Смена обстановки
Microsoft уверенно заявила о своей переориентации и превращении из «поставщика локальных программных продуктов» в «поставщика устройств и служб». Линейка аппаратных средств компании расширилась от клавиатуры/мыши до планшетов/персональных компьютеров; мой коллега Род Трент уверен, что Microsoft начнет производить серверы. С приобретением мобильного бизнеса Nokia Microsoft вышла на третью позицию на рынке смартфонов после Google и Apple. Были упразднены некоторые важные программы для ИТ-специалистов, такие как подписка на доступ к службе TechNet и программа сертификации Microsoft Certified Master (сертифицированный мастер Microsoft). Я уверен, что это не последние стратегические изменения в Редмонде, о которых нам предстоит узнать в этом году.
Чтобы понять, как эти перемены и общая тенденция перехода от традиционных локальных систем к службам повлияют на карьеру специалиста по учетным данным, рассмотрим еще одну систему инфраструктуры: службу обмена сообщениями. Содержание хорошо отлаженной и надежной инфраструктуры электронной почты – непростое и дорогостоящее занятие, и возможность переложить эти трудности на кого-то другого чрезвычайно соблазнительна. Кроме того, у службы обмена сообщениями есть «ахиллесова пята», а именно, необходимость фильтровать спам и противостоять попыткам получения доступа к конфиденциальным данным и атакам типа «отказ в обслуживании» (DoS). Средства защиты против таких угроз постоянно меняются, и их самостоятельная реализация может оказаться очень затратной. В результате размещаемые решения по организации электронной почты становятся одной из самых популярных целевых задач перехода на «облачные» службы.
Как и в случае с электронной почтой, перспективы специалистов по корпоративным учетным данным зависят от соотношения между локальными и «облачными» решениями. Разница между электронной почтой и системой учетных данных состоит в том, что учетные данные составляют критически важную часть всей ИТ-инфраструктуры, а не являются лишь одним ее аспектом. Поскольку Active Directory (AD) – основной компонент локальной системы учетных данных, давайте посмотрим, как на него влияет соотношение между локальными и «облачными» решениями.
Влияние на Active Directory
При эксплуатации локального решения вы должны полностью брать на себя его обслуживание. Вам приходится развертывать, поддерживать и обновлять инфраструктуру службы (что сопряжено с затратами на аппаратное и программное обеспечение), платить за поддерживающее обслуживание программного обеспечения и выделять средства на содержание персонала. Вы должны также управлять данными службы, то есть выполнять архивирование, послеаварийное восстановление и осуществлять общее руководство. Для AD это означает обслуживание самой AD (доменных контроллеров, DC)) и ее логической административной структуры (учетные данные и сетевые данные). На самых крупных предприятиях управление службой AD и ее данными поручается двум и более группам специалистов (например, группе поддержки инфраструктуры АD и группе управления учетными записями). Как переход к «облачным» службам учетных данных отразится на этих рабочих местах?
Обычно, используя локальные приложения, вы предпочитаете иметь локальную инфраструктуру учетных данных. Конечно, можно иметь локальные приложения и целиком делегировать третьей стороне систему учетных данных, но я рассматриваю это как крайний случай. С привлечением услуг внешнего поставщика ваша инфраструктура учетных данных может уменьшиться в размере, но полностью не исчезнет; существует слишком много идеально функционирующих в производительной среде приложений с чрезвычайно малой или нулевой рентабельностью инвестиций (ROI), вложенных в привлечение внешних ресурсов, и всем этим приложениям для работы требуются учетные данные. Даже если вы легко можете перенести задействованные в рабочем процессе виртуальные машины из своего информационного центра в «облако» (что будет сделать значительно проще, когда в корпоративной среде «нарастит обороты» комбинация Windows Server 2012 плюс Windows Azure IaaS), станете ли вы платить за Windows Azure, если уже вложили средства в собственный информационный центр и эксплуатируете обесцененное оборудование? Со временем, по мере приближения вашего оборудования к полному износу, такой вариант может стать более привлекательным, но это произойдет не сразу.
Гибридное «облако»
Не менее важным фактором является безопасность. Захотите ли вы хранить главное достояние вашей компании (учетные данные и пароли) в общедоступном «облаке»? Вероятнее всего, на ближайшее будущее для своих «облачных» вычислений вы предпочтете частное «облако». А инфраструктура учетных данных, необходимая для локального частного «облака», практически так же, если не более, сложна, как та, что вы имеете сегодня.
Если вы выберете гибридное «облако», вам обязательно понадобится присутствие учетных данных в «облаке» (например, Windows Azure AD или решение IDaaS от другого поставщика), что неизбежно повлечет за собой необходимость управления учетными данными без управления соответствующей службой. Такой сценарий неотделим от обязанностей по управлению мостом учетных данных, который является связующим звеном между локальной AD и «облачными» службами учетных данных.
Аспект управления данными AD несколько менее интересен, что, вероятно, может отчасти утешить специалиста в контексте потенциальной угрозы его карьере. Независимо от использования локального или «облачного» решения (или обоих вариантов), он все равно должен будет обслуживать управление учетными записями, то есть поддерживать жизненный цикл «создание, чтение, обновление, удаление». Меняться будут лишь механизмы поддержки этого жизненного цикла.
Один вход в «облако»
Недавние разоблачения слежки со стороны Агентства национальной безопасности (АНБ) только подчеркнули важность использования федерации для обеспечения однократной регистрации (SSO) к поставщикам «облачных» служб. Федеративные отношения доверия между поставщиком учетных данных и проверяющей стороной не предусматривают предоставления паролей проверяющей стороне (также именуемой поставщиком услуг, например Tripit.com). Вот почему я не рекомендую пользоваться функцией синхронизации паролей утилиты Microsoft Dirsync для Office 365 или других служб на базе Windows Azure; вместо этого Dirsync следует использовать в комбинации со службами федерации Active Directory (AD FS) или другой службой федерации для создания федеративных отношений доверия между вами и Windows Azure AD.
Я думаю, о будущем специалистов по учетным данным беспокоиться нечего. В самом деле, роль учетных данных за последние годы только выросла. Численность установленных экземпляров AD может несколько уменьшиться в предстоящие годы, но еще не скоро наступит время, когда мы станем говорить об AD как об одной из «ранее применявшихся» технологий.