"Аладдин" и "Астра" объединили инфраструктуру и безопасность в единую экосистему
Интервью с генеральным директором "Аладдин" Сергеем Груздевым и директором по серверному ПО "Группы Астра" Алексеем Фоменко
Российский рынок импортозамещения постепенно переходит от замены отдельных зарубежных продуктов к созданию полноценных доверенных ИТ-инфраструктур. На этом фоне "Группа Астра" и "Аладдин" объявили о стратегическом партнёрстве, цель которого — объединить инфраструктурные технологии и технологии безопасности в рамках единой экосистемы. Первым продуктом в рамках партнёрства станет Astra Server Core — комплексное решение на базе операционной системы Astra Linux Server с корпоративным центром сертификации Aladdin Enterprise CA (eCA), службой каталога ALD Pro и менеджером конфигураций ACM. О том, почему безопасность должна закладываться еще на этапе проектирования, какую роль в современных инфраструктурах играют технологии PKI и как новые требования регуляторов меняют подходы к построению ИТ-среды, в интервью с CNews рассказали генеральный директор "Аладдин" Сергей Груздев и директор серверного ПО "Группы Астра" Алексей Фоменко.
"Объединение компетенций позволяет закладывать вопросы доверия и безопасности на этапе проектирования, а не решать их постфактум"
CNews: Сегодня многие компании уже прошли первый этап импортозамещения, но при этом продолжают сталкиваться с проблемами совместимости, управляемости и безопасности инфраструктуры. Можно ли говорить о том, что рынок подошел к необходимости перехода от «догоняющего импортозамещения» к построению полноценных доверенных ИТ-экосистем?
Алексей Фоменко: Да, именно такой переход мы сейчас наблюдаем. Первый этап импортозамещения был направлен на решение задачи технологической независимости: необходимо было заменить зарубежные продукты на российские аналоги и при этом обеспечить непрерывность работы бизнеса.
Однако по мере роста масштаба внедрений стало понятно, что замены компонентов недостаточно. Сегодня заказчики хотят получать не просто набор продуктов, пусть даже совместимых между собой, а полноценную инфраструктурную платформу, которая обеспечивает централизованное управление, безопасность, отказоустойчивость и соответствие требованиям регуляторов.
Поэтому рынок закономерно переходит к построению доверенных экосистем, где безопасность и управляемость изначально заложены в архитектуру.
Сергей Груздев: Если смотреть на ситуацию через призму информационной безопасности, то именно с этим связан наш переход на новый уровень партнёрства с "Группой Астра".
На первом этапе импортозамещения задача во многом сводилась к тому, чтобы повторить возможности экосистемы Microsoft. Тогда казалось, что достаточно просто воспроизвести существующие решения. Но проблема гораздо глубже и в рамках обычного технологического партнёрства ее решить невозможно.
Многие организации сегодня находятся в переходном состоянии: "одной ногой" они остаются в Windows, другой — уже переходят на Linux. При этом Microsoft представляет собой зрелую экосистему, где необходимые механизмы PKI уже встроены в инфраструктуру. В Linux-средах "из коробки" эти компоненты до сих отсутствовали.
В результате компании пытаются воспроизвести привычную архитектуру Windows на российских платформах, сталкиваются с ограничениями, а затем обращаются на рынок с просьбой доработать или дополнительно защитить уже созданную инфраструктуру. Мы регулярно видим архитектурные ошибки и пробелы, которые приходится устранять уже после внедрения.
Поэтому следующий шаг — уйти от догоняющего подхода и перейти к изначально правильному проектированию безопасной инфраструктуры. Именно в этом мы видим основную ценность нашего партнёрства: объединение компетенций позволяет закладывать вопросы доверия и безопасности на этапе проектирования, а не решать их постфактум.
CNews: В чем заключается ключевая идея стратегического партнёрства "Группы Астра" и "Аладдин"? Почему речь идет именно о стратегическом, а не о стандартном технологическом партнёрстве?
Алексей Фоменко: Ключевая идея заключается в объединении компетенций двух лидеров своих рынков. "Группа Астра" отвечает за инфраструктурную платформу и базовые сервисы, а "Аладдин" обладает уникальной экспертизой в области идентификации, аутентификации, инфраструктурой открытых ключей (PKI) и доверенных технологий безопасности.
Мы говорим именно о стратегическом партнёрстве, потому что речь идет не просто о подтверждении совместимости продуктов, как это часто бывает, и не о формальном взаимодействии компаний. Мы синхронизируем продуктовые планы, выстраиваем взаимодействие между продуктовыми командами, совместно проектируем новые решения и формируем единую архитектуру доверенной инфраструктуры для заказчиков.
Это долгосрочная стратегия развития обеих компаний и новый уровень взаимодействия с рынком.
CNews: Одним из центральных тезисов партнёрства стала концепция "Сначала безопасность, потом функциональность" (Secure by Design). Почему подход, при котором инфраструктуру сначала строят, а затем пытаются защитить наложенными средствами, сегодня перестает работать?
Алексей Фоменко: Современные инфраструктуры становятся настолько сложными и распределенными, что эффективно обеспечивать безопасность как дополнительную надстройку становится крайне сложно.
Такой подход приводит к росту затрат и увеличению числа потенциальных точек отказа. Сначала строится ИТ-инфраструктура, затем в нее интегрируются средства защиты, появляются дополнительные настройки, правила и механизмы контроля. Со временем все это усложняется, а управление становится менее прозрачным.
Концепция "Сначала безопасность, потом функциональность" предполагает, что требования безопасности учитываются уже на этапе проектирования архитектуры. Это позволяет создавать устойчивые и управляемые системы со встроенными механизмами доверия, аутентификации и контроля доступа.
CNews: Вы отдельно подчеркиваете, что безопасность должна стать частью инфраструктурного фундамента, а не надстройкой. Как это изменит сам подход к проектированию корпоративной ИТ-инфраструктуры?
Алексей Фоменко: Раньше инфраструктура и безопасность часто рассматривались как два отдельных проекта. Сначала создавалась ИТ-среда, а затем специалисты по информационной безопасности пытались адаптировать ее под требования регуляторов и внутренние политики безопасности.
В рамках нашего с "Аладдин" стратегического партнёрства безопасность становится одним из базовых архитектурных принципов. Уже на этапе проектирования определяются механизмы доверия, управления доступом, идентификации пользователей и устройств. Такой подход позволяет снизить риски, сократить сроки внедрения и сделать инфраструктуру более предсказуемой в эксплуатации.
"Заказчики устали от необходимости самостоятельно проверять совместимость продуктов"
CNews: Одной из ключевых проблем при миграции с экосистемы Microsoft на российские решения остается отсутствие зрелой PKI-инфраструктуры в Linux-средах. Почему именно технологии инфраструктуры открытых ключей сегодня становятся критически важными для корпоративных ИТ-инфраструктур (Enterprise-инфраструктур)?
Алексей Фоменко: PKI — фундамент доверия в современной цифровой среде. На этой технологии строятся механизмы аутентификации пользователей, защита сервисов, электронный документооборот, шифрование данных и взаимодействие между различными системами.
По мере отказа от парольной модели и перехода к более защищённым способам аутентификации роль PKI только возрастает. Без зрелой инфраструктуры открытых ключей сложно обеспечить необходимый уровень безопасности и управляемости, особенно в крупных корпоративных средах.
Сергей Груздев: PKI — это одновременно и технология, и важнейший элемент инфраструктуры. Именно здесь особенно заметна разница между зрелой экосистемой Microsoft и Linux-средами, которая создает сложности при миграции. Одна из наших задач — сделать этот переход максимально бесшовным и устранить разрыв между ИТ и ИБ.
PKI – фундамент корпоративной инфраструктуры. Однако многие организации долгое время не задумывались о ее роли, поскольку в экосистеме Microsoft необходимые механизмы уже были встроены и работали «под капотом».
В процессе импортозамещения стало очевидно, что это стратегически важная технология. Готовых корпоративных решений с открытым исходным кодом в этой области практически нет, а зарубежные технологии такого уровня в Россию не поставляются.
По сути, PKI лежит в основе доверенного взаимодействия всех компонентов инфраструктуры — оборудования, программного обеспечения и пользователей. Именно поэтому для корпоративного рынка она имеет принципиальное значение. Полный стек таких технологий мы разрабатывали на протяжении последних семи-восьми лет.
CNews: А что даст заказчикам встраивание полного стека корпоративного PKI в продукты "Группы Астра"? Насколько это может упростить построение масштабируемой и управляемой инфраструктуры, а также ускорить импортозамещение?
Алексей Фоменко: Для заказчиков это, прежде всего, возможность получить готовую платформу корпоративного уровня без необходимости самостоятельно собирать сложную инфраструктуру из множества компонентов разных производителей. Такой подход позволяет ускорить проекты импортозамещения, снизить риски интеграции и быстрее внедрить механизмы доверия и аутентификации.
Кроме того, заказчик получает единый технологический стек и более предсказуемую модель поддержки в режиме единого окна. Это делает инфраструктуру более надежной и безопасной, а также помогает снизить эксплуатационные риски и затраты.
CNews: В последние годы многие компании столкнулись с проблемами совместимости инфраструктурных решений и средств защиты, особенно при обновлении продуктов разных вендоров. Как партнёрство изменит подход к обеспечению совместимости и синхронизации жизненных циклов продуктов?
Алексей Фоменко: За последние годы заказчики действительно устали от необходимости самостоятельно проверять совместимость продуктов, строить тестовые стенды и решать вопросы интеграции между решениями разных производителей. Чем масштабнее инфраструктура, тем выше ценность готовой экосистемы, в которой основные компоненты уже интегрированы, протестированы и развиваются в рамках единой стратегии и согласованного жизненного цикла.
Такой подход позволяет существенно снизить совокупную стоимость владения инфраструктурой и уменьшить количество рисков при эксплуатации и обновлении систем.
Сергей Груздев: Включение решений "Аладдина" в состав продуктов "Группы Астра" фактически объединяет инфраструктурные и защитные компоненты в единую платформу. Заказчик получает не набор отдельных сервисов и продуктов, а готовое платформенное решение корпоративного уровня, соответствующее тем требованиям к функциональности и надежности, к которым многие привыкли в экосистеме Microsoft.
Это избавляет компании от необходимости искать дополнительные решения на рынке, проверять их совместимость, строить стенды и опасаться, что очередное обновление одного из продуктов нарушит работу всей инфраструктуры.
Не меньшую роль играет и вопрос поддержки. Раньше при возникновении проблем заказчик зачастую оказывался между несколькими поставщиками: каждый подтверждал корректную работу своего продукта, а поиск причины занимал время. В рамках стратегического партнёрства действует принцип единого окна. Заказчик обращается к одному поставщику, а вопросы взаимодействия и совместимости продуктов компании решают между собой. Такой подход дает дополнительную уверенность в стабильности и предсказуемости работы всей платформы.
CNews: Важной частью партнёрства вы называете соответствие новым требованиям регуляторов, прежде всего 117-му Приказу ФСТЭК России. Как сегодня меняются требования к защите ГИС и КИИ и почему бизнесу уже недостаточно просто "накладывать" средства защиты поверх инфраструктуры?
Сергей Груздев: 117-й Приказ ФСТЭК России в определенном смысле меняет сам подход к построению защищённой инфраструктуры. Он вводит ряд принципиально новых требований, которых раньше не было.
Одно из ключевых положений — требование обеспечивать безопасность самой ИТ-инфраструктуры. Это означает необходимость идентификации и аутентификации каждого элемента системы, каждого компонента и организации доверенного взаимодействия между ними. Для реализации такого подхода необходима PKI, которая становится фундаментом всей архитектуры доверия.
Еще одно важное изменение связано с отказом от использования паролей как основного средства аутентификации. По сути, регулятор делает ставку на усиленную и строгую аутентификацию. Если организация продолжает опираться исключительно на пароли, она не может быть уверена, кто именно действует от имени пользователя.
Особенно актуальной эта проблема стала с развитием технологий искусственного интеллекта. Огромные массивы ранее скомпрометированных паролей и учетных данных уже собраны и проанализированы, поэтому атаки на системы, защищённые только паролями, стали значительно проще и эффективнее.
Важно и то, что новый подход позволяет устранять причину проблем, а не бороться с их последствиями. Во многих случаях основная уязвимость связана именно со слабой системой идентификации и аутентификации.
В рамках партнёрства мы стремимся предложить заказчикам готовую безопасную ИТ-инфраструктуру, которая изначально соответствует требованиям регуляторов. Такой подход позволяет получить необходимый уровень соответствия нормативным требованиям "из коробки". Для этого и потребовалась глубокая интеграция наших решений с продуктами "Астры", поскольку именно они обеспечивают выполнение новых требований в части доверия, идентификации и аутентификации.
CNews: В ходе презентации стратегического партнёрства вы также отдельно упоминали постепенный отказ от классической парольной аутентификации. Можно ли говорить о том, что рынок движется в сторону обязательного использования многофакторной аутентификации и централизованного управления идентификацией?
Сергей Груздев: Речь идет не только о корпоративном рынке в узком смысле. Эти требования распространяются на ГИС, на критическую информационную инфраструктуру, а также на подрядные организации, которые подключаются к таким системам. В совокупности это порядка 80% корпоративного рынка.
Даже компании, которые формально не обязаны выполнять требования 117-го Приказа ФСТЭК России, фактически начинают применять их как лучшие практики. Многие прямо говорят, что документ писали не случайно и относятся к нему как к правилам дорожного движения, которые "написаны кровью", поэтому игнорировать их нельзя.
В части аутентификации требования к паролям фактически ужесточаются до уровня, при котором их использование становится ограниченным сценарием: допустимы только локальные непривилегированные пользователи в доверенной среде и только для систем низкого класса защищённости.
При этом сами требования к паролям становятся крайне жесткими — длина, периодическая смена, ограничение попыток ввода. На практике это приводит к тому, что пользователи начинают фиксировать пароли вне систем, что снижает уровень безопасности.
По сути, формируются два ключевых требования: обеспечение доверенного взаимодействия между компонентами инфраструктуры, для чего необходима PKI, и выполнение требований строгой аутентификации пользователей. В этой логике оптимальной моделью становится сочетание PKI и многофакторной аутентификации с централизованным управлением идентификацией, что одновременно закрывает требования регуляторов и повышает практический уровень безопасности.
"Российский рынок переходит от периода замещения отдельных решений к формированию национальных технологических платформ"
CNews: Какие новые продукты и сценарии появятся в результате партнёрства? На каких направлениях планируется сделать основной акцент — защищённая удаленная работа, доверенная загрузка, управление сертификатами, защита рабочих станций или другие задачи?
Алексей Фоменко: Речь идет о появлении комплексных инфраструктурных решений и единой платформы, в которой возможности "Группы Астра" и "Аладдин" будут глубоко интегрированы. Комплексное решение Astra Server Core – первый продукт в рамках стратегического партнёрства. В дальнейшем будут выпущены новые комплексные продукты, объединяющие другие решения "Группы Астра" и "Аладдин", в том числе в области обеспечения безопасной удалённой работы, двухфакторной аутентификации пользователей (2ФА) и шифрования данных.
Фактически формируется единая технологическая база. Отдельное внимание мы планируем уделить сценариям защищённой удаленной работы, доверенной загрузке, управлению жизненным циклом сертификатов и развитию инфраструктурных платформ, максимально адаптированных под задачи заказчиков и соответствующих лучшим мировым практикам.
Сергей Груздев: Мы уже вывели на рынок обновленную версию средства безопасной дистанционной работы Aladdin LiveOffice. Решение изначально разрабатывалось в период пандемии, но сейчас получило новый спрос, в том числе на фоне требований 117-го Приказа.
Оно закрывает задачи безопасного удаленного доступа для сотрудников, включая привилегированных пользователей, администраторов и топ-менеджеров, которым необходимо подключаться к системам вне корпоративного контура — с личных устройств, из поездок или из дома.
Дополнительно решение решает проблему ограниченности корпоративных ИТ-бюджетов и обновления парка устройств. Использование USB-устройства с защищённым терминальным режимом позволяет организовать безопасную работу из недоверенной среды и обходится существенно дешевле, чем закупка новых корпоративных ноутбуков с установленным ПО.
Также продукт закрывает сценарии работы внешних пользователей и подрядных организаций, которые подключаются из неконтролируемых сред.
Второе направление — доверенная загрузка для процессоров "Байкал". Решение реализуется на уровне прошивки процессора: с момента включения устройства обеспечивается контроль целостности операционной системы и приложений, формируя базовый уровень доверия к инфраструктуре.
CNews: Почему для "Аладдин" стало важным выйти за пределы классического ИБ-рынка в сторону инфраструктурных решений, а для "Группы Астра" — усилить именно направление информационной безопасности? Какую синергию это создает для обеих компаний?
Сергей Груздев: Последние семь–восемь лет мы сфокусировались на разработке инфраструктурных продуктов в сфере безопасности — прежде всего, это PKI и решения для двухфакторной аутентификации. При выводе этих решений на рынок стало понятно, что сложившаяся модель распределения ответственности между ИТ и ИБ не всегда позволяет эффективно внедрять такие технологии.
Исторически сложилось разделение: за инфраструктуру отвечают ИТ-специалисты, за безопасность — специалисты по ИБ. В результате у нас возник разрыв в подходах и понимании того, как должны проектироваться и внедряться подобные системы. По сути, мы столкнулись с различием в методологии и практике работы, и нам не хватало компетенций в области инфраструктурного проектирования.
Также стало очевидно, что наши продукты являются фундаментальными для ИТ-инфраструктуры, и без партнера, который отвечает за построение самой инфраструктуры — операционные системы, службы каталогов и базовые сервисы, — их внедрение значительно усложняется.
Поэтому было принято решение о стратегическом партнёрстве. Ему предшествовал длительный этап сотрудничества: технологическое партнёрство, выпуск совместного бандла, синхронизация продуктов на уровне репозиториев. Следующим логичным шагом стала синхронизация жизненных циклов продуктов и переход к модели, при которой решения могут поставляться заказчику как единая экосистема.
Алексей Фоменко: Граница между инфраструктурой и информационной безопасностью постепенно стирается, и заказчики воспринимают их как единое целое, ожидая получить комплексное решение.
Для «Группы Астра» это возможность усилить уровень безопасности собственной экосистемы. Базой выступает серверная операционная система Astra Linux Server, сертифицированная ФСТЭК России по первому уровню доверия, однако при построении управляемой инфраструктуры требуется дальнейшее усиление уровня безопасности.
За счет глубокой экспертизы "Аладдина" в области информационной безопасности экосистема получает дополнительный уровень защищённости, что и является одной из ключевых причин развития стратегического партнёрства.
CNews: Можно ли говорить о том, что подобные партнёрства станут новым этапом развития российского ИТ- и ИБ-рынка? Как, на ваш взгляд, будет меняться сама философия построения доверенной инфраструктуры в России в ближайшие годы?
Алексей Фоменко: Я считаю, что в ближайшее время такие партнёрства действительно станут новым этапом. Российский рынок переходит от периода замещения отдельных решений к формированию национальных технологических платформ. Это следующий уровень зрелости, и он носит эволюционный характер.
Он связан с объединением сильных игроков и созданием комплексных систем, в которых инфраструктура, безопасность, управление и сервисы проектируются как единая архитектура. В ближайшие годы такие проекты будут особенно востребованы.
Подход позволит заказчикам формировать более зрелую и устойчивую цифровую среду — как для корпоративного сектора, так и для государства.
Сергей Груздев: Я полностью согласен с Алексеем. Наше партнёрство — это, по сути, первая ласточка. Дальше рынок придет к пониманию необходимости таких моделей взаимодействия, потому что в одиночку решать задачи построения доверенной инфраструктуры становится все сложнее.