Центр помощи — NexusBridge Enterprise

Изолированные контуры

🔌 Работа в закрытых контурах (Air-gap)

Air-gap (воздушный зазор) — режим эксплуатации, при котором вся инфраструктура физически изолирована от интернета и любых внешних сетей. NexusBridge изначально спроектирован для этого режима: система не требует подключения к интернету ни для работы, ни для активации лицензии, ни для обновлений.

Для Air-gap контуров предусмотрены:

Offline-активация лицензии через зашифрованный файл запроса/ответа
Поставка обновлений на защищённом носителе (USB HSM, оптический диск)
Внутренний NTP-сервер вместо публичного time.google.com
PKI на базе внутреннего удостоверяющего центра организации
Журналы аудита экспортируются на изолированный SIEM

Процедура offline-активации состоит из трёх шагов:

Генерация запроса: выполните команду nexusctl license request > license_request.bin на изолированной машине.
Получение ответа: передайте файл license_request.bin нашему менеджеру через любой защищённый канал. Вы получите файл license_response.bin.
Активация: выполните nexusctl license activate license_response.bin. Лицензия привязывается к аппаратным характеристикам сервера.

Обновления для Air-gap контуров поставляются в двух форматах:

Физический носитель: зашифрованный USB-токен или оптический диск с дистрибутивом обновления и подписью ГОСТ. Доставляется через службу защищённой курьерской доставки.
Защищённый файловый обмен: зашифрованный архив с обновлением передаётся через систему NexusBridge на граничном узле организации (если есть промежуточная DMZ).

Каждый пакет обновления подписан ГОСТ ЭЦП производителя. Перед установкой система автоматически верифицирует подпись.

Да. NexusBridge поддерживает работу в полностью статически настроенных сетях. Все узлы могут быть указаны по IP-адресу. Для аутентификации в отсутствие AD поддерживается локальная база пользователей с хранением паролей в виде хеша Стрибог-256. Обнаружение узлов выполняется через статический реестр или широковещательный протокол в пределах подсети.

Производительность и рост

📈 Масштабируемость системы

Количество поддерживаемых узлов зависит от конфигурации сервера и топологии сети:

Конфигурация Core	Макс. узлов	Макс. пропускная способность
4 CPU / 8 ГБ RAM / 1 GbE	до 500	до 1 Гбит/с суммарно
8 CPU / 16 ГБ RAM / 10 GbE	до 2 500	до 8 Гбит/с суммарно
16 CPU / 64 ГБ RAM / 25 GbE	до 10 000	до 20 Гбит/с суммарно
Кластер (HA, 3+ узла)	Неограниченно	Линейное масштабирование

NexusBridge поддерживает два режима кластеризации:

Active-Passive: один активный узел Core + один резервный. Failover происходит автоматически при недоступности primary-узла. RTO (время восстановления) — менее 30 секунд.
Active-Active: несколько узлов Core с балансировкой нагрузки. Встроенный балансировщик распределяет туннельные сессии по доступным экземплярам. RPO = 0 (нет потери данных).

Для настройки кластера укажите адреса всех peer-узлов в секции cluster.peers конфигурационного файла. Состояние синхронизируется через зашифрованный Raft-консенсус.

NexusBridge поддерживает следующие топологии туннельных соединений:

Hub-and-Spoke (звезда): все узлы подключаются к центральному Core. Простое управление, рекомендуется для большинства предприятий.
Full Mesh (полная сетка): каждый узел напрямую связан со всеми остальными. Максимальная производительность, минимальная задержка.
Partial Mesh (частичная сетка): гибридная конфигурация. Ключевые узлы связаны напрямую, периферийные — через Core.
Multi-Hub: несколько независимых Core-узлов, объединённых в федерацию. Для холдингов с географически распределёнными ЦОД.

Накладные расходы на шифрование минимальны благодаря аппаратному ускорению:

На серверах с поддержкой AES-NI или аппаратного ускорения ГОСТ (КриптоПро HSM): накладные расходы менее 3%.
На серверах без аппаратного ускорения: накладные расходы 8–15% в зависимости от алгоритма.
Алгоритм «Кузнечик» на современных CPU x86-64 обеспечивает до 4 Гбит/с на одно ядро с помощью оптимизации через AVX2.

Сжатие данных (zstd) рекомендуется включать только для текстовых форматов документов (XML, JSON, PDF) — оно даёт 60–80% экономии трафика при минимальных накладных расходах.

Интеграция с каталогом

🔑 Поддержка Active Directory

NexusBridge совместим со следующими версиями Active Directory и каталожных служб:

Windows Server Active Directory 2012 R2 и новее
Microsoft Entra ID (Azure AD) — через LDAP-прокси
OpenLDAP 2.4+ (любые Linux-дистрибутивы)
FreeIPA / Red Hat Identity Management
Astra Linux Directory (ALD Pro)
РОСА Directory Server

NexusBridge использует инкрементальную синхронизацию с Active Directory через атрибут uSNChanged (Update Sequence Number). Это позволяет получать только изменения, а не выгружать весь каталог при каждой синхронизации.

По умолчанию синхронизация выполняется каждые 5 минут. Интервал настраивается. При удалении учётной записи в AD доступ пользователя к NexusBridge отзывается в течение следующего цикла синхронизации.

Поддерживается также триггерная синхронизация через webhook: при изменении пользователя в AD скрипт GPO может вызвать nexusctl user sync немедленно.

Да. NexusBridge поддерживает подключение к нескольким доменам AD одновременно — как в рамках единого леса (Forest), так и к доменам с отдельными трастовыми отношениями. В конфигурации можно указать несколько секций directory с разными LDAP-серверами.

Для каждого домена можно настроить отдельный набор групп доступа и политик RBAC. Пользователи из разных доменов могут работать в рамках одного контура NexusBridge с разграничением доступа по доменной принадлежности.

Да. NexusBridge поддерживает три режима управления пользователями:

Режим AD/LDAP: основной рекомендуемый режим для корпоративных сред.
Режим локальных пользователей: собственная база пользователей NexusBridge. Пароли хранятся в виде хеша Стрибог-256 с солью. Поддерживаются TOTP (Google Authenticator) и FIDO2.
Гибридный режим: часть пользователей из AD, часть — из локальной базы. Полезно для внешних подрядчиков с временным доступом.

Да. NexusBridge поддерживает Kerberos SSO в доменах Windows Active Directory. Пользователи, вошедшие в домен, автоматически аутентифицируются в NexusBridge без повторного ввода пароля — на основе корпоративного тикета Kerberos (TGT).

Дополнительно поддерживается интеграция с IdP через протокол SAML 2.0, что позволяет подключить NexusBridge к корпоративным системам единого входа (Keycloak, ADFS, Blitz Identity Provider).

Общие вопросы

💬 Общие вопросы об эксплуатации

Резервная копия создаётся командой nexusctl backup create --output /backup/nexus-$(date +%Y%m%d).enc. Архив шифруется ключом резервного копирования (задаётся при инициализации) и подписывается ГОСТ ЭЦП.

В бэкап включаются: конфигурация, ключевой материал, журналы аудита, база пользователей (если локальный режим). Архив можно хранить на изолированном NAS или записывать на оптический диск. Рекомендуется шифрованное хранение с ротацией минимум 30 дней.

Нет — это архитектурная гарантия, а не политика. NexusBridge Core является маршрутизатором, но не конечным узлом E2E-шифрования. Данные шифруются на устройстве отправителя и расшифровываются только на устройстве получателя. Core видит только зашифрованный поток и метаданные (размер, временные метки, идентификаторы узлов).

Администратор системы может видеть: кто, когда и кому передал файл, размер файла, статус передачи. Он не может видеть содержимое файла.

Уровень	Время реакции	Время решения	Режим
Standard	8 часов	3 рабочих дня	9×5
Business	4 часа	24 часа	12×5
Enterprise	1 час	4 часа	24×7×365
Enterprise+	15 минут	2 часа	24×7 + выезд

Да. NexusBridge тесно интегрирован с КриптоПро CSP версий 4.0 и 5.0. Поддерживаются следующие сценарии:

Хранение закрытых ключей в контейнерах КриптоПро (токены Рутокен, eToken, JaCarta)
Подпись документов при передаче с использованием КриптоПро ЭЦП
Генерация ключей через аттестованный ГСЧ КриптоПро
Интеграция с КриптоПро HSM 2.0 для хранения мастер-ключей
Работа через КриптоПро TLS для защиты соединений

🎧

Не нашли ответ на свой вопрос?

Наша служба технической поддержки готова помочь. А чтобы начать работу прямо сейчас — скачайте веб-версию.

Скачать веб-версию Написать в поддержку