещению.
Почему Avanpost DS написан без использования открытого исходного кода
Решения, основанные на открытом коде, часто повторяют проблемы исходного продукта. Это низкая производительность; изначальные проблемы в архитектуре продукта, которые препятствуют нормальному внедрению в корпоративной среде, т.е. способствует проблемам с организационными подразделениями, иерархическим упорядочиванием и безопасностью.
Обычно open source—решения изначально не разработаны для крупного корпоративного сегмента — они используются на небольших предприятиях. Именно поэтому к ним не предъявляют высоких требований по производительности и масштабируемости. В то же время производительность Avanpost DS сегодня на порядок выше, чем у решений, разработанных с использованием открытого кода.
Avanpost Directory Service — решение, разработанное на основе требований, которые предъявляют к похожим продуктам корпоративные клиенты. Помимо производительности и масштабируемости, корпорациям важна безопасность. У решений, основанных на открытом исходном коде, в случае большой нагрузки могут быть проблемы с количеством контроллеров домена и со связью репликации.
В случае с Avanpost DS таких проблем нет. Это система с поддержкой глубокой иерархии и вложенности подразделений, а не с плоской структурой. Система контроля доступа реализует ролевую модель с гранулярным назначением разрешений на уровне атрибутов, что позволяет гибко делегировать доступ к отдельным участкам каталога. Похожий функционал есть в Windows Active Directory, поэтому переход с одного решения на другое будет более плавным.
Avanpost прорабатывает реализацию групповых политик с помощью систем управления конфигурацией. Разработчик предоставляет селектор групповых политик. В каталоге хранится информация о конфигурациях, необходимых для конкретных компьютеров в контейнерах. В зависимости от того, какие конфигурации назначены на конкретные контейнеры, Avanpost DS передает в систему управления конфигурацией инструкцию по применению конкретных шаблонов к конкретным компьютерам.
Еще одно преимущество Avanpost как разработчика продукта без использования open source — возможность в сжатые сроки добавить необходимый функционал, а также интегрировать решение с иными системами конфигурации.
О компании Аванпост:
Аванпост - российский вендор новатор в области безопасности идентификационных данных.
Предоставляет своим клиентам мощную легко масштабируемую платформу, позволяющую перейти от фрагментарной стратегии аутентификации и управления доступом к целостному подходу обеспечения безопасности предприятия.
Продукты Avanpost являются полностью собственной разработкой компании и не базируется на Open-Source решениях. Включены в реестр отечественного ПО, удовлетворяют требованиям безопасности информации и сертифицированы ФСТЭК, применимы в ГИС, ИСПДн, КИИ, КВО.
