Испытание на прочность: САКУРА готова к работе с 105 тысячами рабочих мест даже в нештатных ситуациях

Испытание на прочность: САКУРА готова к работе с 105 тысячами рабочих мест даже в нештатных ситуациях

В конце 2025 года мы анонсировали успешное завершение масштабного нагрузочного тестирования (НТ) программного комплекса информационной безопасности САКУРА редакции 3. Теперь вместе с Максимом Ефремовым, заместителем генерального директора по ИБ компании «ИТ-Экспертиза», детально разбираем методику испытаний, архитектуру стенда, сценарии проверок, стресс-тесты и другие технические детали.

В прошлом году мы провели масштабное нагрузочное тестирование (НТ) ПК ИБ САКУРА. Цель – подтвердить стабильность, надежность, отказоустойчивость и производительность системы, которая обеспечивает безопасное удаленное подключение 105 000 одновременно работающих АРМ к информационным системам предприятия. В ходе подготовки материала мы задались вопросом – насколько велика эта цифра? Для сравнения: крупнейший стадион Москвы «Лужники» вмещает 81 000 человек! А теперь представьте, как более 100 000 пользователей одновременно подключаются к корпоративной ИТ-инфраструктуре – это, безусловно, колоссальная, если не сказать, критическая нагрузка для большинства информационных систем.

Чтобы результаты НТ были достоверными и имели практическую ценность для Заказчиков, мы отказались от синтетических тестов. Вместо этого воспроизвели реальные сценарии подключения и проверок. Это позволило ответить на главные вопросы: как ведет себя система контроля доступа при массовом подключении удаленных АРМ и как быстро при этом выполняется проверка соответствия (комплаенс).

Для проведения нагрузочного теста арендовали существенные мощности в нескольких ЦОД и разработали специальную методику НТ. Главная задача – воспроизвести реальное взаимодействие удаленных рабочих мест (РМ) и серверной инфраструктуры: удаленные рабочие места с установленными агентом САКУРА и VPN-клиентом подключались через балансировщики и VPN-шлюзы к одному из двух гео-распределенных ЦОДов, где размещалась информационная система Условного клиента. При этом, серверы САКУРА отвечали за следующие операции:

  • прием данных от агентов и их обработка
  • обращение к смежным системам «свой-чужой»
  • вынесение вердикта по состоянию защищенности
  • управление подключения (выдача разрешений) для доступа к защищаемым подсетям в этих ЦОДах

Тестовый стенд и масштабирование нагрузки

Для проведения нагрузочного тестирования в отечественном ЦОДе развернули 204 виртуальные машины (ВМ), в каждой из которых запустили 515 контейнеров.

Каждый контейнер эмулировал реальное рабочее место, в котором были установлены Агент САКУРА и клиент VPN-решения « АМИКОН». Таким образом, удалось смоделировать одновременное подключение 105 тысяч рабочих мест!

«Проверка работоспособности решения в условиях реальной нагрузки это хороший экзамен для всей команды проекта - архитекторов, разработчиков, тестировщиков и специалистов поддержки. И они достойно сдали этот экзамен. Однако основной экзамен это правильное, комфортное и результативное взаимодействие людей в команде. Команда в этом экзамене состояла не только из специалистов вендора, но и из специалистов технологического партнера и технической команды со стороны Заказчика. Благодаря тесному взаимодействию, четкой организации и полному взаимопониманию этот проект был успешно реализован, а грамотно спроектированные технические решения показали расчетную производительность» – прокомментировал Кораблев Георгий, заместитель генерального директора по развитию бизнеса компании «АМИКОН».

При подготовке инфраструктуры мы использовали реальные кейсы и стандарты, поэтому архитектура защищенного контура Условного клиента была максимально приближена к промышленной: 2 гео-распределенных ЦОДа, в каждом из которых по 2 Сервера САКУРА, работающих в отказоустойчивом режиме Active-Active (итого 4 сервера). При этом каждый Сервер САКУРА был настроен на взаимодействие с VPN-системой, СУБД и внешними системами.

Сценарий нагрузочного тестирования

Испытания проходили по следующему сценарию:

1. Сбор данных. Агент САКУРА собирал необходимые метрики рабочего места и передавал их через VPN-канал на Сервер САКУРА.

2. Анализ и дополнительная проверка. Сервер САКУРА проводил дополнительные проверки по заданному «Сценарию проверки», при необходимости обращаясь к внешним системам Условного клиента. Каждый сценарий проверки обслуживается с помощью инструмента «Матрица реагирования», который превращает пассивные сценарии в активный механизм управления инцидентами. Сила «Матрицы реагирования» в том, что это масштабируемая система принятия решений и может включать в себя практически безграничное количество условий и правил. Как выглядел сценарий проверки комплаенса подключающегося удаленного рабочего места и матрица реагирования, можно увидеть на изображениях ниже:




Рис.1 - Матрица реагирования на изменение состояний уровней нарушения (в разных вариантах)


Рис.2 - Сценарий проверки комплаенса подключающегося удаленного АРМ

3. Принятие решения. После этого Сервер САКУРА определял, допускать ли РМ в информационную систему Условного клиента.

По такому же сценарию было запущено одновременное подключение всех удаленных рабочих мест.

Таким образом, удаленное АРМ допускалось в информационную систему Условного клиента только после передачи всех параметров и успешного прохождения всех проверок. Факт успешного прохождения проверок фиксировался в протоколе нагрузочного теста. Подробнее о возможностях механизма Сценариев проверки в ПК ИБ САКУРА рассказывали в этой статье.

Важно отметить: в рамках данного нагрузочного теста мы не просто оценивали скорость подключения «агента к серверу», а проверяли реальный кейс информационной безопасности.

Если видео не оботражается: https://rutube.ru/video/f78e48ae9a3235d44e04230425636b83/?r=plwd

Технические характеристики нагрузочного тестирования

Продолжительность испытаний: в течение 1 часа без перерывов.

По итогам НТ продуктовая команда зафиксировала следующие результаты:

  1. Нагрузка на процессор (CPU) у серверов САКУРА составила не выше 15%, а у сервера СУБД не выше 30%.
  2. Пиковое потребление памяти (RAM) на серверной части инфраструктуры не превышало 12 Gb.
  3. Среднее время комплаенса в процессе подключения одного рабочего места и прохождения всех проверок Сервером составило 3.3 секунды.
  4. За все время проведения нагрузочного тестирования:
    • ·при прохождении сценария комплаенса серверная часть САКУРА отправила более 100 000 запросов во внешние системы Условного клиента
    • выполнено более 200 000 RADIUS-запросов для повышения уровня доступа конечных АРМ
    • все интеграционные запросы обработаны успешно без потери данных


Рис.3 - Потребление памяти (RAM) на серверной части инфраструктуры


Рис.4 - Утилизация ресурса процессора за все время проведения НТ

Дополнительные стресс-тесты

После проверки основного сценария нагрузочного теста команда провела несколько стресс-тестов, которые включали в себя воспроизведение нештатных ситуаций, например, таких:

  • один из ЦОДов Условного клиента становился недоступным, и всю нагрузку на себя принимал оставшийся
  • в рабочем состоянии оставался только один Сервер САКУРА из четырех

Результат стресс-тестов показал: программный комплекс САКУРА сохраняет контроль и приемлемое время реагирования даже при деградации инфраструктуры. Серверная часть хорошо масштабируется и балансируется, а в части ресурсов сохраняется ощутимый запас, необходимый для функционирования системы.

Резюме

Таким образом, проведенные испытания подтвердили готовность ПК ИБ САКУРА редакции 3 к эксплуатации в крупных корпоративных инфраструктурах с десятками тысяч конечных точек. Это гарантирует:

  • стабильность – обработка массовых подключений без отказов и потерь данных
  • управляемость – получение точных метрик по CPU/RAM и времени проверок, что помогает планировать объем мощностей
  • устойчивость – сохранение работоспособности и отказоустойчивости архитектуры в стресс-режимах (потеря ЦОДа, сокращение числа серверов)
  • релевантность – применимость на практике, т.к. создавались реалистичные сценарии нагрузки

Материалы по теме

САКУРА-3 и Zero Trust: как эффективно и безопасно обеспечить доступ недоверенного устройства при подключении к критически важной инфраструктуре
Нагрузочное тестирование на российских процессорах Baikal-S 20 000 одновременно работающих пользователей 1С:ERP
Стенд для 30 000 АРМ: как мы автоматизировали подготовку виртуальных машин для нагрузочного теста

---

Подписывайтесь на наши каналы в telegram и MAX
100000 sakura ИБ Информационная безопасность нагрузочное тестирование САКУРА
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

14 ФЕВРАЛЯ: ПОМИНКИ ПО СТРАСТИ

Попытка «откупиться» букетом после года тишины — это тушение лесного пожара стаканом воды. Окситоцину плевать на календарь, ему нужны ежедневные транзакции. Разбираем, почему ваш праздничный ужин сегодня — лишь декорация на фоне системного кризиса.


ИТ-Экспертиза

Блог компании "ИТ-Экспертиза". Компания специализируется на повышении отказоустойчивости и производительности сложных высоконагруженных ИТ-систем. "ИТ-Экспертиза" является разработчиком программных продуктов: интеграционная шина 1С:Интеграция КОРП (совместно с Фирмой 1С), комплекс информационной безопасности САКУРА (безопасность, инвентаризация и мониторинг рабочих мест). Подробнее о компании можно узнать по адресу: https://it-expertise.ru