Выбор зависит от используемой среды
Как выбрать подходящую технологию мгновенного обмена сообщениями (IM) для своей организации? Безопасность, стабильность и масштабируемость — основные показатели, которые нужно учитывать, принимая решения в сфере ИТ. На основании этих показателей определяется необходимая внутренняя клиент-серверная модель, обеспечивающая управление системой и возможностями пользователей по применению средств информационного обмена в реальном времени.
Проблемы, аналогичные тем, которые приходится решать в рамках защиты сети (вирусы, черви, подмена соединения, туннелирование брандмауэра, утечка данных), возникают и при обеспечении безопасности систем IM. Служба мгновенного обмена сообщениями должна предусматривать интеграцию с имеющейся инфраструктурой безопасности и осуществлять аутентификацию пользователей совместно с действующей службой каталогов. Корпоративный вариант IM должен обеспечивать защиту сети от лавины угроз, обычно связанных с системами электронной почты, и предусматривать сканирование или блокировку вложений, регистрацию системных событий и архивирование индивидуального использования.
Придется заменить систему телефонной связи и электронную почту, если проблема непроизводительной потери времени ощущалась еще до реализации решения IM. Когда начнет применяться корпоративная система мгновенного обмена сообщениями, пользователи быстро попадут в зависимость от средств поддержки связи, и, если относительный период работоспособного состояния упадет ниже стандартного уровня 95–99%, придется искать более надежное решение. Заметим, что функции корпоративной системы IM не ограничиваются обеспечением способности IM-клиентов отправлять и получать сообщения. Инфраструктура сервера IM должна предусматривать аутентификацию пользователей, регистрацию транзакций в рамках информационного обмена и предотвращать атаки.
Система IM должна отвечать потребностям в масштабировании по мере расширения организации. Немасштабируемая система, хотя и обеспечивает необходимый уровень безопасности и стабильности, выпадает из относительно небольшого числа поистине корпоративных вариантов IM.
Критерии оценки
Учитывая, что имеется свыше 50 воплощений технологии IM, необходимо определить критерии, дабы сузить диапазон выбора. Прежде всего, решение корпоративного уровня должно быть клиент-серверным. Любой IM-клиент подключается к серверу, но в организациях для этого используется сервер с внутренним управлением, а не общедоступный Yahoo! или Google. Сервер должен предусматривать обработку необходимого для конкретной корпоративной среды числа одновременных соединений. В рамках данного анализа положим это число равным 50 000 пользователей.
Корпоративная система IM должна обеспечивать аутентификацию, интегрируемую с существующей службой каталогов, функции контроля и архивирования, а также защиту от вредоносных кодов в виде вирусов, червей и «спима» (IM-эквивалент спама).
Данный сравнительный анализ сводится к рассмотрению функций и возможностей четырех корпоративных IM-технологий: Jabber XCP 5.1 (и соответствующее устройство JabberNow), IBM Lotus Sametime 7.5, Microsoft Office Live Communication Server 2005 и устройства Akonix Systems A-Series. Каждый из указанных вариантов использует свой подход к реализации мгновенного обмена сообщениями, и наш обзор поможет читателям решить, какой из подходов является оптимальным для конкретной организации.
Jabber XCP и JabberNow
Компания Jabber создала технологию Jabber Extensible Communi- cations Platform (Jabber XCP) примерно пять лет назад. Продукт использует протокол Extensible Messaging and Presence Protocol (XMPP), отвечающий стандарту Internet Engineering Task Force (IETF) применительно к технологиям обмена сообщениями и контроля присутствия. Отвечающая за контроль присутствия часть протокола Jabber дает информацию о состоянии пользователя, приложения или системы на другом конце данного сообщения, что позволяет легко вливаться в рабочий процесс. Например, Jabber XCP предоставляет пользователям информацию о присутствии сотрудников, необходимых для утверждения того или иного этапа проекта, что позволяет продолжить работу, не дожидаясь кого-либо из руководителей.
Хотя Jabber XCP является полностью настраиваемым решением, способным функционировать на нескольких платформах, таких как Windows, Red Hat Linux от Red Hat Software и Sun Microsystems Solaris, существует также устройство безопасной связи Jabber-Now. Сервер JabberNow позволяет реализовать функции IM путем быстрого подключения (по принципу рlug-and-рlay) к существующей сети.
Jabber XCP и JabberNow предусматривают архивирование сообщений для обеспечения соответствия и упрощения управления через единый интерфейс XCP Controller (см. экран 1).
Настольный IM-клиент Jabber Messenger имеет довольно мало возможностей, выходящих за рамки обмена сообщениями в реальном времени и контроля присутствия, поэтому здесь не стоит ожидать встроенных функций организации аудио- и видеоконференций, игр или общих блокнотов. Однако, поскольку исходный код Jabber XCP является открытым, можно легко найти и добавить нужные функции.
Jabber Messenger позволяет общаться с несколькими сотрудниками одновременно с использованием закладок, а не отдельных окон. При свертывании посредника, при получении нового сообщения над системным лотком всплывает соответствующее уведомление.
Jabber XCP позволяет создавать конференц-зал, позволяющий участвовать в сеансе связи нескольким пользователям и вести дискуссию в реальном времени. Конференц-зал можно сделать постоянным (т. е. долговременным), так что он продолжает функционировать на сервере, даже когда все участники покидают дискуссию. Те, кто присоединился позднее, могут легко войти в курс дела, просматривая предыдущие 100 сообщений.
Безопасность, стабильность и масштабируемость. Дополнительное подключаемое расширение Jabber XCP обеспечивает интеграцию процесса аутентификации с Windows Active Directory (AD). Расширяемая платформа с компонентной структурой позволяет охватить серверы в пределах одного узла или по нескольким узлам. Единичные серверы способны поддерживать более 20 тыс. пользователей и тестируются на способность поддерживать вплоть до 100 тыс. пользователей. В настоящее время число крупных организаций, использующих Jabber XCP и JabberNow, превышает число организаций, применяющих какое-либо другое корпоративное IM-решение.
Sametime
Технология Sametime была разработана компанией IBM для обеспечения организаций, использующих среду Lotus, возможностью внутрикорпоративного мгновенного обмена сообщениями. Продукт Sametime имеет ряд полезных функций, в частности предоставление информации о присутствии, мгновенный обмен сообщениями и организацию Web-конференций. Версия 7.5 предусматривает поддержку протокола LDAP для доменов AD, интеграцию с Microsoft Office Outlook 2003 и Microsoft SharePoint и поддержку карманных устройств Research in Motion, Nokia и Windows Mobile. Более ранние версии Sametime требуют наличия серверов IBM Domino, что создает необходимость всестороннего тестирования этого продукта в других средах.
Однако для организаций, использующих для обмена сообщениями среду Lotus, Sametime может стать наилучшим вариантом.
В своей «родной» среде Sametime использует сервер Domino как сервер службы каталогов, обеспечения безопасности и репликации, поэтому по уровню безопасности и надежности эта технология аналогична серверам электронной почты Lotus Domino. Аутентификация пользователя осуществляется путем ввода сетевого имени и пароля пользователя при запуске клиента Sametime Connect. После выполнения аутентификации пользователь может взаимодействовать со всеми пользователями сети, а также настраивать Web-конференции с внешними пользователями (см. экран 2).
Прямая интеграция со службой каталогов Lotus Domino упрощает добавление контактов к клиенту Sametime Connect. Поскольку сервер Sametime использует каталог Domino, нет никакой необходимости добавлять учетные записи пользователей в систему. Реализация Sametime сводится в основном к настройке конфигурации компонентов сетевой организации сервера, в частности шлюза Session Initiation Protocol (SIP), и принятию решения о том, какие функции следует активизировать для данного пользователя.
Безопасность, стабильность и масштабируемость. Sametime использует каталог, службы защиты и репликации Lotus Domino и имеет архитектуру Domino, которая характеризуется высокой отказоустойчивостью. Масштабирование и снижение трафика по глобальным сетям достигается путем объединения нескольких серверов Sametime.
Live Communication Server
Технология Microsoft Live Communication Server 2005 — подходящий вариант IM для организаций, использующих AD. Подобно Microsoft Exchange Server, Live Communication Server вносит изменения в схему AD, добавляя специальные атрибуты в учетные записи пользователей доменов. Мастер Live Communication Server позволяет активизировать IM для отдельных пользователей или групп пользователей и указать сервер, к которому будет подключаться данный IM-клиент. Другой мастер помогает администратору выполнить настройку архивирования, удаленного доступа, внешнего подключения и служб интеграции.
Служба архивирования Live Commu-nication Server 2005 Archiving Service позволяет сохранять копии всего трафика IM в организациях, которые должны отвечать требованиям государственного или корпоративного регулирования или проводить анализ использования службы. Можно задать настройки архивирования на уровне пользователя или на глобальном уровне для всей структуры AD, как показано на экране 3.
Параметры настройки внешнего подключения позволяют строго контролировать отправку мгновенных сообщений абонентам за пределы совокупности деревьев AD. Если необходимо взаимодействие с серверами MSN, AOL и Yahoo!, следует дать разрешение каждому пользователю или группе на внешнее подключение. Однако в Live Communication Server 2005 отсутствует функция контроля входящего и исходящего трафика IM-клиентов за рамками упомянутой выше «тройки». Для обеспечения такого контроля в сети придется задействовать брандмауэр и ввести ограничения на установку программ с использованием Group Policy.
Конечному пользователю Live Communication Server 2005 не требуется выполнять настройку клиента Microsoft Office Communicator. Поскольку Live Communication Server предусматривает добавление атрибутов к схеме AD, настройки, относящиеся к IM, становятся частью учетной записи пользователя. При первом запуске коммуникатора конечные пользователи должны вводить только свой идентификатор SIP ID, который обычно представляет собой адрес электронной почты, после чего клиент автоматически соединяется с нужным сервером Live Communication Server. Если необходимо контролировать конкретные настройки клиента, такие как видеовызовы, вызовы с компьютера на телефон и пересылка файлов, можно задействовать Group Policy для удаления соответствующих изменений.
Возможна также интеграция коммуникатора с приложениями Microsoft Office System 2003, что позволяет отправлять сообщения по электронной почте и коллективно использовать приложения в реальном времени. Кроме того, с помощью IM-клиента конечный пользователь может пересылать файлы. В этом случае получателю приходит сообщение с уведомлением о наличии вложения, которое можно открыть или сохранить непосредственно из IM-клиента.
Безопасность, стабильность и масштабируемость. Live Communication Server 2005 предусматривает полную интеграцию с AD при реализации аутентификации и авторизации. Продукт имеет двухъярусную архитектуру, где пулы сервера Live Communication Server подключены к отдельной коллективно используемой базе данных Microsoft SQL Server, что обеспечивает стабильную инфраструктуру IM с высокой отказоустойчивостью. Стандартная версия включает один автономный сервер и базу данных Microsoft SQL Server Desktop Engine (MSDE), а корпоративная версия предусматривает дополнительные интерфейсные серверы, обеспечивающие обработку повышенных нагрузок, тогда как все данные пользователей остаются в центральной базе данных SQL Server.
Устройства Akonix A-Series
Хотя этот вариант нельзя напрямую сравнивать с тремя описанными выше программно реализованными серверными продуктами, я убежден, что обзор технологий IM не может быть полным без упоминания устройств безопасной связи от компании Akonix Systems. Устройства Akonix A-Series представляют собой аппаратные шлюзы IM, работающие под управлением операционной системы AkOS, специально спроектированной в качестве среды информационного обмена в реальном времени. Каждое устройство контролирует внешнюю связь и внутренние средства IM, реализуя политику безопасности под управлением программы Akonix L7 Enterprise, и обеспечивает соответствие требованиям этой политики посредством L7 Enforcer. Консоль управления, показанная на экране 4, обеспечивает доступ к обоим компонентам.
Благодаря использованию стратегического партнерства с разработчиками ведущих клиентов IM, таких как AOL, Yahoo!, IBM, Microsoft и Jabber, устройства Akonix A-Series позволяют безо всякого риска использовать любой IM-клиент по выбору. Устройства Akonix также способны работать с открытыми IM-клиентами, такими как Sun Java IM и Jabber XCP. Программа L7 Enforcer защищает организацию от пользователей, пытающихся обойти корпоративную политику в части IM путем локальной установки клиента. Продукты Akonix выполняют функции шлюза между сетью Internet и корпоративной сетью, благодаря чему весь IM-трафик фильтруется и регистрируется, прежде чем покидает сеть. В рамках внутреннего обмена сообщениями шлюз автоматически направляет трафик получателю, в обход общедоступного IM-сервера, такого как Yahoo! или MSN. Отметим, что устройство работает как маршрутизатор сообщений и не предусматривает функций традиционного IM-сервера.
Интеграция L7 Enterprise с существующей сетью обеспечивается с помощью соединения со стандартными каталогами LDAP, такими как AD, Novell Directory Services и Lotus Domino. L7 Enterprise использует запросы LDAP, что позволяет выбирать поля, импортируемые шлюзом, а следовательно, применять разрешения или фильтровать контент.
Например, для IM-трафика можно ввести ограничения, согласно которым обмениваться сообщениями могут только внутренние пользователи из отдела исследований, а прикреплять файлы — только сотрудники отделов сбыта и маркетинга. Программа L7 Enterprise допускает пользователя до сеанса IM-связи после ввода имени пользователя и пароля, и только тогда пользователь может отправлять и принимать сообщения. Затем шлюз регистрирует деятельность конкретного пользователя.
Устройства A-Series имеют фильтр IM-трафика, блокирующий возможность отправки информации, запрещенной правилами пользования. Машина фильтрации работает аналогично функции Email Rules программы Outlook 2003 и предусматривает зависящие от контекста блокировку или разрешение функций либо контента IM. Устройства ASeries включают антивирусную систему Sophos Antivirus, интегрируемую с Symantec Norton Antivirus в рамках сканирования сообщений, пропускаемых фильтрами шлюза. Антивирусная система предотвращает распространение вредоносных кодов путем распознавания сообщений, отправляемых с закодированными URL-адресами, и постановки этих сообщений в очередь на отправку. Шлюз посылает пользователю сообщение, уведомляя его о потенциальной атаке, и просит ответить на простой вопрос (например, «сколько будет 2 плюс 3?»), после чего фильтр безопасности позволяет сообщениям следовать дальше.
Безопасность, стабильность и масштабируемость. Динамически обновляемая и настраиваемая политика, реализуемая устройствами Akonix, обеспечивает аутентификацию пользователей службы мгновенного обмена сообщениями во взаимодействии со стандартными каталогами LDAP. Шлюз A6000 поддерживает свыше 50 тыс. одновременных соединений. Шлюзы можно локально объединять в группы или распределять между узлами.
Итоги
Каждый продукт имеет специализированные возможности и обеспечивает эффективный обмен сообщениями, отвечающий определенным требованиям организаций. Настраиваемая открытая технология Jabber обладает наилучшим набором инструментальных средств, особенно для предприятий, предполагающих расширение инфраструктуры IM в расчете на включение бизнес-приложений. Остальные решения не обладают высокой настраиваемостью (выходящей за рамки простого обмена сообщениями). Для Sametime и Live Communication Server предусмотрена прямая интеграция с Domino и AD соответственно, что делает эти варианты практичным решением для указанных сред. С точки зрения обеспечения максимального уровня контроля на административном уровне и гибкости на пользовательском уровне устройства Akonix A-Series вне конкуренции.
Как можно предлагать устройство безопасной связи вместо решений с использованием сервера? Единственная разница, с моей точки зрения, заключается в том, где происходит обработка сообщений. С использованием устройств Akonix обработка сообщений осуществляется на общедоступном сервере, тогда как прочие решения предполагают участие внутреннего сервера. Выполнение же важных для организаций функций архивирования и фильтрации сообщений, а также аутентификации пользователей все решения обеспечивают одинаково хорошо.
В ходе тестирования продуктов самое большое впечатление, особенно в отношении корпоративных решений, на меня произвела способность Akonix контролировать весь трафик IM и одновременно осуществлять поддержку всех типов IM-клиентов. В организациях администраторы сталкиваются с проблемой обеспечения соответствия государственным требованиям, касающимся архивирования всего трафика IM. Прочие системы IM, рассмотренные здесь, хорошо справляются с организацией связи в реальном времени, но не способны контролировать тех, кто использует Google Talk или любой другой из 50 IM-клиентов, доступных для бесплатной загрузки.
Как же следует подходить к развертыванию технологии IM на предприятии? Вместо того чтобы сразу вводить единый стандарт IM, рекомендую начать с реализации технологии Akonix, чтобы иметь возможность контролировать обмен информацией в организации. Дело в том, что сотрудники крупного предприятия могут задействовать до 20 различных клиентов IM как для внутренней, так и для внешней связи. Было бы неразумно принуждать всех к отказу от привычных программ в пользу единого внутрикорпоративного решения. Подход, реализованный в Akonix, обеспечивает необходимую безопасность, контроль соблюдения политики и архивирование на корпоративном уровне с минимальным воздействием на конечных пользователей. Реализовав такой вариант, впоследствии можно постепенно привести сотрудников к единому стандартному внутреннему решению IM, например Jabber XCP, Sametime или Live Communication Server, в зависимости от потребностей организации и имеющейся инфраструктуры.
Кевин Карбрей (Kevin.Carbray@aeshen.com) — обозреватель продуктов в тестовой лаборатории Aeshen
Резюме
Jabber XCP 5.1, JabberNow 1.1
ПЛЮСЫ: широкий базовый контингент пользователей; открытый протокол.
МИНУСЫ: могут понадобиться дополнительные системы для обеспечения соблюдения правил и фильтрации.
ОЦЕНКА: 4 из 5.
ЦЕНА: Jabber XCP — от 35 долл. за рабочее место (предусмотрены скидки для корпоративных лицензий; стоимость технического обслуживания и поддержки в год составляет 15–20% стоимости лицензии); JabberNow — от 2495 долл. за 25 пользователей.
РЕКОМЕНДАЦИИ: легконастраиваемая система Jabber XCP с открытым исходным текстом — удачный вариант для крупных организаций, которым необходима реализация безопасной, интероперабельной и совместимой технологии мгновенного обмена сообщениями. Для предприятия малого или среднего бизнеса больше подойдет устройство JabberNow.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Jabber, www.jabber.com
Резюме
IBM Lotus Sametime 7.5
ПЛЮСЫ: прямая интеграция с существующей инфраструктурой Lotus.
МИНУСЫ: эффективное решение только для организаций, использующих среду Lotus.
ОЦЕНКА: 3 из 5.
ЦЕНА: лицензируется как компонент Lotus Domino 55 долл. за рабочее место.
РЕКОМЕНДАЦИЯ: удачный вариант для реализации мгновенного обмена сообщениями, функций информации о присутствии и проведения Web-конференций в среде Lotus. Для других сред следует искать иные решения.
КОНТАКТНАЯ ИНФОРМАЦИЯ: IBM, www.ibm.com
Резюме
Microsoft Office Live Communication Server 2005
ПЛЮСЫ: интеграция с AD упрощает управление учетными записями пользователей.
МИНУСЫ: контроль безопасности и управление учетными записями требует отдельных организационных мер с использованием Group Policy.
ОЦЕНКА: 4 из 5.
ЦЕНА: лицензия Live Communications Server 2005 Enterprise Edition на 25 клиентов — 4969 долл.; лицензия Live Communications Server 2005 Standard Edition на 5 клиентов — 1199 долл.
РЕКОМЕНДАЦИИ: для организаций, использующих AD, Live Communication Server может оказаться оптимальным решением, а удобство эксплуатации и функциональные возможности продукта делают его подходящей альтернативой для конечных пользователей.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Microsoft, www.microsoft.com
Резюме
Устройства Akonix A-Series (A6000 и A1000)
ПЛЮСЫ: гибкий сетевой шлюз управляет всем трафиком информационного обмена в реальном времени с нескольких клиентов IM.
МИНУСЫ: высокая стартовая цена может оказаться неприемлемой для малых предприятий.
ОЦЕНКА: 5 из 5.
ЦЕНА: устройство безопасного мгновенного обмена соощениями A6000 — от 10 тыс. долл. плюс от 20 до 75 долл. за одно рабочее место; устройство А1000 — от 5 тыс. долл. (лицензия на 100 рабочих мест)
РЕКОМЕНДАЦИИ: высокий уровень административного управления и безопасности, а также гибкие возможности для пользователей.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Akonix Systems, www.akonix.com
Кевин Карбрей
Источник Windows IT Pro