Некоторое время назад мне случилось беседовать с Гилом Киркпатриком, специалистом по Directory Services со статусом MVP (наиболее ценный специалист) и главным архитектором продуктов Active Directory и решений для управления учетными данными в Quest Software. Он прибыл в Соединенные Штаты для участия в конференции экспертов TEC, проводимой Quest. На протяжении ряда лет Гил занимается вопросами управления учетными данными. В приведенном ниже интервью он высказывает интересные соображения в отношении «облачных» вычислений.
С тех пор как ИТ-специалисты поняли, что «облачные» вычисления означают выход за пределы локального информационного центра, они проявляют сдержанность в отношении принятия этой новой модели. Это неудивительно, ведь реальная ситуация несколько сложнее, чем просто ликвидация рабочих мест. В действительности большинство ИТ-специалистов сохранят свою работу. Однако во многих случаях характер этой работы будет отличаться от привычного.
Стивен Роуз, старший менеджер сообщества ИТ-специалистов в Microsoft, удачно сформулировал позицию соискателей рабочих мест: каждый желает быть специалистом, к которому все обращаются по поводу активно развивающихся технологий (виртуализация, удостоверения, PowerShell и др.) и никто не хочет заниматься уходящими направлениями (COBOL, машинные операции уровня 3, операционная система MVS и т. д.). Управление учетными данными я отношу к первой категории, что, однако, не позволяет допускать застой в вашем профессиональном развитии.
В своем интервью Гил дает жизненно важную установку: администраторам AD пора задуматься об управлении учетными данными. Помимо расширения интеграции учетных данных между AD и другими базами данных внутри компании, «облачные» вычисления могут привлечь администраторов к управлению учетными записями при использовании SaaS-приложений (программа как услуга), которыми, несомненно, пользуются сотрудники компании.
Шон Дьюби: Что вы можете сказать об изменениях в сфере учетных данных в последнее время?
Гил Киркпатрик: В прошлом году большинство участников конференции выражали сомнения относительно значимости «облачной» концепции. Сегодня же более половины присутствующих здесь специалистов уверены, что приложения и службы от внешнего поставщика станут частью их повседневной жизни, и это произойдет быстрее, чем они ожидали. Поэтому можно считать, что этап отрицания пройден, и теперь встает вопрос о том, что делать дальше. Это очень важное изменение.
«Облачная» концепция коренным образом изменила наш подход к управлению учетными данными и контролю доступа. На открытии конференции я говорил о всеобщем равнодушии к проблеме управления учетными данными. Изучаются лишь «уроки, извлеченные из 10 лет работы Tech», ни один из которых, по сути, не имеет отношения к технологиям. Впрочем, одним из уроков стало то, что работа в сфере AD фактически означает управление учетными данными, которое никого не заботит. Всех волнуют такие вопросы: смогу ли я иметь доступ к своим информационным ресурсам? Смогу ли закрыть для посторонних доступ к ним? Смогу ли я узнать, кто обращается к моим информационным ресурсам? Нельзя ли обойтись без многократного ввода пароля? Именно эти проблемы мы в итоге должны решать.
И вот мы начали это делать внутри сети, за сетевым экраном, пошли по пути использования паролей, нашли методы обеспечения доступа к данным и закрытия этого доступа для посторонних, а также отслеживания тех, кто получал доступ к данным. Эти методы не всегда хорошо работали и не всегда были управляемы внутри предприятия. Теперь придется все начать заново, за исключением того, что больше не потребуется осуществлять контроль приложений и ресурсов, к которым обращается пользователь. Все это в какой-то мере создает хаос.
Шон: Стоит подумать, что задача решена, как масштаб задачи меняется.
Гил: Да, изменился не только масштаб, но и характер задачи. Главное изменение состоит во всеобщем осознании того, что «облачные» вычисления — это сегодняшняя реальность. Сомнения относительно значимости этой концепции, наблюдавшиеся последние годы, уходят в прошлое. Однако состояние хаоса продлится еще несколько лет.
Шон: Что вы думаете о роли ИТ-специалиста на предприятии?
Гил: В отношении AD-администратора я бы сказал, что специалист в локальной технологии без расширения набора профессиональных знаний, позволяющих постичь «облачные» и другие внешние технологии, не имеет перспективы. Конечно, можно оставаться единственным специалистом в определенной области — например, в программировании на языке COBOL (200 тыс. долл. в год!). Если вы — лучший из лучших в сфере, где больше никого не осталось, то вы представляете безусловную ценность. Однако этот вариант не для меня. Думаю, что необходимо повышать свою квалификацию, стремясь к пониманию «облачной» среды и ее значения для сферы учетных данных. Нужно уметь разрабатывать стратегии и технологии, которые позволят вашей компании эффективно использовать «облачные» приложения и службы.
Шон: Как вы думаете, будет ли происходить перенос хранилищ учетных данных AD в «облако»?
Гил: В некоторой степени это уже происходит. Если сотрудники вашей компании подписываются на внешние службы, например регистрируются на Salesforce.com, то, по существу, это уже означает перенос ваших сведений об учетных данных AD в базу данных Salesforce.
Шон: Таким образом, можно говорить о поставщике учетных данных как о поставщике услуг?
Гил: Совершенно верно. Поэтому я не предвижу массового перемещения, то есть переноса AD целиком в «облако». Думаю, что для многих организаций имеет смысл передача управления учетными данными «облачному» поставщику, и некоторые компании уже начинают это делать — например, Okta и Symplified.
Шон: А также PingConnect. Определение «федерация как услуга» является слишком узким, ведь эти службы выполняют более широкие функции, чем федерация. Они обеспечивают очистку экрана и хранение паролей для приложений SaaS, не поддерживающих федерацию, поэтому здесь больше подходит определение «удостоверения как услуга» (IDaaS).
Гил: Остается понять, кто в итоге будет нести ответственность за сведения об учетных данных, используемые корпорацией при проверке подлинности и принятии решений по авторизации. Все определяет фактор доверия, ведь на самом деле компании известно о сотрудниках лишь то, что указано в формах, заполняемых при приеме на работу. Степень строгости проверки зависит от самой компании. Можно предположить, что в некоторых ситуациях компании будут с готовностью принимать удостоверения, поставляемые третьей стороной — например, VeriSign.
Шон: Таким образом, проблема сводится к обсуждению качества того или иного поставщика учетных данных — Facebook, Google, VeriSign или PayPal.
Гил: Можно предположить такой сценарий: вы устраиваетесь на работу в новую компанию, и в отделе кадров вам задают вопрос: «Каков ваш ID в Facebook?» После того как вы указываете свой идентификатор, вам объясняют ваши должностные функции и выдают сертификат для наклеивания на ноутбук. Это будет служить достаточным подтверждением подлинности для получения доступа к приложениям внутри брандмауэра, используемого компанией, а также к «облачным» приложениям, ориентированным на более широкую аудиторию — например, Salesforce. Такой сценарий может оказаться идеальным вариантом для многих организаций, поскольку позволит им полностью сбросить с себя управление учетными данными и ограничиться лишь привязкой сотрудника к его ID в Facebook. Во многих случаях этого будет достаточно.
Другие организации продолжат управлять своими учетными данными так, как они это делают сейчас. Финансы и медицина — это области, где большое значение имеет лицензирование. По правде говоря, я считаю, что в таких случаях это лишь вопрос времени. Думаю, что компании будут продолжать управлять своими сведениями об учетных данных как минимум еще лет пять или шесть. В отношении небольших организаций полагаю, что они с готовностью подпишутся на услуги «облачного» поставщика, скажем, по цене 1 долл. за удостоверение в год.
Взгляд в будущее
Думаю, что в настоящее время идея переноса локального хранилища учетных данных в «облако» большинству компаний кажется неприемлемой, поскольку существует слишком много вопросов безопасности, а история «облачных» служб пока слишком коротка, чтобы обеспечить им популярность применительно к такому сценарию. Однако в будущем, по мере увеличения числа компаний, рассматривающих это идею, все большее значение будет приобретать относительное качество (точнее говоря, подлинность) учетных данных и хранилища учетных данных, что вызовет к жизни необходимость применения некоего стандарта проверки подлинности, подобно требованиям, применяемым сегодня VeriSign и PayPal.
Захотите ли вы использовать поставщика учетных данных, не требующего средств идентификации, гарантирующих подлинность, для создания вашей учетной записи? Мне известен случай, произошедший в Индии, когда на работу был принят один человек, а приступил к работе совсем другой. Хранилище учетных данных хорошо лишь постольку, поскольку оно основано на действительности. А что вы думаете о хранении вашего удостоверения в «облаке»?
Шон Дьюби (sdeuby@windowsitpro.com) — старший аналитик в компании Platform Vision с 25-летним стажем работы в области корпоративных информационных систем. Внештатный редактор Windows IT Pro, имеет звание MVP