Специалистам потребуются совершенно новые навыки, чтобы приспособиться к перевороту в ИТ-подразделении, вызванному появлением вычислительного «облака». В связи с этим мне предстоит затрагивать в своих статьях новые темы. Я был автором Windows IT Pro почти со времени возникновения журнала, а теперь стал техническим директором издательства Penton Media, ответственным за Windows IT Pro и SQL Server Magazine, а также конференции Connections. В этой роли мне предстоит заниматься тематикой «облачных» вычислений и Windows Server, в дополнение к прежней теме, Active Directory (AD). Кроме того, я буду вести рубрику, в которой будут освещаться новые технологии, актуальные проблемы и возможности для профессионалов по управлению учетными данными. В данной статье речь пойдет об эволюции управления учетными данными и влиянии «облачных» вычислений.
«Облачные» вычисления, развитие которых началось немедленно вслед за виртуализацией, вызвали потрясение в ИТ-подразделениях. В отличие от виртуализации (которая, по крайней мере на начальном этапе, не выходила за пределы центров обработки данных), «облачные» вычисления позволяют традиционным клиентам ИТ обойти устоявшиеся ИТ-процессы. Подразделения могут приобрести приложения Software as a Service (SaaS — программное обеспечение как служба), такие как Salesforce.com и Google Apps, не требующие капитальных вложений, хорошо масштабируемые и развертываемые за несколько часов или дней вместо недель или месяцев.
.
Мне приходилось заниматься управлением учетными данными Windows в той или иной форме в течение многих лет, и у меня была возможность наблюдать, как со временем менялась задача. Область ответственности специалистов непрерывно росла, и я не думаю, чтобы ситуация изменилась в ближайшем будущем. Поначалу у нас был автономный компьютер с локальной базой учетных записей. Чтобы обратиться к ресурсам на другом компьютере, требовалось создать на нем учетную запись.
С переходом к рабочим группам после появления Windows for Workgroups (WFW) отдельные базы учетных записей стали размещаться на каждом компьютере, но пользователю одного компьютера можно было предоставить право доступа к ресурсам другого компьютера.
В начале 90-х LAN Manager стал своеобразной вехой в переносе управления учетными записями с компьютеров на серверы. Это был первый сетевой продукт Microsoft с одним сервером и базой учетных записей пользователей, который определял учетные данные, доступ ко многим серверам и проверял подлинность клиентов при обращениях к ресурсам этих серверов. Это довольно громоздкий программный продукт, особенно если соединить его с OS/2, MS-DOS и серверной программой 3+Share компании 3Com. Помню, как сотрудники Texas Instruments на утреннем рабочем совещании сурово критиковали представителей Microsoft за перебои в обслуживании, возникшие накануне.
В 1993 году компания Microsoft спроектировала первый стоящий продукт, по достоинству оцененный знатоками операционных систем: Windows NT 3.1, 32-разрядную многопроцессорную, многопотоковую операционную систему с вытеснением, возможности которой были намного шире, чем у ее предшественников. Результатом резкого увеличения возможностей стал домен NT, гораздо более мощная система управления учетными записями. Вместо одного сервера учетных записей домен NT располагает основным контроллером домена (domain controller — DC) и несколькими резервными DC, обеспечивающими функционирование домена даже в случае отключения основного DC.
Масштабируемость доменов NT значительно выше, чем у LAN Manager; в них могли содержаться тысячи учетных записей пользователей и компьютеров. Еще более важное достоинство — возможность настроить домен NT для хранения только учетных записей (домены учетных записей) или только компьютеров (домены ресурсов), соединяя их таким образом, чтобы компьютеры в домене ресурсов использовали учетные записи в доменах учетных записей для управления доступом к данным. Большое число таких доменов можно объединить отношениями доверия для обслуживания многих тысяч пользователей и компьютеров. В этой ситуации ИТ-специалисты предприняли первую попытку забрать управление учетными записями пользователей у подразделений и передать эту функцию централизованно управляемой организации. Ручное управление учетными записями — неблагодарная работа, и, как правило, подразделения охотно отдавали эту задачу другому исполнителю. Однако с увеличением числа доменов учетных записей и связей между ними резко возросла сложность структуры. Например, в компании Intel насчитывалось 156 доверительных отношений только между доменами учетных записей и многие сотни между ними и доменами ресурсов.
По мере роста сети Windows возрастало и ее значение в компании. Она попала в поле зрения руководителей высшего звена и стала основным механизмом проверки подлинности во многих компаниях. Несмотря на это, администраторы NT отвечали недоуменным взглядом на вопрос об управлении учетными данными. И все же при таких масштабах сети администраторам приходилось тратить значительную часть времени на управление учетными данными пользователей и доступом через границы доменов.
Самой крупной вехой в истории операционной системы Windows Server и ее механизма управления учетными данными было появление Windows 2000 и AD. Возможности масштабирования, заложенные в инфраструктуре, далеко не исчерпаны даже спустя 10 лет после ее появления. Единственный лес доменов AD был первоначально задуман как исчерпывающее решение для администратора: один лес для всех доменов. В компании Intel после обстоятельных переговоров нам удалось убедить руководителей различных подразделений отказаться от обособленных уделов NT 4.0 и перейти к организационным единицам (OU) в едином корпоративном лесу. В результате область управления учетными данными Windows вновь расширилась. Однако многие компании обнаружили, что безопасность Windows определяется не на границах доменов, а на границах леса, и начали образовывать множественные леса. Для производственной деятельности часто требовалось совместно использовать часть информации в этих лесах, поэтому устанавливались доверительные отношения между лесами. В результате среда AD некоторых компаний начала выглядеть как расширенный вариант среды NT 4.0, с несколькими лесами вместо нескольких доменов NT.
По мере роста области управления учетными данными Windows специалисты, ответственные за принятие технических решений, и администраторы AD начали рассматривать проблему в более широком контексте. Вместо подхода к учетным данным только изнутри сети Windows (как управлять учетными записями пользователей и паролями в лесу AD?) они начали рассматривать данную технологию как часть предприятия (найти способ всеобъемлющего управления учетными данными сотрудников в масштабе всей компании). К этому времени наши учетные данные AD в основном обеспечивали управление доступом к вычислительной инфраструктуре компании, но по-прежнему существовали крупные пробелы, в первую очередь в базах данных отдела кадров и системах физической безопасности. В этих базах данных хранятся важные и конфиденциальные сведения о сотрудниках, но связи между ними были в лучшем случае импровизированными или вообще отсутствовали. Это вызывало серьезные опасения: если, например, не отключить немедленно учетные записи увольняющегося сотрудника во всех системах, недовольный человек сможет нанести ущерб системе, в которой сохранилась активная учетная запись. Специалисты по управлению учетными данными начали использовать службы метакаталогов, такие как Microsoft Identity Lifecycle Manager (ILM), и пришедшая ей на смену Forefront Identity Manager (FIM), чтобы связать разнообразные источники учетных данных в метакаталоге (буквально «каталоге каталогов»), обеспечивающем целостное представление всего, что связано с учетными данными пользователя, и возможность формировать и управлять потоками данных между источниками учетных данных. Если служба метакаталогов охватывает все источники учетных данных компании, действие отключения, инициированное в базе данных отдела кадров, распространяется на все другие системы, немедленно блокируя учетные записи Windows и любых других систем, к которым имел доступ уволенный сотрудник (например, блокируется пропуск для входа в здание). Однако внедрению службы метакаталогов мешает дорогостоящее программное обеспечение, трудоемкий процесс обучения и сложность внедрения. В результате лишь сравнительно немногие администраторы AD освоили эту технологию.
Теперь пришло время «облачных» вычислений и связанных с ними проблем управления учетными данными. «Облачные» учетные данные — управление учетными данными между поставщиками учетных данных (например, лесом AD) и поставщиками «облачной» службы (например, Elastic Computer Cloud компании Amazon) — следующий шаг на пути профессионального роста специалиста по управлению учетными данными. Изначально область корпоративной системы учетных данных не распространяется на «облако». Задача состоит в том, чтобы безопасно использовать существующие корпоративные учетные данные для этих служб. Нам всем приходилось иметь дело с невообразимым количеством учетных записей пользователей и паролей на коммерческих веб-сайтах; разумно ли воспроизводить эту ситуацию, создавая и управляя отдельным набором учетных записей для каждого поставщика «облачных» служб? Подготовить компанию к безопасной работе с «облачными» службами сравнительно несложно, хотя технология и сопутствующая терминология могут казаться непривычными.
Федерация — самая перспективная технология для объединения системы учетных данных с «облачной» службой. С ее помощью можно безопасно предоставить лишь учетные данные, необходимые «облачному» приложению, не открывая для внешнего мира всю систему учетных данных. Службы Active Directory Federation Services (AD FS) компании Microsoft и PingFederate компании Ping Identity — примеры широко применяемых современных федеративных продуктов. Понимание федерации и связанной с ней модели проверки подлинности на основе заявок — следующий шаг для специалистов по управлению учетными данными, желающих идти в ногу с техническим прогрессом, так как мы находимся на начальном этапе развития технологии. Подробнее о технологиях облачных учетных данных, таких как федерация, в речь пойдет в следующих статьях.
«Облачные» вычисления — это всерьез и надолго, и такое развитие событий благоприятно для специалистов по управлению учетными данными. Несмотря на опасения относительно виртуализации и переноса приложений целиком в «облако», хранилища учетных данных в обозримом будущем останутся на месте. В соответствии с основными принципами безопасности AD останется внутри компании. С развитием «облачных» вычислений администраторам придется решать новую задачу и овладевать новыми навыками. «Облако» не представляет угрозы для карьеры специалиста по управлению учетными данными; скорее, оно открывает перспективы роста.
Шон Дьюби (sdeuby@windowsitpro.com) — старший аналитик в компании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем. Внештатный редактор Windows IT Pro, имеет звание MVP