Нажимая кнопку «Отправить» вы даёте своё согласие с условиями «Политики обработки персональных данных»
Свяжитесь с нами для получения консультации и доступа к демоверсии решения
Поможем выбрать подходящее решение
Сообщение об успешной отправке!
Контекст и масштаб задачи
Банк ПСБ — крупный универсальный банк с развитой сетью подразделений.
Перед командой ИБ стояла непростая задача: защитить инфраструктуру, включающую 35 000+ сотрудников, 70 000+ сетевых устройств и 1 000+ стеков коммутаторов (в каждом — по два 48‑портовых устройства).
В процессе анализа уязвимостей выявились ключевые вызовы:
Перед командой ИБ стояла непростая задача: защитить инфраструктуру, включающую 35 000+ сотрудников, 70 000+ сетевых устройств и 1 000+ стеков коммутаторов (в каждом — по два 48‑портовых устройства).
В процессе анализа уязвимостей выявились ключевые вызовы:
- проводная сеть была подвержена риску несанкционированного доступа — это подтверждалось регулярными пентестами;
- требовалось обеспечить соответствие требованиям ГОСТ Р 57580;
- в условиях курса на импортозамещение необходимо было перейти на отечественный IT‑стек.
Требования к продукту и выбор решения
Требования к продукту формировались исходя из специфики банка как значимого объекта критической информационной инфраструктуры. После полугодового тестирования различных решений команда ПСБ остановилась на AxelNAC.
Система полностью отвечала стратегическим задачам банка, а именно:
до 70 000 событий аутентификации за 10 минут
справляется с пиковыми нагрузками:
легко интегрируется в существующую IT‑экосистему банка
совместима
с отечественным сетевым оборудованием
с отечественным сетевым оборудованием
что соответствует политике импортозамещения
она разработана
в России,
в России,
благодаря архитектуре Active-Active
обеспечивает высокую отказоустойчивость
Внедрение: от планирования до запуска
Процесс внедрения прошёл в несколько ключевых этапов.
На первом этапе система была развёрнута на платформе VMware. Затем команда успешно мигрировала на отечественную платформу виртуализации — без остановки сервисов. Это наглядно продемонстрировало гибкость и масштабируемость решения.
Второй этап ознаменовался активацией 50 000+ портов с поддержкой 802.1X. Это позволило организовать реальную аутентификацию устройств в сети. Одновременно в системе зарегистрировали 75 000 уникальных MAC‑адресов.
На третьем этапе была построена архитектура Zero Trust:
На первом этапе система была развёрнута на платформе VMware. Затем команда успешно мигрировала на отечественную платформу виртуализации — без остановки сервисов. Это наглядно продемонстрировало гибкость и масштабируемость решения.
Второй этап ознаменовался активацией 50 000+ портов с поддержкой 802.1X. Это позволило организовать реальную аутентификацию устройств в сети. Одновременно в системе зарегистрировали 75 000 уникальных MAC‑адресов.
На третьем этапе была построена архитектура Zero Trust:
- создан дефолтный сегмент с минимальными правами доступа для новых устройств;
- доступ к специализированным сегментам предоставлен только после аутентификации по сертификатам 802.1X;
- внедрена ролевая модель доступа, охватывающая все категории пользователей и администраторов.
Проблемы, с которыми столкнулись и как решили
В ходе внедрения команда столкнулась с рядом серьёзных вызовов, каждый из которых требовал нестандартного подхода.
Так, при интеграции с телеком‑оборудованием после успешного лабораторного тестирования возникла нестабильность в работе системы на одном из ключевых офисов. Потребовалось полгода совместной работы с вендором, чтобы достичь стабильности — и даже превзойти показатели импортных аналогов.
Особую сложность представляла интеграция с Linux‑системами и настройка технологии Dual Boot. Основной проблемой стала доставка персональных машинных сертификатов для каждого ARM.
Для её решения:
Так, при интеграции с телеком‑оборудованием после успешного лабораторного тестирования возникла нестабильность в работе системы на одном из ключевых офисов. Потребовалось полгода совместной работы с вендором, чтобы достичь стабильности — и даже превзойти показатели импортных аналогов.
Особую сложность представляла интеграция с Linux‑системами и настройка технологии Dual Boot. Основной проблемой стала доставка персональных машинных сертификатов для каждого ARM.
Для её решения:
- развернули отдельный удостоверяющий центр;
- интегрировали его в корпоративную PKI‑цепочку;
- автоматизировали доставку сертификатов при развёртывании ОС на ARM.
- Пиковые утренние нагрузки тоже потребовали нетривиального решения. Команда внедрила технологию Dual Boot (Windows / Linux) и настроила балансировку нагрузки через Active‑Active кластер в двух ЦОД с нодой‑свидетелем.
Практические результаты внедрения
Уровень ошибок при аутентификации не превышает 0,05%
Это означает, что на 70 000 операций приходится всего 20−40 ошибочных попыток — показатель, подтверждающий высокую точность и стабильность работы решения.
Существенно оптимизировано управление политиками доступа:
количество правил сократилось до 15, причём 8 из них предназначены специально для региональных площадок. Ещё недавно для аналогичных задач требовались сотни правил, поэтому достигнутая лаконичность заметно упрощает администрирование сети.
Защита от распространённой атаки «прикинься принтером»
Ранее злоумышленники могли легко скопировать MAC-адрес разрешённого устройства и получить доступ в сеть. Теперь система использует технологию фингерпринтинга, которая позволяет выявлять подобные попытки подмены.
Автоматизация процессов значительно упростила работу IT-специалистов
Появилась возможность быстро определять место возникновения инцидентов, оперативно реагировать на подозрительную активность и получать детальную информацию о состоянии сети.
Появилась возможность контроля действий администраторов
Система предотвращает попытки отключения защитных механизмов и фиксирует все изменения настроек.
подключение неавторизованных устройств в зонах общего доступа. Теперь подключение таких устройств или подмена MAC‑адреса принтера либо IoT‑устройства полностью исключены. Система надёжно блокирует подобные попытки, повышая общий уровень защищённости инфраструктуры.
Внедрение AxelNAC позволило ПСБ закрыть «ахиллесову пяту» —
Какой эффект внедрение оказало на бизнес
Внедрение AxelNAC дало ПСБ ряд стратегических преимуществ:
- соответствие ГОСТ Р 57 580 и требованиям регуляторов;
- снижение операционных рисков за счет автоматизированного контроля доступа и мониторинга;
- высокая гибкость и масштабируемость системы: теперь она готова не только к росту инфраструктуры, но и к отражению новых киберугроз;
- обеспечена независимость от зарубежных решений в рамках программы импортозамещения.
Итоги внедрения и перспективы
В результате внедрения системы безопасности удалось достичь впечатляющих технических показателей. Проект стал ярким примером успешного преобразования корпоративной инфраструктуры в условиях новых вызовов кибербезопасности. ПСБ не просто закрыл текущие уязвимости — банк создал современную систему защиты, сочетающую передовые технические решения с выстроенными процессами и готовую к масштабированию и адаптации под меняющийся ландшафт киберугроз.
Решение, реализованное в ПСБ, может стать эталонной моделью не только для банковского сектора, но и для любых организаций, сталкивающихся с аналогичными задачами.
Проект демонстрирует, как комплексный подход к кибербезопасности — сочетание технологий, процессов и человеческого фактора — позволяет создавать жизнестойкие системы, готовые не просто отражать атаки, но и эффективно восстанавливаться, сохраняя непрерывность критически важных операций.
Решение, реализованное в ПСБ, может стать эталонной моделью не только для банковского сектора, но и для любых организаций, сталкивающихся с аналогичными задачами.
Проект демонстрирует, как комплексный подход к кибербезопасности — сочетание технологий, процессов и человеческого фактора — позволяет создавать жизнестойкие системы, готовые не просто отражать атаки, но и эффективно восстанавливаться, сохраняя непрерывность критически важных операций.
Хотите узнать больше?
Ознакомьтесь с записью выступления заказчика и нашего главного архитектора Станислава Калабина на конференции IT Elements 2025 — вместе они подробно разбирают реализацию проекта, ключевые решения и достигнутые результаты.
Сообщение об успешной отправке!
Нажимая кнопку «Отправить» вы даёте своё согласие с условиями «Политики обработки персональных данных»
Свяжитесь с нами для консультации, уточнения стоимости и получения доступа к демоверсии решения
Поможем выбрать подходящее решение