2025-й стал годом громких инцидентов в кибербезопасности: взломам подверглись крупные российские компании. И бизнес понял одну простую вещь: вопрос «взломают или нет» больше не стоит — стоит вопрос «когда и насколько глубоко проникнут злоумышленники».
Именно с этим запросом к нашему партнёру — компании КРЕДО-С — обратился крупный заказчик. Задача звучала так: «Мы активно используем облачные сервисы разных провайдеров. Если хотя бы один из них будет скомпрометирован, злоумышленник не должен попасть во внутреннюю инфраструктуру компании».
Решение этой задачи было реализовано в облаке Cloud4Y.
Кто такие КРЕДО-С
КРЕДО-С — российский интегратор, специализирующийся на информационной безопасности и инфраструктурных проектах для государственного сектора и крупного бизнеса. Среди ключевых направлений:
● проектирование и внедрение комплексных систем информационной безопасности;
● администрирование инфраструктуры заказчиков;
● защита от внешних угроз и мониторинг инцидентов через собственный центр мониторинга и реагирования на инциденты.
Принципиальная особенность КРЕДО-С — компания не просто продаёт «коробочные» продукты, а собирает индивидуальное техническое решение под конкретную бизнес-боль клиента. Сначала — пилотный проект, чтобы заказчик убедился в работоспособности схемы на своих процессах, и только после этого решение разворачивается у заказчика полностью.
Суть проекта: облако как защитный буфер
Обычно облачные сервисы интегрируются напрямую с внутренним каталогом пользователей компании — Active Directory. Это удобно, но опасно: скомпрометировав внешний сервис, злоумышленник почти автоматически получает ключи от внутренней инфраструктуры.
КРЕДО-С предложили принципиально иную архитектуру. В облаке Cloud4Y была развёрнута выделенная зона DMZ, которая стала буферной прослойкой между интернетом и инфраструктурой заказчика. На этой площадке:
● развёрнута копия домена заказчика (изолированная от основного);
● настроена двухфакторная аутентификация на базе решения Indeed;
● организована публикация ресурсов через межсетевой экран UserGate;
● администрирование выполнено с применением СКЗИ «Континент».
Логика проста и элегантна: пользователи заказчика авторизуются именно в этой буферной зоне и через неё получают доступ к нужным облачным сервисам. Если злоумышленник пробьёт периметр, он окажется в DMZ — изолированном сегменте, где нет ни критичных данных, ни ключей к внутренней сети.
Замечание: часть технических деталей сознательно изложена в обобщённом виде. По просьбе КРЕДО-С и заказчика конкретные параметры реализации не раскрываются — иначе схему теоретически можно атаковать целенаправленно.
В чём ценность для рынка
«Обычно облачные сервисы интегрируют напрямую с внутренней системой аутентификации — с Active Directory. И, взломав внешний сервис, злоумышленник практически сразу получает доступ во внутреннюю инфраструктуру компании. Когда мы строим зону в DMZ, всё иначе: взломав внешний сервис, злоумышленник попадает только в DMZ — и до критичных данных и основной инфраструктуры заказчика он не доберётся».
— Андрей Мурашкин, руководитель направления инфраструктурной интеграции и комплексных ИБ-проектов, КРЕДО-С
Подход, реализованный КРЕДО-С, закрывает сразу несколько типичных болей крупного бизнеса:
- Минимизация ущерба от компрометации. Даже успешная атака на внешний сервис не приводит к катастрофическим последствиям — взломщик не получает прямого доступа к корпоративной AD и внутренним системам.
- Быстрое восстановление. Если буферная зона всё-таки скомпрометирована, её можно «откатить» из резервной копии и пересоздать с новыми учётными данными за ограниченное время. Внутренняя инфраструктура при этом продолжает работать.
- Прозрачность для пользователей. Сотрудники заказчика не замечают изменений в привычном пути доступа к сервисам — вся механика защиты скрыта на уровне инфраструктуры.
- Постоянный мониторинг. КРЕДО-С отслеживает попытки атак на DMZ-сегмент в режиме реального времени и оценивает их успешность. Это позволяет реагировать на инциденты до того, как они станут проблемой.
Для индустрии это пример зрелого подхода: безопасность строится не как «единый периметр», а как многослойная архитектура, где каждый последующий слой защищает то, что не смог защитить предыдущий.
Как помогло облако Cloud4Y
С КРЕДО-С нас связывают партнёрские отношения уже несколько лет — знакомство началось на одной из отраслевых конференций и переросло в системное сотрудничество. В этом проекте облако Cloud4Y выступило в роли той самой защитной площадки: внешнего слоя, который принимает на себя возможные атаки вместо инфраструктуры конечного заказчика.
Что именно мы дали проекту:
● Изолированный сегмент с гибкими ресурсами. Заказчик получил выделенную зону, в которой КРЕДО-С развернули полную копию необходимых сервисов. Размер ресурсов масштабируется под нагрузку, без зависимости от железа на стороне клиента.
● Возможность быстрого пересоздания среды. Архитектура облака позволяет «снести» и развернуть заново всю DMZ за считаные минуты — это ключевой элемент стратегии быстрого восстановления.
● Тестовый период. До запуска боевой инфраструктуры мы предоставили КРЕДО-С тестовый доступ — ровно с теми же возможностями, что и в боевой среде, но с ограничением по мощностям. Это позволило команде проверить решение «вживую» до подписания основных документов.
● Скорость запуска. Весь путь от первых переговоров до выхода на предоставление услуги конечному заказчику занял около двух недель. Параллельно с технической подготовкой шло согласование договоров с юристами обеих сторон и тестовый прогон на стороне клиента КРЕДО-С.
● Оперативная техническая поддержка. На всех этапах — от пилота до промышленной эксплуатации — наши инженеры быстро реагировали на запросы команды КРЕДО-С и помогали решать возникающие вопросы без задержек. Партнёр отдельно отметил скорость обратной связи как один из факторов, который позволил уложиться в сжатые сроки запуска.
Около двух недель от идеи до боевого решения для крупного проекта — это та скорость, которую сложно обеспечить без готовой облачной.
Что в итоге
КРЕДО-С получили площадку, на которой смогли реализовать сложное интеграционное решение для своего клиента — без необходимости разворачивать собственную инфраструктуру и согласовывать капитальные вложения. Конечный заказчик — закрытие критичной бизнес-боли: уверенность, что его компания не окажется в очередном новостном заголовке про взлом года. Облако Cloud4Y стало надёжным фундаментом, на котором партнёр развернул свою услугу.
И это, пожалуй, лучший ответ на вопрос «зачем вам облако»: затем, что некоторые задачи в принципе решаются только так.
