Журнал "Information Security/ Информационная безопасность" #2, 2026

Один из успешных при- меров решения – переход Сбера на отечественное решение для управления привилегированным досту- пом на базе BI.ZONE PAM. Переход на отечествен- ные операционные системы неизбежно затрагивает модель управления досту- пом – и в этом смысле ста- новится не только техниче- ской, но и архитектурной задачей. успешных примеров реше- ния – переход Сбера на оте- чественное решение для управления привилегирован- ным доступом на базе BI.ZONE PAM 2 . Перед банком стояла задача заменить зарубежную PAM- платформу, при этом сохра- нить привычную функциональ- ность и уровень безопасности. Проект реализовывался в инфраструктуре с сотнями тысяч серверов и тысячами пользователей, обладающих привилегированным доступом. Ключевыми ограничениями проекта были невозможность остановки или деградации административных процессов, недопустимость вывода при- вилегированного доступа из- под контроля даже на время и необходимость соблюдения требований по переходу на отечественное ПО. Решение строилось вокруг нескольких принципов: 1. Сохранение пользователь- ских сценариев. Администрато- ры продолжили работать в при- вычной логике, при этом доступ к системам стал полностью централизованным. Сквозная аутентификация исключила необходимость работы с паро- лями и снизила риск их ком- прометации. 2. Автоматизация контроля. Ротация паролей, использова- ние одноразовых кодов и раз- граничение прав доступа поз- волили соблюсти принцип мини- мальных привилегий без допол- нительной нагрузки на пользо- вателей. 3. Архитектурная масштаби- руемость. Микросервисная модель и кластеризация ком- понентов обеспечили устойчи- вость системы при высоких нагрузках и позволили охватить всю инфраструктуру в рамках одной инсталляции. Переход был разбит на этапы с последовательным расшире- нием охвата пользователей. Каждая функция проходила тестирование, затем внедрялась в ограниченной группе и только после этого масштабировалась. Это позволило избежать сбоев и сохранить непрерывность биз- нес-процессов. В результате Сбер завершил переход на отечественное решение за достаточно корот- кое время – без потери управ- ляемости и с улучшением поль- зовательского опыта. В компаниях с другой орга- низацией ИТ-процессов задача обычно формулируется иначе. "Центр новых финансовых сер- висов" (ЦНФС), развивающий BNPL-сервис, столкнулся с задачей: выстроить контроль привилегированного доступа в соответствии с требованиями головной компании, не уве- личивая нагрузку на ИТ-коман- ду и инфраструктуру. Для таких компаний характерна высокая скорость развития продукта и ограниченные ресурсы на внедрение сложных систем безопасности. В этих условиях критично не только наличие функций, но и стоимость вла- дения решением. Выбор был сделан в пользу BI.ZONE PAM в версии Lite 3 . Ключевым фактором стала возможность адаптировать архитектуру под реальные зада- чи. Система была развернута в упрощенной конфигурации с использованием All-in-One- инсталляции, что позволило сократить сроки внедрения. При этом компоненты, отвечающие за подключение к целевым системам, были вынесены отдельно для обеспечения отка- зоустойчивости. Дополнительно была оптими- зирована модель использова- ния. Компания сосредоточилась на защите наиболее критичных сценариев (RDP- и SSH-доступ), отказавшись от внедрения вто- ростепенных функций на пер- вом этапе. Лицензионная модель Lite позволила учесть одновремен- но два параметра, такие как число пользователей и сессий, и избежать переплаты за неис- пользуемые ресурсы. В резуль- тате компания в три раза сни- зила затраты на проект. Важ- ную роль сыграла совместная проработка архитектуры с уче- том бизнес-процессов компа- нии. Это позволило встроить систему контроля доступа без влияния на скорость релизов и переработки существующей инфраструктуры. Проект был реализован за два месяца. Компания достигла следующих целей: l централизованный контроль привилегированного доступа; l соответствие требованиям безопасности; l минимальная нагрузка на инфраструктуру; l возможность масштабирова- ния без смены решения. При переходе на российские ОС контроль привилегирован- ного доступа должен рассмат- риваться как часть архитектуры, а не как отдельный инструмент. Переход на отечественные опе- рационные системы неизбежно затрагивает модель управления доступом – и в этом смысле становится не только техниче- ской, но и архитектурной зада- чей. На практике компании редко пересобирают этот контур с нуля: чаще им приходится адаптировать существующие процессы под новые условия, сохраняя контроль и не услож- няя работу команд. Опыт внедрений показыва- ет, что рабочие решения лежат не в максимальном наборе функций, а в точной настройке архитектуры под конкретную инфраструктуру и сценарии доступа. Поэтапное внедрение, фокус на критич- ных точках и отказ от избы- точных изменений на старте позволяют сохранить управ- ляемость даже в условиях сжатых сроков. В этом контексте системы управления привилегирован- ным доступом становятся частью базовой инфраструк- туры, от которой зависит не только уровень защиты, но и устойчивость повседневных процессов. Именно поэтому их роль заметно возрастает в период миграции – как инстру- мента, который помогает прой- ти этот этап без потери конт- роля и лишней нагрузки на систему. l • 45 ЗАЩИТА ИНФРАСТРУКТУРЫ НА БАЗЕ РОССИЙСКИХ ОС www.itsec.ru Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjdh3K6J 2 https://bi.zone/news/bi-zone-pam-zamenit-v-sbere-zarubezhnoe-reshenie-po-zashchite-privilegirovannogo-dostupa/ 3 https://bi.zone/expertise/projects/tsnfs-zashchitil-privilegirovannyy-dostup-c-3-kratnoy-ekonomiey/