Модернизация Active Directory: практическая основа для начала пути

Мне посчастливилось (или не повезло), что я работал с Active Directory со времен Windows 2000 Server, и это дало мне некоторое представление о том, насколько сложными могут стать проекты реструктуризации, консолидации и миграции Active Directory, особенно в крупных корпоративных средах.. И как только я подумал, что наконец понял, как работает Active Directory, как ее можно развернуть и управлять ею, появляется Azure Active Directory (Azure AD), которая взрывает все — якобы для того, чтобы сделать Active Directory проще, но в действительность требует совершенно нового подхода к управлению идентификацией. Каков наилучший подход к настройке корпоративной среды Active Directory в настоящее время? Чтобы помочь мне получить представление о современных передовых методах модернизации Active Directory, чтобы я мог поделиться ими с нашими читателями TechGenix, я попросил Яна Линдсея ввести меня в курс дела по этому вопросу. Ян работает в ИТ-индустрии более 30 лет и является консультантом по стратегическим системам в компании Quest Software, где он отвечает за предоставление решений и рекомендаций по архитектуре основным клиентам в Центральном и Восточном регионах. Его опыт варьируется от разработки программного обеспечения для UNIX до проектирования корпоративных сетевых инфраструктур с использованием новейших технологий. До прихода в Quest Иэн почти 14 лет был старшим специалистом по технологической стратегии в Microsoft и отвечал за клиентов из сферы здравоохранения в группе по работе с клиентами Microsoft в Питтсбурге. Вы можете узнать больше о Яне из его блога и найти его в Твиттере по адресу @ilindsay760. Теперь давайте послушаем Иэна, который описывает практическую основу гибридной модернизации Active Directory, которой смогут следовать многие компании. Давайте передадим слово Яну.

Понимание необходимости модернизации Active Directory

Модернизация Active Directory уже несколько лет является общей темой в отрасли, но для каждого клиента она всегда означала что-то свое. Самый простой способ, которым я могу определить модернизацию Active Directory, — это оптимизировать вашу Active Directory для поддержки меняющихся потребностей вашего бизнеса. Раньше клиенты спрашивали меня о модернизации Active Directory, когда им требовалась помощь с миграцией, консолидацией или реструктуризацией AD. Сегодня, со всеми громкими утечками данных в новостях, стремление к модернизации AD сходится с необходимостью сильной кибербезопасности.

AD по-прежнему является основой вашей ИТ-среды, поскольку это единая точка аутентификации и авторизации. Он контролирует доступ ко всем критически важным ресурсам и является стержнем любого крупного проекта или инициативы. Это актуально даже сегодня, поскольку все больше компаний используют облачные технологии и поддерживают подход своих сотрудников к работе с ориентацией на мобильные устройства. На самом деле стремление к цифровой трансформации делает рекламу более важной, чем когда-либо. Многим инфраструктурам AD от 10 до 15 лет, и со временем они значительно выросли. Те, кто полагался на AD, узнали, что эти ранние развертывания часто плохо приспособлены для удовлетворения потребностей современных технологий и требований бизнеса. Это особенно актуально для крупных организаций со сложной инфраструктурой. Без надлежащей очистки и консолидации организации могут столкнуться с рисками безопасности и соответствия требованиям при переходе в облако.

У большинства клиентов, с которыми я работаю, среда AD является гибридной. Их локальная служба AD остается основным источником проверки подлинности и авторизации, и они синхронизируют эту локальную службу AD с Azure AD с помощью Azure AD Connect. Локальные учетные данные позволяют аутентифицировать пользователей в Office 365, пользовательских облачных приложениях и распространенных приложениях SaaS, таких как Dropbox, приложения Google и AWS, как показано на рисунке ниже.

По мере расширения облачных площадей риск и сложность защиты, управления и обеспечения соответствия для вашей гибридной среды AD увеличиваются, что делает предприятия уязвимыми и незащищенными. С таким количеством систем и пользователей, которые полагаются на AD, даже незначительное нарушение или простой могут повлиять на все предприятие. Вот почему так важно подумать о модернизации вашей среды AD, чтобы вы могли лучше удовлетворять эти потребности.

Для этого вам необходимо комплексное решение для модернизации, которое может сократить время, затраты и риски, связанные с управлением вашей гибридной AD, а также повысить производительность, гибкость и безопасность вашей критически важной инфраструктуры. Итак, что вы должны учитывать?

Миграция, консолидация и реструктуризация AD

На заре Active Directory приходилось принимать решение о том, собираетесь ли вы выполнить обновление существующей среды Windows NT 4.0 на месте или же вы собираетесь выполнить миграцию «с нуля». Некоторые организации имели несколько доменов и комбинировали оба. По мере того, как популярность AD росла, число новых миграций уменьшалось, а количество консолидаций AD на уровне леса увеличивалось (особенно в связи с быстрым ростом числа слияний и поглощений). В современном мире происходят миграции AD с целью объединить всех пользователей в один централизованный домен, чтобы ИТ-отдел мог установить и поддерживать единый набор политик безопасности для всей организации. Это обеспечивает более надежную защиту конфиденциальных данных, а также решает важные проблемы управления системами и соответствия требованиям.

Вне зависимости от предполагаемого результата вашего бизнеса, миграция AD может быть очень сложной и трудоемкой. Чтобы упростить миграцию и обеспечить безопасный доступ пользователей к рабочим станциям, необходимо помнить о следующих советах:

• Знайте свои данные до начала миграции — как Аннет Э. Рейкоу, ИТ-директор Adient US, поделилась с Quest: «Узнайте свои данные до начала миграции. Кто такие пользователи, какие серверы/рабочие станции будут мигрировать и какие приложения будут мигрировать? Чем чище ваши данные, тем проще будет миграция».
• Протестируйте свой план миграции — отразите свою производственную среду AD в тестовой среде, чтобы проверить влияние ваших процессов ручной и автоматической миграции. Если тестовая миграция прошла успешно, то вы знаете, что живые также будут успешными. Если вы столкнулись с проблемами во время тестирования, вы можете разработать процесс для их обхода или восстановления, если они возникнут во время реальной миграции.
• Будьте особенно осторожны с устаревшими приложениями и данными — большинство приложений Windows будут продолжать работать нормально. На что нужно потратить больше времени, так это на приложения, отличные от Windows, которые используют AD в качестве каталога LDAP. Нам нужно найти их и то, как они звонят в каталог. Затем нам нужно смягчить эти приложения, либо исправив приложение напрямую, либо внедрив сервер виртуального каталога, который будет перехватывать вызовы AD и автоматически перенаправлять их в новый каталог.
• Будьте готовы к неожиданностям. Как сказал нам Кертис Мавити, системный инженер из Avera Health: «Всегда будьте готовы к неожиданностям. В наших миграциях AD есть сценарии, которые застали нас врасплох. Имейте готовый план, чтобы справиться с этим, и помните об удобной опции отмены».

Гибридное восстановление AD

Комплексные возможности резервного копирования и восстановления AD необходимы сегодня каждой организации. В конце концов, объекты все время неправильно модифицируются или удаляются, либо злонамеренно, либо случайно. Атрибуты перезаписываются неисправными сценариями. Жесткие диски выходят из строя. Базы данных повреждаются. И грянут стихийные бедствия. Чтобы обеспечить непрерывность бизнеса, необходимо иметь возможность быстро и эффективно восстанавливать отдельные объекты или атрибуты — или весь домен или лес Active Directory. Кроме того, чтобы соответствовать многим нормативным требованиям, вы должны быть в состоянии продемонстрировать эффективность ваших процедур резервного копирования и планов аварийного восстановления. Наконец, как насчет миграции или консолидации? Мы собираемся переместить много объектов вокруг. Сверните и удалите потенциально несколько доменов. Мы планируем и планируем, но что-то все равно идет не так. Итак, давайте удостоверимся, что в случае какого-то непредвиденного события мы сможем легко вернуться в хорошее состояние. Сейчас я не говорю о стандартном резервном копировании сервера. Нам нужна резервная копия для гибридной Active Directory, которая позволит нам восстанавливать объекты вплоть до уровня атрибутов.

Наличие надежного локального решения необходимо, но сегодня этого недостаточно, поскольку организации все шире используют облачные атрибуты, группы Office 365, группы Azure AD, учетные записи B2B/B2C и другие функции гибридной среды AD для улучшения взаимодействия с пользователем.. Поскольку синхронизация Azure AD Connect в большинстве случаев является односторонней, от локальной AD к Azure AD, эти облачные объекты не охватываются вашими локальными инструментами резервного копирования и восстановления. Корзина Azure AD — это удобный способ восстановить некоторые недавно удаленные объекты, но она никогда не предназначалась для использования в качестве корпоративного решения для резервного копирования и восстановления.

В целях безопасности и соответствия требованиям необходимо обеспечить доступность и целостность как локальной AD, так и Azure AD. А поскольку эти два каталога тесно переплетены, вам необходимо комплексное решение.

Безопасность гибридной рекламы

Поскольку AD является основным каталогом аутентификации и авторизации для более чем 90 процентов предприятий мира, он является частой целью кибератак. И по мере того, как распространение Microsoft Office 365 продолжает расти, сложность защиты AD возрастает.

Усиление внешней безопасности не является гарантией безопасности AD, потому что самые большие угрозы для безопасности AD носят внутренний характер, и более половины неправомерных действий внутренних сотрудников связано со злоупотреблением привилегиями. Недовольный или жадный сотрудник, особенно с административной учетной записью, или злоумышленник, который скомпрометирует такую учетную запись пользователя, может использовать технические уязвимости и человеческий фактор, чтобы запустить утечку данных изнутри.

Мониторинг журналов событий AD и Azure AD — это начало, но многие внутренние угрозы используют незарегистрированные события. Более того, список вещей, которые нужно искать, чтобы обнаружить подозрительные действия, длинный, и нет собственного способа автоматизировать обнаружение или исправление. Дело в том, что пользователям для выполнения своей работы необходим доступ к ресурсам, а иногда им нужны привилегированные права доступа. Ключом к безопасности AD является баланс между необходимостью оптимизации доступа пользователей для повышения производительности и необходимостью защиты конфиденциальных данных и систем как от случайного, так и преднамеренного злоупотребления привилегиями. В конечном итоге вам необходимо найти решения, которые помогут вам постоянно оценивать разрешения для выявления уязвимостей; обнаруживать и предупреждать о подозрительной активности; автоматизировать задачи управления безопасностью; а также расследовать и устранять нарушения безопасности

Модернизация Active Directory: начало пути

Модернизация Active Directory — это путешествие, а не пункт назначения. Описанные выше этапы можно выполнять в любом порядке, и нет необходимости выполнять их все. Однако, если вы пойдете по этому пути, у вас будет много преимуществ, включая снижение затрат, более строгую безопасность и более счастливых пользователей. Свяжитесь со мной для получения более подробной информации.