Avanpost DS: отечественная служба каталогов без использования open source

• Что такое Avanpost DS
• Какие задачи решает Avanpost DS и для кого он создан
• Почему Avanpost DS написан без использования открытого исходного кода
• О компании Аванпост:

Компания Аванпост более трех лет занималась разработкой продукта и в сентябре выпустила релиз LDAP-каталога Avanpost DS, решение по централизованному управлению пользователями, аутентификацией и авторизацией в Linux-инфраструктурах с возможностью иерархического представления объектов. Продукт предназначен для использования в крупных корпорациях. Главное отличие продукта от аналогов — собственная разработка без использования Opensource решений. Это дает пользователям решения целый ряд преимуществ: высокую производительность, масштабируемость и безопасность, а также неограниченное расширение функционала.

Что такое Avanpost DS

Avanpost Directory Service — служба каталогов, которая предоставляет централизованную авторизацию, аутентификацию и идентификацию, а также хранит информацию о ресурсах корпоративной сети. Функционал продукта схож с Windows Active Directory. 

Все инфраструктурные сервисы, необходимые для работы каталога и домена, реализованы посредством интеграции с другими решениями — например, с PowerDNS для предоставления службы разрешения имен. 

Avanpost DS — собственная разработка Avanpost, написанная без использования элементов конкретных операционных систем. Контроллер домена Avanpost DS может быть развернут на любой Linux-машине. Совместимость была протестирована с четырьмя основными российскими дистрибутивами— Astra Linux, ALT Linux, ROSA и РЕДОС, также поддерживаются наиболее распространенные opensourse—операционные системы— Debian, Ubuntu и CentOS. Доменные клиенты есть для четырех российских дистрибутивов и возможно расширение поддержки других ОС по запросу

Служба может интегрироваться с любыми инфраструктурными решениями, DNS-серверами и серверами управления конфигурацией, выступая для них бэкендом. Avanpost предоставляет точки интеграции с REST API, LDAP-интерфейсами и CIM 2.0-интерфейсами.

Какие задачи решает Avanpost DS и для кого он создан

В настоящий момент реализуется интеграция с DNS-серверами, поддержка двухсторонних доверительных отношений с Windows Active Directory и поддержка групповых политик. Пилотные нагрузочные испытания пройдены успешно, они проводились с заказчиками: в каталоге находилось около 3,5 млн объектов, при этом к нему совершалось около 100 тысяч запросов одновременно. 

Реализованный функционал уже сегодня позволяет решать следующие задачи:

• Централизованное управление пользователями и компьютерами
• Иерархическое хранение информации о пользователях и ресурсах
• Геораспределенное отказоустойчивое хранение данных каталога
• Централизованная аутентификация по протоколу Kerberos V5 при доступе к серверам и рабочим станциям, по протоколу LDAP для приложений
• Многофакторная аутентификация (интеграция с Avanpost FAM, другим продуктом разработчика)
• Сквозная аутентификация по протоколу Kerberos V5 (Kerberos Single Sign On)
• Контроль доступа к ресурсам и объектам
• Обеспечение высокой доступности сервисов идентификации, аутентификации и авторизации.

Благодаря высокой производительности и возможностям масштабирования Avanpost DS рекомендуется к использованию на крупных предприятиях — от 10 тысяч сотрудников и больше. В первую очередь, это крупные государственные корпорации, компании со значительным государственным участием, а также организации, попадающие под Указ Президента Российской Федерации от 30.03.2022 № 166 по импортозамещению.

Почему Avanpost DS написан без использования открытого исходного кода

Решения, основанные на открытом коде, часто повторяют проблемы исходного продукта. Это низкая производительность; изначальные проблемы в архитектуре продукта, которые препятствуют нормальному внедрению в корпоративной среде, т.е. способствует проблемам с организационными подразделениями, иерархическим упорядочиванием и безопасностью.

Обычно open source—решения изначально не разработаны для крупного корпоративного сегмента — они используются на небольших предприятиях. Именно поэтому к ним не предъявляют высоких требований по производительности и масштабируемости. В то же время производительность Avanpost DS сегодня на порядок выше, чем у решений, разработанных с использованием открытого кода. 

Avanpost Directory Service — решение, разработанное на основе требований, которые предъявляют к похожим продуктам корпоративные клиенты. Помимо производительности и масштабируемости, корпорациям важна безопасность. У решений, основанных на открытом исходном коде, в случае большой нагрузки могут быть проблемы с количеством контроллеров домена и со связью репликации. 

В случае с Avanpost DS таких проблем нет. Это система с поддержкой глубокой иерархии и вложенности подразделений, а не с плоской структурой. Система контроля доступа реализует ролевую модель с гранулярным назначением разрешений на уровне атрибутов, что  позволяет гибко делегировать доступ к отдельным участкам каталога. Похожий функционал есть в Windows Active Directory, поэтому переход с одного решения на другое будет более плавным. 

Avanpost прорабатывает реализацию групповых политик с помощью систем управления конфигурацией. Разработчик предоставляет селектор групповых политик. В каталоге хранится информация о конфигурациях, необходимых для конкретных компьютеров в контейнерах. В зависимости от того, какие конфигурации назначены на конкретные контейнеры, Avanpost DS передает в систему управления конфигурацией инструкцию по применению конкретных шаблонов к конкретным компьютерам.  

Еще одно преимущество Avanpost как разработчика продукта без использования open source — возможность в сжатые сроки добавить необходимый функционал, а также интегрировать решение с иными системами конфигурации.

О компании Аванпост:

Аванпост - российский вендор новатор в области безопасности идентификационных данных.

Предоставляет своим клиентам мощную легко масштабируемую платформу, позволяющую перейти от фрагментарной стратегии аутентификации и управления доступом к целостному подходу обеспечения безопасности предприятия.

Продукты Avanpost являются полностью собственной разработкой компании и не базируется на Open-Source решениях. Включены в реестр отечественного ПО, удовлетворяют требованиям безопасности информации и сертифицированы ФСТЭК, применимы в ГИС, ИСПДн, КИИ, КВО.