В конце 2025 года мы успешное завершение масштабного нагрузочного тестирования (НТ) программного комплекса информационной безопасности редакции 3. Теперь вместе с Максимом Ефремовым, заместителем генерального директора по ИБ компании «ИТ-Экспертиза», детально разбираем методику испытаний, архитектуру стенда, сценарии проверок, стресс-тесты и другие технические детали.
В прошлом году мы провели масштабное нагрузочное тестирование (НТ) ПК ИБ САКУРА. Цель – подтвердить стабильность, надежность, отказоустойчивость и производительность системы, которая обеспечивает безопасное удаленное подключение 105 000 одновременно работающих АРМ к информационным системам предприятия. В ходе подготовки материала мы задались вопросом – насколько велика эта цифра? Для сравнения: крупнейший стадион Москвы «Лужники» вмещает 81 000 человек! А теперь представьте, как более 100 000 пользователей одновременно подключаются к корпоративной ИТ-инфраструктуре – это, безусловно, колоссальная, если не сказать, критическая нагрузка для большинства информационных систем.
Чтобы результаты НТ были достоверными и имели практическую ценность для Заказчиков, мы отказались от синтетических тестов. Вместо этого воспроизвели реальные сценарии подключения и проверок. Это позволило ответить на главные вопросы: как ведет себя система контроля доступа при массовом подключении удаленных АРМ и как быстро при этом выполняется проверка соответствия (комплаенс).
Для проведения нагрузочного теста арендовали существенные мощности в нескольких ЦОД и разработали специальную методику НТ. Главная задача – воспроизвести реальное взаимодействие удаленных рабочих мест (РМ) и серверной инфраструктуры: удаленные рабочие места с установленными агентом САКУРА и VPN-клиентом подключались через балансировщики и VPN-шлюзы к одному из двух гео-распределенных ЦОДов, где размещалась информационная система Условного клиента. При этом, серверы САКУРА отвечали за следующие операции:
- прием данных от агентов и их обработка
- обращение к смежным системам «свой-чужой»
- вынесение вердикта по состоянию защищенности
- управление подключения (выдача разрешений) для доступа к защищаемым подсетям в этих ЦОДах
Для проведения нагрузочного тестирования в отечественном ЦОДе развернули 204 виртуальные машины (ВМ), в каждой из которых запустили 515 контейнеров.
Каждый контейнер эмулировал реальное рабочее место, в котором были установлены Агент САКУРА и клиент VPN-решения «». Таким образом, удалось смоделировать одновременное подключение 105 тысяч рабочих мест!
| «Проверка работоспособности решения в условиях реальной нагрузки это хороший экзамен для всей команды проекта - архитекторов, разработчиков, тестировщиков и специалистов поддержки. И они достойно сдали этот экзамен. Однако основной экзамен это правильное, комфортное и результативное взаимодействие людей в команде. Команда в этом экзамене состояла не только из специалистов вендора, но и из специалистов технологического партнера и технической команды со стороны Заказчика. Благодаря тесному взаимодействию, четкой организации и полному взаимопониманию этот проект был успешно реализован, а грамотно спроектированные технические решения показали расчетную производительность» – прокомментировал Кораблев Георгий, заместитель генерального директора по развитию бизнеса компании «АМИКОН». |
При подготовке инфраструктуры мы использовали реальные кейсы и стандарты, поэтому архитектура защищенного контура Условного клиента была максимально приближена к промышленной: 2 гео-распределенных ЦОДа, в каждом из которых по 2 Сервера САКУРА, работающих в отказоустойчивом режиме Active-Active (итого 4 сервера). При этом каждый Сервер САКУРА был настроен на взаимодействие с VPN-системой, СУБД и внешними системами.
Сценарий нагрузочного тестированияИспытания проходили по следующему сценарию:
1. Сбор данных. Агент САКУРА собирал необходимые метрики рабочего места и передавал их через VPN-канал на Сервер САКУРА.
2. Анализ и дополнительная проверка. Сервер САКУРА проводил дополнительные проверки по заданному «Сценарию проверки», при необходимости обращаясь к внешним системам Условного клиента. Каждый сценарий проверки обслуживается с помощью инструмента «Матрица реагирования», который превращает пассивные сценарии в активный механизм управления инцидентами. Сила «Матрицы реагирования» в том, что это масштабируемая система принятия решений и может включать в себя практически безграничное количество условий и правил. Как выглядел сценарий проверки комплаенса подключающегося удаленного рабочего места и матрица реагирования, можно увидеть на изображениях ниже:
Рис.1 - Матрица реагирования на изменение состояний уровней нарушения (в разных вариантах)
Рис.2 - Сценарий проверки комплаенса подключающегося удаленного АРМ
3. Принятие решения. После этого Сервер САКУРА определял, допускать ли РМ в информационную систему Условного клиента.
По такому же сценарию было запущено одновременное подключение всех удаленных рабочих мест.
Таким образом, удаленное АРМ допускалось в информационную систему Условного клиента только после передачи всех параметров и успешного прохождения всех проверок. Факт успешного прохождения проверок фиксировался в протоколе нагрузочного теста. Подробнее о возможностях механизма Сценариев проверки в ПК ИБ САКУРА рассказывали в этой .
Важно отметить: в рамках данного нагрузочного теста мы не просто оценивали скорость подключения «агента к серверу», а проверяли реальный кейс информационной безопасности.
Технические характеристики нагрузочного тестирования
Продолжительность испытаний: в течение 1 часа без перерывов.
По итогам НТ продуктовая команда зафиксировала следующие результаты:
- Нагрузка на процессор (CPU) у серверов САКУРА составила не выше 15%, а у сервера СУБД не выше 30%.
- Пиковое потребление памяти (RAM) на серверной части инфраструктуры не превышало 12 Gb.
- Среднее время комплаенса в процессе подключения одного рабочего места и прохождения всех проверок Сервером составило 3.3 секунды.
- За все время проведения нагрузочного тестирования:
- ·при прохождении сценария комплаенса серверная часть САКУРА отправила более 100 000 запросов во внешние системы Условного клиента
- выполнено более 200 000 RADIUS-запросов для повышения уровня доступа конечных АРМ
- все интеграционные запросы обработаны успешно без потери данных
- ·при прохождении сценария комплаенса серверная часть САКУРА отправила более 100 000 запросов во внешние системы Условного клиента
Рис.3 - Потребление памяти (RAM) на серверной части инфраструктуры
Рис.4 - Утилизация ресурса процессора за все время проведения НТ
После проверки основного сценария нагрузочного теста команда провела несколько стресс-тестов, которые включали в себя воспроизведение нештатных ситуаций, например, таких:
- один из ЦОДов Условного клиента становился недоступным, и всю нагрузку на себя принимал оставшийся
- в рабочем состоянии оставался только один Сервер САКУРА из четырех
Результат стресс-тестов показал: программный комплекс САКУРА сохраняет контроль и приемлемое время реагирования даже при деградации инфраструктуры. Серверная часть хорошо масштабируется и балансируется, а в части ресурсов сохраняется ощутимый запас, необходимый для функционирования системы.
РезюмеТаким образом, проведенные испытания подтвердили готовность ПК ИБ САКУРА редакции 3 к эксплуатации в крупных корпоративных инфраструктурах с десятками тысяч конечных точек. Это гарантирует:
- стабильность – обработка массовых подключений без отказов и потерь данных
- управляемость – получение точных метрик по CPU/RAM и времени проверок, что помогает планировать объем мощностей
- устойчивость – сохранение работоспособности и отказоустойчивости архитектуры в стресс-режимах (потеря ЦОДа, сокращение числа серверов)
- релевантность – применимость на практике, т.к. создавались реалистичные сценарии нагрузки
–
–
–
---
Подписывайтесь на наши каналы в и
