Axel PRO и ПСБ завершили проект по внедрению отечественного NAC-решения

Продуктовая студия Axel PRO и Банк ПСБ завершили масштабный проект по внедрению отечественной системы управления сетевым доступом AxelNAC. Проект стал одним из самых значимых примеров построения Zero Trust в проводной сети с использованием полностью российских технологий. Решение охватывает более 70 тыс. активных сетевых устройств и обеспечивает строгую аутентификацию на 50 тыс.+ портов и 1080 стеков коммутаторов в рамках реализации архитектуры Zero Trust в проводной сети банка.

Решение стало ответом на ключевую уязвимость корпоративной инфраструктуры — несанкционированный физический доступ к сети, который неизменно эксплуатировался Red Team во время пентестов и киберучений. Внедрение AxelNAC позволило ПСБ закрыть "ахиллесову пяту" — подключение неавторизованных устройств в зонах общего доступа, включая подмену MAC-адресов принтеров и IoT-устройств.

"Наша команда давно пришла к выводу о необходимости внедрения решений такого типа. С 2020 г. мы проводили активные исследования рынка, стремясь найти оптимальный продукт. Однако, после событий 2022 г. и начала курса на импортозамещение, круг доступных решений заметно сузился. Изначальной целью внедрения этого проекта было обеспечение соответствия банка требованиям ГОСТ Р 57580 в области информационной безопасности. В качестве компенсирующих мер, помимо ограничения доступа к аппаратной сети, рассматривалось внедрение системы класса NAC. Мы осознаем, что данное решение призвано стать частью более широкого комплекса, поскольку ни один отдельный продукт не может охватить все сценарии. Оно эффективно дополняет как межсетевые экраны нового поколения (NGFW), так и прочие средства защиты сети, гарантируя достоверную аутентификацию", — отметил Павел Мошкин, начальник отдела сопровождения инфраструктуры средств защиты информации ПАО "Банк ПСБ".

"Внедрение решений класса NAC (Network Access Control) является стратегической необходимостью для нашей компании, особенно для команд, отвечающих за информационную безопасность. Ключевая ценность, которую мы видим в NAC, заключается в его способности эффективно управлять рисками на стыке информационных технологий и информационной безопасности, поскольку физический доступ к сети часто остается уязвимой точкой, как показывают наши регулярные пентесты. Эта проблема актуальна для всех крупных организаций, имеющих распределенную сетевую инфраструктуру. Внедрение NAC, помимо выполнения требований ГОСТ, направлено на обеспечение реальной безопасности нашей сети", — подчеркивает Сергей Исхаков, заместитель начальника управления мониторинга инцидентов ПАО "Банк ПСБ".

Особенностью проекта стала отказоустойчивая архитектура Active-Active с узлами в двух ЦОДах и свидетелем в третьем. Система способна обрабатывать пиковые утренние нагрузки (до 70 тыс. событий аутентификации за 10 минут) с уровнем ошибок менее 0,05%. При этом отказ одного из дата-центров не влияет на работоспособность всей инфраструктуры.

AxelNAC интегрирован с отечественным сетевым оборудованием и поддерживает работу с несколькими удостоверяющими центрами, что особенно важно в условиях импортозамещения. Решение работает без установки агентов на конечные устройства, используя встроенные механизмы ОС, включая поддержку сложных сценариев, таких как Dual Boot (Windows/Linux) на рабочих станциях.

"Мы предложили клиенту строгую аутентификацию по сертификатам, гибкую ролевую модель, профилирование устройств и архитектуру без агентов. Вместе с ПСБ мы добились стабильной работы на полностью отечественном стеке — включая сетевое оборудование и платформу виртуализации", — говорит Станислав Калабин, главный сетевой архитектор AxelNAC, AxelPRO.

Благодаря гибкой архитектуре системы управления политиками, несмотря на необходимость назначения множества различных VLAN на разных площадках, вся политика доступа была сведена всего к 15 правилам — из них 8 специализированы для региональных площадок. Параллельно реализована развитая модель доступа для администраторов: сотрудники ИТ, информационной безопасности и службы поддержки получают только те права, которые необходимы для выполнения их задач. Также реализован комплексный мониторинг — от состояния инфраструктуры до событий аутентификации и реаутентификации.