Журнал "Information Security/ Информационная безопасность" #1, 2026

выдача доступа, изменение политик – полностью логируются, а отчеты в фор- мате PDF могут формироваться по рас- писанию и автоматически отправляться получателям по электронной почте. Infrascope не только хранит секреты, но и автоматизирует их обнаружение, рота- цию и аудит. На этом ядре строится мас- штабируемая архитектура. Модель без- опасной выдачи секретов приложениям. Менеджер паролей Infrascope обес- печивает хранение и ротацию учетных записей, но для автоматизированных и распределенных сред нужен следующий слой – AAPM (Application-to-Application Password Management) – функциональ- ность, позволяющая приложениям полу- чать учетные записи целевых систем по требованию через API, полностью исклю- чая хранение секретов в скриптах, кон- фигурациях и коде. Infrascope превра- щает статичные секреты в управляемый сервис, оптимальный для CI/CD-цепочек и сценариев автоматизации. Для каждого приложения создается API-токен, к которому привязываются конкретные учетные записи или их груп- пы. Приложение отправляет запрос, про- ходит проверки и получает актуальные учетные данные для БД, SSH-доступа или сетевого оборудования. После использования пароль может автомати- чески смениться, реализуя режим фак- тически одноразовых секретов. Ключевое преимущество для масшта- бирования – отсутствие жестких лимитов на количество системных API-токенов и обращений: тысячи приложений и десят- ки тысяч подов могут параллельно запра- шивать секреты, а суммарное число A2A-обращений исчисляется миллиона- ми в сутки. Безопасность каждого токена настраи- вается по нескольким параметрам: l срок действия (от минут до дней) с автоматической аннуляцией; l лимит числа запросов; l фильтрация по IP-адресам и подсетям; l ротация пароля учетной записи после выдачи или по интервалу; l расширенные проверки (ПИН-код, наличие контрольного файла, проверка хэш-суммы исполняемого файла). Подозрительные запросы блокируют- ся, все действия детально логируются и доступны для построения отчетов по расписанию или по событиям (например, после каждой выдачи секрета). AAPM Infrascope формирует модель Zero Trust для A2A-взаимодействий: приложения получают минимально необходимые учет- ные данные на минимальный срок, что завершает формирование ядра масшта- бируемого PAM и подготавливает почву для архитектурных паттернов внедрения. Архитектурные паттерны AAPM и сервисных учетных записей на базе Infrascope AAPM Infrascope предлагает архитек- турные шаблоны работы с сервисными учетными записями, применимые одно- временно к десяткам и тысячам прило- жений без радикальных изменений в существующей безопасности и коде. Это универсальный ключ, который откры- вает доступ ровно там и тогда, где это нужно, на минимально возможное время. Типовой цикл взаимодействия прило- жения с Infrascope в AAPM-модели вклю- чает несколько циклов – от запроса к PAM, проверки токена до обновления пароля – и занимает секунды. Приложе- ние не хранит пароли у себя, запрашивая секрет только при необходимости. Один и тот же подход успешно исполь- зуется в разных сценариях: l подключение к базам данных без хранения паролей в конфигурациях; l управление сетью, когда системы оркестрации получают временные учет- ные записи для устройств; l интеграция с каталогами (LDAP и его аналогами) для безопасного доступа к данным пользователей; l удаленное управление серверами по SSH или RDP через временные пароли; l автоматизация разработки, где CI/CD- процессы запрашивают учетные данные для развертывания, тестирования и интеграций. В крупной розничной сети такой под- ход позволяет системам подключаться к складам, кассовой инфраструктуре и сервисам заказов без хранения паролей в конфигурационных файлах, безопасно синхронизируя данные. Главное преимущество – простота мас- штабирования: добавление новых при- ложений или сервисов не требует пере- стройки архитектуры, процесс остается тем же, а система выдерживает тысячи параллельных запросов без ограничений по числу токенов и секретов. Организа- ция постепенно переходит от хаоса ста- тичных паролей к управляемой системе, где один архитектурный шаблон покры- вает как точечные задачи, так и инфра- структуры с тысячами взаимодействий. Практическое масштабирование: от пилота до промышленной эксплуатации На практике внедрение AAPM в рос- сийских компаниях сталкивается с типич- ными трудностями: неизвестно реальное число сервисных учетных записей, паро- ли зашиты в устаревшие системы и скрипты, трудно безопасно извлечь их, а команды разработки опасаются рисков для стабильности сервисов. Infrascope позволяет превратить внед- рение в управляемый процесс, начиная с автоматического поиска учетных запи- сей в инфраструктуре, обнаружения ранее неучтенных сервисных аккаунтов, смены их паролей и взятия под контроль. Для каждого секрета задаются индиви- дуальные правила – от частой ротации до строгого временного доступа, а все действия подробно фиксируются в логах и отчетах, что облегчает работу ИБ-под- разделений и аудиторов. Оптимальная стратегия внедрения – поэтапная. Сначала под управление берут ограниченную, но критичную груп- пу систем (ключевые базы данных, сете- вые сервисы), полностью настраивают выдачу паролей через AAPM и прове- ряют устойчивость процесса. Затем сце- нарий масштабируется на остальные системы и подразделения, что снижает риски и позволяет быстро показать прак- тическую ценность. Как показывает практика, внедрение Infrascope дает ощутимые результаты. В кейсах, связанных с компаниями-ретей- лерами, применение Infrascope позволило больше не использовать пароли в кон- фигурационных файлах и при этом уси- лить соблюдение отраслевых и корпора- тивных требований. А наши заказчики – банки и финансовые организации – бла- годаря использованию решения от NGR Softlab получили прозрачный контроль над взаимодействием между сервисами и привилегированными учетными запи- сями. Infrascope формирует единую систему управления привилегированными учет- ными записями – как пользовательскими, так и сервисными. В результате его внедрения компании перестают тратить ресурсы на ручное обслуживание паро- лей и концентрируются на развитии биз- неса, а сервисные учетные записи из слабого звена превращаются в защи- щенный и управляемый элемент инфра- структуры. l • 53 ТЕХНОЛОГИИ www.itsec.ru Рис. 1. Централизованное хранение и безопасность секретов На правах рекламы