Построение системы защищенного удаленного доступа для подключения к ГИС

Задача

Создать для заказчика централизованную и безопасную систему удаленного доступа, соответствующую требованиям регуляторов.

Проект решал две ключевые задачи: импортозамещение иностранных VPN-решений (Fortinet, Citrix) и замену open-source системы аутентификации на российское решение.

Работы велись в соответствии с Указом Президента №166 и требованиями ФСТЭК.

Что сделали

На этапе пилота мы предложили и протестировали концепцию Zero Trust, интегрировав решения NGate и Avanpost на тестовом контуре.

Продемонстрировали многофакторную аутентификацию по стандартам ФСТЭК (Приказ №117) — с использованием сертификата, логина/пароля и OTP-кода. В рамках основного проекта мы развернули комплексную систему защиты удаленного доступа на основе сертифицированных ФСТЭК и ФСБ России решений — Avanpost FAM и КриптоПро NGate. Архитектура включала три географически распределенных площадки (офис и 2 ЦОДа) в Москве и Санкт-Петербурге для обеспечения отказоустойчивости.

В рамках проекта выполнили полный цикл работ: от проектирования архитектуры и монтажа оборудования до интеграции с корпоративными системами Яндекс 360, СБИС, 1С.

Особое внимание уделили автоматизации жизненного цикла аутентификаторов — пользователи получили возможность самостоятельно управлять доступом через мобильные приложения, что снизило нагрузку на администраторов.

Результат

Система обеспечила безопасный доступ для 1000 пользователей через различные сценарии: VPN-подключения, веб-доступ и аутентификацию по протоколу RADIUS. Все события безопасности теперь регистрируются в SIEM-системе для оперативного выявления инцидентов.

ИБ-инструменты

Особенности

• развернуты кластеры в двух ЦОДах
• работы проводились с выездами на площадки заказчика
• 14 схем и диаграмм разработано для фиксации различных сценариев работы системы — от подключения пользователей до интеграции с центрами сертификации