Импортозамещение 2.0: как "Группа Астра" и "Аладдин" предлагают строить доверенную ИТ-инфраструктуру

"Группа Астра" и компания "Аладдин" объявили о стратегическом партнёрстве и представили первое совместное комплексное решение — Astra Server Core, которое можно рассматривать как заявку на новый стандарт построения доверенной ИТ-инфраструктуры в России. В его состав входят Astra Linux Server, служба каталога ALD Pro, менеджер конфигураций ACM и корпоративный центр сертификации Aladdin Enterprise CA.

За продуктовым анонсом стоит более широкий для рынка вопрос: как после этапа срочного импортозамещения перейти к построению связной, управляемой и доверенной ИТ-инфраструктуры. Значение события выходит за пределы интеграции решений двух вендоров. Оно отражает сдвиг от замены отдельных зарубежных компонентов к формированию архитектуры, где операционная система, каталог, управление конфигурациями, сертификаты и средства защиты развиваются в единой логике.

Этот этап можно описать как импортозамещение 2.0. Если первая фаза была связана с поиском отечественных альтернатив отдельным решениям, то следующая создает новую норму формирования инфраструктуры: управляемой, безопасной, соответствующей требованиям регуляторов и пригодной для эксплуатации в крупных распределенных организациях.

Почему вопрос уже не сводится к замене Microsoft

После ухода Microsoft с российского рынка многие заказчики столкнулись не только с необходимостью заменить отдельные продукты. Более сложной оказалась задача воссоздания архитектурной связности корпоративной инфраструктуры средствами отечественного стека. Ранее связка Windows Server, Active Directory, SCCM и корпоративного центра сертификации воспринималась многими организациями как единая технологическая основа. Она обеспечивала управление пользователями, устройствами, политиками, конфигурациями и сертификатами в рамках согласованной модели.

При переходе на отечественный стек заказчику недостаточно выбрать российскую операционную систему, службу каталогов или средство защиты по отдельности. Ключевой вопрос возникает позже: как эти компоненты будут работать вместе после миграции, кто будет отвечать за обновления, как будут применяться политики доступа, как будет обеспечиваться выпуск и отзыв сертификатов, каким образом будет контролироваться конфигурация серверов и кто возьмет ответственность за инцидент на стыке систем.

"Сертифицированная операционная система Astra Linux Server стала стандартом импортозамещения. Но в инфраструктуре Enterprise-уровня необходим критический компонент, которого нам не хватало, — это PKI", — отметил Алексей Фоменко, директор серверного ПО "Группы Астра".

Astra Server Core рассматривается как базовый доверенный серверный контур, призванный закрыть часть функций, ранее обеспечивавшихся зрелой зарубежной инфраструктурной платформой. Отличие в том, что теперь эта задача решается в логике отечественного ПО, российских регуляторных требований и новых условий эксплуатации.

Astra Server Core как доверенный серверный контур

Astra Server Core представлен как связка нескольких инфраструктурных компонентов. Базу формирует серверная операционная система. Служба каталога в первую очередь отвечает за централизованное управление доступом пользователей и компьютеров. Менеджер конфигураций связан с управлением инфраструктурой, политиками и отчетностью по применяемым настройкам. Корпоративный центр сертификации добавляет контур доверия: сертификаты для машин и сервисов, единый корень доверия и управление корпоративной PKI.

Такая структура важна для понимания замысла решения. Речь идет не о механическом объединении продуктов, а о серверном контуре, в котором управление доступом, контроль конфигураций и доверенное взаимодействие компонентов связаны между собой. Для крупных заказчиков это принципиально: инфраструктура должна не только запускать сервисы, но и давать понятную картину того, какие политики применены, какие сертификаты действуют, какие устройства подключены и кто отвечает за изменения после обновления компонентов.

Именно здесь проявляется отличие платформенного подхода от самостоятельной сборки инфраструктуры. Когда заказчик соединяет продукты разных поставщиков, значительная часть ответственности за архитектуру, интеграцию, регламенты и последующее сопровождение остается на его стороне или на стороне интегратора. В предлагаемой комплексной модели заказчик получает не набор разрозненных компонентов, а заранее согласованную связку, где совместимость, поддержка и ответственность за работу ключевых элементов серверного контура продуманы на стороне вендоров.

PKI как недостающее звено корпоративной Linux-инфраструктуры

В логике представленного партнёрства одним из наиболее чувствительных разрывов при переходе на российские Linux-платформы становится инфраструктура открытых ключей. Для корпоративной среды PKI не является дополнительной функцией. Она обеспечивает выпуск, продление и отзыв сертификатов, аутентификацию пользователей, устройств и сервисов, защищенное взаимодействие систем, контроль доверия и поддержку значимых сценариев информационной безопасности.

Без корпоративной PKI сложно построить зрелую enterprise-инфраструктуру с предсказуемым управлением доверием. Организация может развернуть операционную систему, службу каталогов и базовые средства администрирования, но без встроенной логики сертификатов доверенная среда остается неполной. В результате заказчик вынужден самостоятельно выбирать центр сертификации, интегрировать его с каталогом и другими инфраструктурными компонентами, описывать регламенты жизненного цикла сертификатов и брать на себя риски несовместимости.

В рамках комплексной платформы Astra Server Core PKI перестает быть отдельным компонентом, который заказчик вынужден самостоятельно интегрировать с серверной инфраструктурой после развертывания базового стека. Центр сертификации становится частью доверенного контура, где управление сертификатами связано с каталогом, политиками доступа, конфигурациями и жизненным циклом инфраструктурных компонентов. Для заказчиков это снижает сложность архитектурной сборки и делает управление доверием более предсказуемым.

Отдельный акцент был сделан на том, что управление контуром доверия должно оставаться у владельца информационной системы. Именно заказчик определяет правила доверия, управляет сертификатами и контролирует доступ внутри собственной инфраструктуры. В этой логике технологический суверенитет выражается не в декларациях, а в возможности самостоятельно управлять ключевыми механизмами доверия и доступа.

От принципа "сначала построить, потом защитить" к Secure by Design

Стратегическое партнёрство "Группы Астра" и "Аладдин" заявлено как переход к подходу, при котором безопасность перестает быть надстройкой и становится полноценным компонентом инфраструктуры по принципу Secure by Design. В традиционной модели сначала строится инфраструктура: выбираются ОС, каталог, средства управления, прикладные сервисы. Затем поверх нее добавляются средства защиты, которые должны встроиться в уже сформированную архитектуру.

Для крупных организаций такой подход становится все менее эффективным. Чем сложнее инфраструктура, тем выше стоимость доработок, связанных с безопасностью, если она не была заложена на этапе проектирования. Особенно это заметно в сценариях, где одновременно требуется управлять пользователями, устройствами, сертификатами, политиками доступа, регуляторными требованиями и жизненным циклом инфраструктурных компонентов.

"Чтобы доверие и безопасность стали фундаментом, а не надстройкой, они должны быть “вшиты” в системное и инфраструктурное ПО", — подчеркнул Сергей Груздев, генеральный директор "Аладдин".

Модель Secure by Design предполагает именно такую обратную логику: безопасность учитывается с момента проектирования платформы и становится одним из ее архитектурных свойств. В контексте Astra Server Core это означает, что доверие, сертификаты, управление доступом и контроль конфигураций должны развиваться не как отдельные надстройки, а как элементы единой инфраструктурной основы.

На уровне enterprise-инфраструктуры функциональность уже не может рассматриваться отдельно от безопасности. Для регулируемых и критически важных сред это означает простую практическую вещь: продукт может быть функционально пригодным, но не попасть в промышленный контур, если не отвечает требованиям безопасности и управления доверием.

Совместимость, поддержка и единая ответственность

Дополнительное значение партнёрства связано с переходом от разовой совместимости продуктов к координации разработки, поддержки и управления изменениями на протяжении всего жизненного цикла платформы. Для крупных заказчиков важно не только то, что решения совместимы на этапе пилота или внедрения, но и то, как эта совместимость сохраняется при обновлении операционной системы, корректировке политик каталога, развитии менеджера конфигураций или изменении правил выпуска сертификатов.

В сложных инфраструктурных ландшафтах предсказуемость изменений обеспечивается методиками внедрения, интеграционным и нагрузочным тестированием, тестовыми средами, работой с заказчиком и участием технической поддержки. В такой модели обновления и изменения в инфраструктуре не должны каждый раз превращаться в отдельный интеграционный проект.

Единое окно поддержки меняет модель ответственности. Если проблема возникает на стыке операционной системы, службы каталога, управления конфигурациями и PKI, она должна рассматриваться не как спор между отдельными продуктами, а как проблема единого серверного контура. Для заказчика это снижает риск ситуации, когда при инциденте приходится самостоятельно выяснять, какой компонент стал источником сбоя и какой вендор должен реагировать.

Гетерогенная среда как реальность миграции

Крупные заказчики редко могут заменить всю инфраструктуру одномоментно. Миграция занимает время, а критические сервисы должны продолжать работать в штатном режиме. Поэтому российские и прежние зарубежные компоненты на переходном этапе часто вынуждены существовать параллельно — в одной распределенной инфраструктуре, с разными технологическими стеками и разной степенью готовности к замещению.

В такой ситуации важна не только полнота будущего перехода на отечественный стек, но и управляемость самого промежуточного состояния. Организации должны сохранять контроль над пользователями, устройствами, доступом, сертификатами и инфраструктурными политиками даже тогда, когда часть компонентов уже переведена на российские решения, а часть еще продолжает работать в прежней среде.

В этой логике Astra Server Core рассматривается не только как решение для конечного перехода на отечественный стек, но и как инструмент работы в смешанной инфраструктуре на период миграции. Платформа должна поддержать параллельную работу компонентов в разных средах, обеспечить доверенное взаимодействие между ними, сохранить централизованное управление и снизить риски потери контроля над критически важными сервисами до завершения перехода.

Регуляторный фактор и 117-й приказ ФСТЭК России

Отдельным преимуществом Astra Server Core становится ориентация на требования регуляторов, в первую очередь 117-й приказ ФСТЭК России. Для решений такого класса это не формальная характеристика, а условие работы в инфраструктурах, где действуют требования к защите информации, управлению доступом, усиленной аутентификации и доверенной среде.

Значение имеет не только соответствие отдельных продуктов, но и возможность использовать их как согласованную платформенную основу для таких контуров. Это снижает риск ситуации, когда технически работоспособную инфраструктуру приходится дополнительно донастраивать, проверять и обосновывать уже на этапе промышленного внедрения. Поэтому регуляторная применимость становится одним из ключевых аргументов в пользу комплексной модели Astra Server Core.

Инфраструктура как вопрос устойчивости

Значение Astra Server Core будет определяться не только составом входящих в него продуктов, но и тем, насколько комплексная модель окажется работоспособной в реальной эксплуатации. Для крупных организаций инфраструктура — это уже не вспомогательный ИТ-слой, а условие операционной устойчивости: от нее зависят доступность критических сервисов, управляемость изменений, доверие к среде и способность продолжать работу при миграции, обновлениях и инцидентах.

Именно поэтому ценность платформенного подхода, предлагаемого "Группой Астра" и "Аладдин", выходит за пределы технической интеграции. Единый серверный контур должен помогать поддерживать доступность критических сервисов, управлять доверием, сохранять контроль над инфраструктурой и развивать ее без постоянной пересборки архитектуры и версионных конфликтов.

Среди возможных направлений развития платформы — безопасная удаленная работа, двухфакторная аутентификация пользователей и шифрование данных. Но главный критерий для Astra Server Core будет не в расширении набора функций, а в способности подтвердить заявленную модель на практике: в смешанных средах, регулируемых контурах и долгосрочной промышленной эксплуатации.

Читать оригинал в TAdviser