Журнал "Information Security/ Информационная безопасность" #2, 2026

При переходе на новые ОС компании вынуждены искать архитектурный баланс. С одной стороны, необходимо усилить конт- роль: внедрить новые поли- тики, обеспечить соответ- ствие требованиям и закрыть уязвимости. С другой – нельзя замед- лить работу администрато- ров и инженерных команд. Практика внедрений показывает, что устойчивый результат дает модель, в которой контроль привиле- гированного доступа изна- чально встроен в инфра- структуру, а не добавлен поверх нее как отдельный слой. Практика показывает, что при миграции конт- роль привилегирован- ных учетных записей часто вызывает трудно- сти. Причина – необхо- димость одновременно обновлять технологиче- ский стек, поддержи- вать непрерывность работы и не перегружать инфраструкту- ру. Рассмотрим, как на прак- тике обеспечить контроль при- вилегированного доступа, и разберем реальные кейсы внедрений. Контроль доступа как ограничение и как точка роста По данным BI.ZONE TDR 1 , около 35% критичных инциден- тов связаны с компрометацией привилегированных учетных данных. Многие атаки на рос- сийские компании так или иначе опираются на эскалацию при- вилегий или злоупотребление уже существующими правами доступа. В условиях миграции эти риски усиливаются: уве- личивается число временных доступов, как следствие – за ними сложнее уследить. При переходе на новые ОС компании вынуждены искать архитектурный баланс. С одной стороны, необходимо усилить контроль: внедрить новые поли- тики, обеспечить соответствие требованиям и закрыть уязви- мости. С другой – нельзя замед- лить работу администраторов и инженерных команд. На практике компании стал- киваются с трудностями в сле- дующих аспектах: 1. Масштаб инфраструктуры. Даже в средних организациях речь идет о тысячах узлов и сотнях администраторов. Любое изменение в модели доступа должно масштабиро- ваться без ухудшения произво- дительности. 2. Ограниченные сроки. Миг- рация на отечественное ПО, как правило, происходит в сжатые сроки, что исключает длительные пилоты и поэтап- ную перестройку процессов с нуля. 3. Требования к непрерывно- сти. Привилегированный доступ обеспечивает выполнение кри- тичных операций. Любые ограничения или сбои напрямую влияют на бизнес-процессы. Возникает противоречие: нужно вложить ресурсы в тру- доемкую задачу и при этом их сэкономить. Архитектурный подход: управление доступом по модели нулевого доверия Практика внедрений показы- вает, что устойчивый результат дает модель, в которой конт- роль привилегированного досту- па изначально встроен в инфра- структуру, а не добавлен поверх нее как отдельный слой. В этом случае доступ к целевым систе- мам организуется через цент- рализованную точку контроля: пользователи не взаимодей- ствуют с учетными данными напрямую, а все подключения проходят через механизм аутен- тификации и проксирования сессий. В такой архитектуре учетные данные управляются автома- тически: пароли и сертификаты регулярно ротируются, что сни- жает риск их компрометации. Доступ предоставляется по принципу минимальных приви- легий: пользователь получает ровно те права и на тот срок, которые необходимы для выполнения конкретной зада- чи. Все действия фиксируются, а события передаются в систе- мы мониторинга и корреляции, что упрощает контроль, рас- следование инцидентов и реа- гирование на них. Управление по модели Zero Trust снижает зависимость от рисков, вызванных человече- ским фактором, и исключает типовые сценарии атак, свя- занные с хранением, передачей и повторным использованием паролей. При этом модель Zero Trust работает только при гра- мотной реализации: система должна масштабироваться вместе с инфраструктурой, под- держивать разные сценарии доступа и не создавать избы- точной нагрузки на ресурсы и команды. Как эти принципы реализуются на практике Архитектурный подход не решает задачу, если его невоз- можно применить в реальных условиях – с ограниченными сроками, разным масштабом инфраструктуры и требования- ми бизнеса к непрерывности процессов. На практике ком- пании вынуждены искать баланс между уровнем контро- ля, удобством для администра- торов и нагрузкой на ИТ-среду. Разберем, как этот баланс достигается в проектах с раз- ными вводными – от инфра- структур уровня Enterprise до быстрорастущих технологиче- ских компаний. В крупных инфраструктурах еще одной ключевой задачей является внедрение. Один из 44 • СПЕЦПРОЕКТ Контроль привилегированного доступа: как перейти на российскую ОС и не перегрузить инфраструктуру ереход на российские операционные системы затрагивает не только базовую инфраструктуру, но и смежные контуры без- опасности. Наиболее чувствительный среди них – управление привилегированным доступом. В нем пересекаются требова- ния регуляторов, риски кибератак и устойчивость ИТ-среды. П Артем Назаретян, руководитель BI.ZONE PAM Фото: BI.ZONE 1 https://bi.zone/news/kazhdyy-tretiy-opasnyy-kiberintsident-svyazan-so-vzlomom-administrativnykh-akkauntov/