Погоня за Microsoft Exchange в России близка к финалу

Погоня за Microsoft Exchange в России близка к финалу

Погоня за Microsoft Exchange в России близка к финалу

Переход на российские почтовые сервисы стал вопросом, без преувеличения, национальной безопасности. Участники эфира AM Live оценили то, насколько готовы российские продукты заменить Microsoft Exchange.

 

 

 

 

 

 

 

  1. Введение
  2. Стоит ли спешить с заменой Microsoft Exchange
  3. Миграция. В чём особенности?
  4. Функциональность — главный критерий выбора
  5. Миграция. Как это делается?
  6. Прогнозы развития рынка
  7. Выводы

Введение

Темой очередной дискуссии в эфире AM Live стали практические вопросы миграции с Microsoft Exchange на отечественные решения. После усиления санкционного давления и ухода Microsoft из России использование этого почтового сервера стало для многих российских компаний проблемой, поскольку оказались недоступными обновления. Учитывая, что уязвимости в Exchange давно стали легендарными, вопрос о замене поднялся со всей остротой даже без требований регуляторов. Тем более что отечественные альтернативы есть.

 

Рисунок 1. Участники эфира в студии AM Live

Участники эфира в студии AM Live

 

В качестве экспертов в эфир были приглашены:

  • Павел Боглай, руководитель отдела информационной безопасности компании «Криптонит».
  • Михаил Зарембо, руководитель продуктовой экспертизы, «РуПост».
  • Игорь Коптелов, главный конструктор, «Иридиум».
  • Андрей Столяров, ИТ-директор компании «Сбербанк-Технологии».

Ведущий дискуссии — генеральный директор «АМ Медиа» Илья Шабанов.

 

 

Стоит ли спешить с заменой Microsoft Exchange

Открывая дискуссию, Илья Шабанов обратил внимание на то, что тема замены Exchange вызывает баталии, иногда перетекающие в самые настоящие религиозные войны (хотя лет 15 назад большинство работало на почтовых серверах с открытым кодом вроде Sendmail или Postfix). По его мнению, это можно объяснить удобством использования, в том числе за счёт высокого уровня интеграции с системами унифицированных коммуникаций вроде Teams или Skype. Осознание необходимости замены у пользователей он поместил между стадиями гнева и торга в стандартной модели Кюблер-Росс.

 

Руководитель отдела информационной безопасности компании «Криптонит» Павел Боглай

Руководитель отдела информационной безопасности компании «Криптонит» Павел Боглай

 

Павел Боглай:

— Электронная почта является основой основ в ИТ-инфраструктуре компании. Неслучайно её подключение является одним из первых шагов при приёме на работу нового сотрудника, для которого Outlook становится полезным инструментом, помогающим разобраться в структуре компании. 

Любой простой почтового сервера имеет критическое значение для бизнеса, и для обеспечения непрерывности его работы применяют все возможные средства. В Exchange они встроены. Эта инфраструктура формировалась почти 30 лет, и её замена — вопрос в значительной степени политический. 

 

Главный конструктор компании «Иридиум» Игорь Коптелов

Главный конструктор компании «Иридиум» Игорь Коптелов

 

Игорь Коптелов: 

— Microsoft Exchange представляет собой не просто корпоративный почтовый сервер, а решение для обеспечения корпоративной групповой работы. Оно включает в себя календари, адресные книги, всевозможные справочники, средства выделения и распределения ресурсов. Всё это тесно интегрировано с доменной инфраструктурой. И именно функции групповой работы сложны в реализации. 

Кроме того, Exchange обладает очень высокой масштабируемостью, которую решения с открытым кодом обеспечить не в состоянии — равно как и полноценную интеграцию со средствами обеспечения безопасности, включая криптозащиту и электронную подпись.

Также, как обратил внимание Игорь Коптелов, связка Exchange с клиентским приложением Outlook выходит далеко за рамки стандартных протоколов. По словам спикера, за полтора года работы в DeepMail (продукте компании «Иридиум») было реализовано около 650 новых функций.

 

Руководитель продуктовой экспертизы компании «РуПост» Михаил Зарембо

Руководитель продуктовой экспертизы компании «РуПост» Михаил Зарембо

 

Михаил Зарембо:

— Microsoft Exchange столь тесно укоренилась благодаря экосистемному подходу, который объединяет её элементы с самого низа, начиная от операционной системы и службы каталогов. При замене Exchange стоит задача не воспроизвести отдельный элемент этой экосистемы, а воссоздать её полностью, для чего необходимо разработать не один продукт, а десятки.

 

ИТ-директор «СберТеха» Андрей Столяров

ИТ-директор «СберТеха» Андрей Столяров

 

Андрей Столяров:

— Exchange — это ещё и полноценная система электронного документооборота. Плюс ко всему, высокий уровень интеграции разных компонентов всей инфраструктуры вокруг Exchange требует менять её всю целиком, а не отдельные части. 

Кроме того, в реестре российского ПО сейчас насчитывается 11 систем, позиционируемых как замена Exchange. Поддерживать их все не может ни один интегратор, даже крупный.

По мнению Андрея Столярова, риски при использовании Exchange внутри корпоративного контура малы, серьёзных инцидентов не было. Вопросы поддержки тут решаются с помощью интегратора. Но если использовать Exchange в облаке, как публичном, так и гибридном, возникают существенные риски, связанные с возможным дистанционным отключением со стороны Microsoft, особенно после очередного ужесточения санкций 12 сентября.

 

Генеральный директор «АМ Медиа» Илья Шабанов

Генеральный директор «АМ Медиа» Илья Шабанов

 

Илья Шабанов:

— Не забываем также о том, что Microsoft ушла из России и поэтому говорить о технической поддержке её продуктов не приходится. Это означает, что уязвимости закрыты не будут. В сочетании с угрозой дистанционного отключения всё это создаёт серьёзный риск утраты непрерывности бизнес-процессов. Плюс ко всему, есть риск потери конфиденциальности.

Как напомнил Игорь Коптелов, основным документом, который обязывает госучреждения и компании с госучастием заменять любое иностранное ПО, является постановление Правительства РФ № 1236, принятое ещё в 2015 году. Также, по оценке эксперта, законодательство по защите критической информационной инфраструктуры требует использовать доверенное ПО, к которому продукцию Microsoft относить нельзя. Спикер поделился историей о том, что разработка DeepMail была заказана одной организацией, которая небезосновательно опасалась, что её переписку через почту Google или Microsoft могут читать посторонние.

Андрей Столяров отметил, что электронная почта остаётся основным юридически значимым средством обмена документами, несмотря на широкое распространение мессенджеров, в том числе корпоративных. По его словам, на уровне группы «Сбер» удалось создать систему, которая аналогична Exchange по функциональности, в том числе в плане интеграции со средствами унифицированных коммуникаций.

Михаил Зарембо обратил внимание на два обстоятельства. Одно из них связано с дефицитом оборудования, многие вынуждены использовать серверы 2009 года выпуска. Другую проблему составляют дефицит ИТ-персонала и высокая загрузка имеющегося, поэтому затраты времени на переобучение администраторов, привыкших к продуктам Microsoft, должны быть минимальными.

Как показал первый опрос, уже мигрировали на российское решение 11 % зрителей, ещё 9 % его тестируют (рис. 2). Более 20 % не видят альтернативы Exchange, а 16 % не планируют его заменять чем-то другим. Эту ситуацию Илья Шабанов сравнил с той, что сложилась на рынке средств сетевой безопасности в 2022 году, сразу после ухода зарубежных вендоров.

С другой стороны, как подчеркнул Павел Боглай, доверие к отечественным вендорам со стороны пользователей сейчас высоко как никогда. Они осознали, что игры в импортозамещение кончились и настало время серьёзной практической работы.

 

Рисунок 2. Отношение зрителей эфира к замене Exchange на отечественные аналоги

Отношение зрителей эфира к замене Exchange на отечественные аналоги

 

Миграция. В чём особенности?

По мнению Игоря Коптелова, в основном сложности связаны с миграцией тех функций, которые связаны с обеспечением групповой работы, включая политики безопасности и данные по идентификации. С переносом почтовых сообщений больших проблем обычно не возникает.

Михаил Зарембо на это возразил, что проблемы с миграцией часто возникают даже при обновлении самого Exchange. При этом, как отметил спикер, повреждение баз или их фрагментов является чуть ли не рядовым событием. Поэтому одной из важнейших задач, которые поставил перед собой «РуПост», оказалась переработка концепции DAG в Exchange, чтобы сервер не был привязан к конкретной базе и не было никаких ограничений. Это повышает отказоустойчивость и снижает вероятность аварий.

Андрей Столяров обратил внимание на то, что источником проблем могут стать не только серверные компоненты, но и клиентские. В итоге нередко возникает ситуация, в которой после проекта миграции пользователи пропускают важные совещания, поскольку уведомление не пришло в почтовый клиент. 

Кроме того, по мнению спикера, существует своего рода «налог на патриотизм»: отечественные решения требуют для обслуживания больших человеческих ресурсов. Сложнее также будет интеграция с другими системами, включая средства идентификации и аутентификации пользователей или защиты от утечек. Плюс ко всему, требуется выделить время для обучения как ИТ-персонала, так и конечных пользователей.

Игорь Коптелов признал, что отечественным продуктам пока ещё предстоит добиться того, чтобы их поддержка требовала минимального объёма усилий. У российских компаний намного меньше ресурсов и нет тех без малого 30 лет, которыми располагали разработчики того же Exchange. Важным резервом тут может стать широкое использование средств автоматизации, начиная от установки и заканчивая постинсталляционной настройкой и развёртыванием клиентского ПО. Последнее, как подчеркнул Игорь Коптелов, особенно важно, в т. ч. для крупных компаний, где трудно выделить много ресурсов для установки и настройки клиентского ПО. В продукте DeepMail, по его словам, реализована отказоустойчивая геораспределённая инфраструктура хранилищ.

Михаил Зарембо особо отметил, что мнение о системах, которые предназначены для замены Exchange, формируют пользователи, а не администраторы. Это видно даже при беглом изучении технических требований, при составлении которых за образец явно берут Outlook. И подчас важнее оказывается автоматизация задач пользователя, а не администратора — равно как и интеграция на уровне клиентов, в том числе со средствами обеспечения информационной безопасности. 

Как показали результаты второго опроса, главными критериями выбора продукта являются функциональность, а также сочетание надёжности и производительности (рис. 3). Впрочем, как отметил Андрей Столяров, эти пункты очень тесно связаны. Бизнес хотел бы избежать как переучивания пользователей, так и потенциальных проблем с функционированием одного из наиболее критически важных элементов ИТ-инфраструктуры.

 

Рисунок 3. Основные критерии выбора почтового сервера

Основные критерии выбора почтового сервера

 

Павел Боглай назвал большой ошибкой пренебрежение качеством документации и технической поддержки. Он сослался на личный опыт такой миграции, где данный фактор был как минимум одним из наиболее значимых, а иногда даже ключевым. Михаила Зарембо также удивила серьёзная недооценка фактора технической поддержки, который важен для молодых продуктов. 

Функциональность — главный критерий выбора

По мнению Игоря Коптелова, основным критерием является поддержка тех функций, к которым уже привыкли потенциальные заказчики. Предложить что-то другое означает изменить методы взаимодействия, на что редко соглашаются. Поэтому набор функций должен быть максимально приближен к замещаемому решению. Кроме того, важна простота миграции.

Также спикер обратил внимание на то, что использование Outlook в качестве клиента может мешать задействовать всю функциональность решения. Плюс ко всему, если оставить клиент от Microsoft, то импортозамещение будет непоследовательным. Программное обеспечение с открытым кодом — не панацея, прежде всего потому, что на планы разработчиков того же Thunderbird повлиять как минимум сложно. Нельзя забывать и о том, что использование подобного ПО усложняет поддержку. Поэтому «Иридиум» пошёл на разработку собственных клиентских приложений под все платформы, включая веб. По оценке Игоря Коптелова, затраты на создание продукта «с нуля» и варианта (форка) системы с открытым кодом будут сопоставимыми.

Илья Шабанов поделился опытом миграции с облачных сервисов Google на облачную инфраструктуру «Яндекса». Он назвал этот опыт непростым и даже болезненным, поскольку одни и те же функции в каждом сервисе реализованы по-разному.

Игорь Коптелов призвал делать интерфейсы максимально близкими к Outlook, чтобы сделать пользовательский опыт менее болезненным, но при этом оптимизировать пути до востребованных функций, чтобы до них было проще добраться.

Павел Боглай напомнил, что Outlook стал фактическим стандартом клиентского приложения, с чем приходится считаться разработчикам альтернативных решений. К примеру, коннекторы для Outlook есть у Kerio и Zimbra. Он предложил российским вендорам объединиться и выпустить унифицированное клиентское приложение, совместимое с любым из серверов. Игорь Коптелов, однако, назвал реализацию такого подхода труднореализуемой, поскольку подходы вендоров различаются, иногда очень серьёзно. 

Михаил Зарембо среди важных факторов назвал техническую поддержку вендора. Также на переходный период важно обеспечить сосуществование старой (в ряде случаев даже не одной старой) и новой системы в одной инфраструктуре. Кроме того, спикер обратил внимание на качество клиентского ПО. Оно должно обеспечивать не только необходимую функциональность, но и возможность интеграции с другими системами. К серверной части данное требование также применимо в полной мере. 

Михаил Зарембо назвал примером универсального клиента «РуПост Десктоп», который существует для Windows и «большой тройки» российских Linux и совместим со всеми отечественными системами, претендующими на замену Exchange. По интерфейсу и цветовой гамме он максимально похож на Outlook. Есть также полнофункциональная веб-версия. Но использование проприетарных протоколов вроде ActiveSync или MAPI неприемлемо, в том числе из-за их небезопасности. Также у «РуПост» есть защищённое решение WorksPad для мобильных платформ, которое позволяет получить доступ не только к почте, но и к мессенджерам или сервисам видео-конференц-связи.

Как особо отметили представители вендоров, у них имеются калькуляторы, позволяющие проводить сайзинг серверного оборудования для развёртывания того или иного решения. Игорь Коптелов заявил, что инструмент для DeepMail позволяет рассчитать также требования к системе хранения, а Михаил Зарембо отметил сходство калькулятора «РуПост» с аналогом от Microsoft. Но, как предупредил Игорь Коптелов, ни один калькулятор не заменит натурного эксперимента. Одними лишь вычислениями профиль нагрузки пользователя не определишь.

Андрей Столяров также остановился на функциональности, которую он предложил разбить на блоки, выделив безопасность, серверные компоненты, клиентскую часть, средства администрирования. Важным параметром, с его точки зрения, является и вложенность в бизнес-процессы компании. Также весьма большое значение имеют средства направленные на удаление фишинговых сообщений.

В качестве клиента в «СберТехе», как отметил Андрей Столяров, используется почтовый клиент из состава офисного комплекса Р7. Он также имеет интерфейс в стиле Outlook, и миграция на него не занимает много времени. А вот массовые мобильные почтовые клиенты крайне опасны, и в компаниях, которые серьёзно подходят к обеспечению безопасности, их использование, по мнению спикера, недопустимо. 

Павел Боглай назвал единственным способом определить, подходит продукт или нет, проведение пилотного тестирования. Только так можно понять, работает ли заявленная вендором функциональность, а если работает, то устраивает ли компанию то, как реализована та или другая возможность. Как отметил эксперт, очень часто некоторые востребованные функции работают только с дополнительными «навесными» модулями или при использовании каких-то сторонних инструментов. 

Миграция. Как это делается?

По словам Игоря Коптелова, главное в процессе миграции — правильно перенести в новую систему не только почтовые базы, но и все события из календаря, а они не всегда стандартны, из-за чего альтернативный клиент либо игнорирует их, либо аварийно завершает работу. Процесс миграции должен максимально учитывать наличие таких нестандартных событий, чтобы они не пропали. 

Также два решения, как уже упоминалось, должны в течение переходного периода работать совместно. Это позволит в случае необходимости откатиться на прежнее, если что-то пойдёт не так. Но идеальным Игорь Коптелов назвал тот вариант, когда оба клиента синхронизируются с обоими серверами, причём без участия технического персонала.

Михаил Зарембо считает, что наличие плана проекта обеспечит как минимум половину успеха миграции. Это показывает весь личный опыт участия в таких проектах. Данный процесс, как предупредил спикер, сложен и коварен.

План должен включать в себя не только перечень данных, которые будут мигрировать из новой системы в старую, и очерёдность процесса для разных подразделений. Михаил Зарембо напомнил, что любая более-менее крупная инсталляция Exchange пережила несколько обновлений, в ходе каждого из которых возникает множество артефактов. Выявить их поможет тщательный аудит инфраструктуры, а также самого Exchange и его баз.

Вторая половина успеха, как отметил эксперт, обеспечивается организационно-техническими мерами. Они охватывают в том числе средства автоматизации. Если 100 ящиков можно мигрировать за выходные, то 1000 — уже нет, и тут требуется обеспечить сосуществование старой и новой систем. Однако такое сосуществование накладывает большую нагрузку на техническую поддержку заказчика.

Использование IMAP для миграции, по мнению Михаила Зарембо, — не лучший выбор из-за низкой скорости и проблем с безопасностью. Лучше использовать EWS, хотя и тут есть сложности, поскольку этот протокол чувствителен к сетевым задержкам, которые необходимо устранять. Но EWS намного быстрее и позволяет сохранить настройки доступа к папкам и календарям, восстановление которых очень трудоёмко. В процессе переноса необходимо чётко документировать все операции. 

Процесс переноса можно (а часто и нужно) разделить на этапы. В инструменте от компании «РуПост» таких этапов три: общий перенос, дельта и финализация. При этом, как подчеркнул Михаил Зарембо, необходимо учитывать, что в процессе миграции пользователи продолжают работать и им приходят письма. Поэтому и необходимо выявить дельту — те письма, которые поступали, когда шла первая фаза процесса.

Также спикер обратил внимание на то, что переход на новое решение нередко является частью комплексного проекта, включающего в себя миграцию с Windows-инфраструктуры на отечественные операционные системы. В ходе неё меняются клиентское ПО и службы каталогов. Тут важно обеспечить очерёдность: переход на новую службу каталогов должен произойти до замены почтового сервера. В противном случае придётся заново проделывать большой объём работы.

Павел Боглай обратил внимание на проблему работы с локальными архивами. Альтернативные клиенты не всегда корректно импортируют данные из PST-файлов. Плюс ко всему, по его оценке, отечественные разработчики, в отличие от Microsoft, не успели накопить лучшие практики в области обеспечения безопасности. Поэтому ИБ-служба должна активно участвовать в проекте. 

Также Павел Боглай напомнил, что многие компании используют для разных контуров разные почтовые системы. Миграция на отечественное решение часто означает переход на одну систему. А при миграции с Zimbra или Kerio, как отметил спикер, существует масса нюансов, которые нужно учитывать. 

Как показал третий опрос зрителей, основными проблемами при миграции с Microsoft Exchange являются перенос данных и сопротивление пользователей (рис. 4). Немного меньшее количество респондентов столкнулись со сложностями при интеграции с другими системами. Михаил Зарембо обратил внимание на то, что фактор отсутствия опыта раньше был более значим, но вендоры проделали определённую работу и сняли его остроту за счёт выпуска документации, организации обучения и усиления направления технической поддержки.

 

Рисунок 4. Основные сложности при миграции с Microsoft Exchange

Основные сложности при миграции с Microsoft Exchange

 

Прогнозы развития рынка

Павел Боглай разделил российский рынок на две области: те, на кого распространяются требования 166-го указа, обязывающие перейти на отечественные системы до 1 января 2025 года, и большая часть коммерческого сектора. Вторые, по его оценке, будут лишь экспериментировать с отечественными продуктами, продолжая использовать привычные решения. Ситуацию сможет переломить какая-то критическая ситуация. 

На российских разработчиках, по оценке Павла Боглая, сейчас лежит большая ответственность, но при этом ресурсы у них ограничены. Пользователи пока готовы мириться с несовершенством и отсутствием некоторых функций, но для вендора главное в такой ситуации — «не наглеть», прежде всего в ценовой политике.

Михаил Зарембо заявил о том, что рынок будет консолидироваться и количество игроков на нём уменьшится до трёх-четырёх. По мнению Игоря Коптелова, это количество следует уменьшить до двух-трёх. 

Как отметил Михаил Зарембо, процесс «погони за Exchange» уже практически завершён. Дальнейшее развитие продуктов, по его оценке, будет связано с созданием экосистем. Также будет усиливаться интеграция со внешними системами, коммуникационными инструментами (мессенджеры, видео-конференц-связь, унифицированные коммуникации), механизмами обеспечения безопасности, а также сервисами на основе искусственного интеллекта, например большими языковыми моделями.

Игорь Коптелов назвал проекты внедрения почтовых решений дотируемыми: вендор на них ничего не зарабатывает. Высокий уровень цен он объяснил узостью российского рынка. Но при этом возможны компромиссные варианты в виде оплаты в рассрочку или использования подписочной модели.

Что касается технологического развития, то эксперт назвал формирование моновендорных экосистем опасным, поскольку этот процесс уничтожает конкуренцию. Прикладные продукты должны, однако, интегрироваться с имеющимися экосистемами. По мнению Игоря Коптелова, процесс перехода на российские почтовые системы займёт от трёх до пяти лет. В течение трёх лет, по словам спикера, начнётся массовый переход, а через пять лет пользователей Exchange не останется.

Андрей Столяров назвал замену почтовых серверов вторым шагом в импортозамещении после перехода на отечественную экосистему рабочих мест. 

Как показал завершающий опрос, мнения зрителей разделились практически пополам (рис. 5). Тем не менее чуть больше половины респондентов всё же настроены позитивно.

 

Рисунок 5. Мнение зрителей о российских почтовых системах

Мнение зрителей о российских почтовых системах

 

Выводы

По мнению участников дискуссии, в целом российские продукты вполне готовы занять нишу Exchange. Пока остаются некоторые шероховатости, прежде всего связанные с миграцией, но в целом они устранимы. Процесс перехода на отечественные решения займёт от трёх до пяти лет.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий! Для этого подпишитесь на наш канал в YouTube.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru