15 октября 2025 г.
Продуктовая студия Axel PRO и Банк ПСБ завершили масштабный проект по внедрению отечественной системы управления сетевым доступом AxelNAC. Проект стал одним из самых значимых примеров построения Zero Trust в проводной сети с использованием полностью российских технологий. Решение охватывает более 70 000 активных сетевых устройств и обеспечивает строгую аутентификацию на 50 000+ портов и 1080 стеков коммутаторов в рамках реализации архитектуры Zero Trust в проводной сети банка.
Решение стало ответом на ключевую уязвимость корпоративной инфраструктуры — несанкционированный физический доступ к сети, который неизменно эксплуатировался Red Team во время пентестов и киберучений. Внедрение AxelNAC позволило ПСБ закрыть «ахиллесову пяту» — подключение неавторизованных устройств в зонах общего доступа, включая подмену MAC-адресов принтеров и IoT-устройств.
«Наша команда давно пришла к выводу о необходимости внедрения решений такого типа. С 2020 года мы проводили активные исследования рынка, стремясь найти оптимальный продукт. Однако, после событий 2022 года и начала курса на импортозамещение, круг доступных решений заметно сузился. Изначальной целью внедрения этого проекта было обеспечение соответствия банка требованиям ГОСТ Р 57580 в области информационной безопасности. В качестве компенсирующих мер, помимо ограничения доступа к аппаратной сети, рассматривалось внедрение системы класса NAC. Мы осознаем, что данное решение призвано стать частью более широкого комплекса, поскольку ни один отдельный продукт не может охватить все сценарии. Оно эффективно дополняет как межсетевые экраны нового поколения (NGFW), так и прочие средства защиты сети, гарантируя достоверную аутентификацию», — отметил на конференции IT Elements 2025 Павел Мошкин, начальник отдела сопровождения инфраструктуры средств защиты информации, ПАО «Банк ПСБ».
«Внедрение решений класса NAC (Network Access Control) является стратегической необходимостью для нашей компании, особенно для команд, отвечающих за информационную безопасность. Ключевая ценность, которую мы видим в NAC, заключается в его способности эффективно управлять рисками на стыке информационных технологий и информационной безопасности, поскольку физический доступ к сети часто остается уязвимой точкой, как показывают наши регулярные пентесты. Эта проблема актуальна для всех крупных организаций, имеющих распределенную сетевую инфраструктуру. Внедрение NAC, помимо выполнения требований ГОСТ, направлено на обеспечение реальной безопасности нашей сети», — подчеркивает в докладе на IT Elements 2025 Сергей Исхаков, заместитель начальника управления мониторинга инцидентов, ПАО «Банк ПСБ».
Особенностью проекта стала отказоустойчивая архитектура Active-Active с узлами в двух ЦОДах и свидетелем в третьем. Система способна обрабатывать пиковые утренние нагрузки (до 70 000 событий аутентификации за 10 минут) с уровнем ошибок менее 0,05%. При этом отказ одного из дата-центров не влияет на работоспособность всей инфраструктуры.
AxelNAC интегрирован с отечественным сетевым оборудованием и поддерживает работу с несколькими удостоверяющими центрами, что особенно важно в условиях импортозамещения. Решение работает без установки агентов на конечные устройства, используя встроенные механизмы ОС, включая поддержку сложных сценариев, таких как Dual Boot (Windows/Linux) на рабочих станциях.
«Мы предложили клиенту строгую аутентификацию по сертификатам, гибкую ролевую модель, профилирование устройств и архитектуру без агентов. Вместе с ПСБ мы добились стабильной работы на полностью отечественном стеке — включая сетевое оборудование и платформу виртуализации», — говорит Станислав Калабин, главный сетевой архитектор AxelNAC, AxelPRO.
Благодаря гибкой архитектуре системы управления политиками, несмотря на необходимость назначения множества различных VLAN на разных площадках, вся политика доступа была сведена всего к 15 правилам — из них 8 специализированы для региональных площадок. Параллельно реализована развитая модель доступа для администраторов: сотрудники ИТ, информационной безопасности и службы поддержки получают только те права, которые необходимы для выполнения их задач. Также реализован комплексный мониторинг — от состояния инфраструктуры до событий аутентификации и реаутентификации.
Источник: Пресс-служба компании Axel PRO
