Сценарий B · Подрядчики

VPN открывает контрактору всю сеть?
Florete — точечный доступ на заданный срок

Florete реализует контроль доступа на уровне отдельных сервисов: контрактор видит только те из них, которые указаны в его роли. Доступ истекает в назначенную дату и отзывается автоматически.

Согласовать демо →Как это болит

Как это болит сейчас

Один контрактор, две боли

Для безопасника — это периметр, доступ через который нельзя сделать гранулярным. Для IT-администратора — это ручной процесс с размытым жизненным циклом доступа. Болит у обоих, по-разному.

Безопасник / CTO

01Контрактору нужен один API, а VPN-туннель открывает доступ к репозиториям, базам и внутренним дашбордам. Blast radius при компрометации — вся внутренняя сеть.
02Нет журнала, что подрядчик делал в сети. Формально доступ выдан и отозван — но к каким сервисам и в какое время он обращался, непонятно.
03Доступ не истекает сам. Контракт закончился два месяца назад — а VPN-конфиг, скорее всего, до сих пор действует. Выяснится на следующем аудите, если он вообще будет.

IT-администратор

01Дать доступ только к одному сервису через VPN — это ACL на firewall по подсетям. На практике редко кто делает, и контрактор получает полный туннель.
02Запросы прилетают неформально: «дай вот этому доступ в нашу сеть» — в Telegram от менеджера. Админ делает конфиг без понимания для каких задач и на сколько.
03Ответственность за отзыв размыта. PM забыл сообщить админу, что контракт закончился. Доступ висит, пока кто-то случайно не вспомнит.

Как Florete это решает

Гранулярный доступ на основе ролей

Доступ только к нужным сервисам

Если роль contractor разрешает только partner-api, попытка подключиться к аналитической базе или к внутреннему git будет заблокирована на уровне сети. Не «сеть закрыта файрволом», а декларативная политика в git.

Срок действия в коде, отзыв автоматически

В users.yaml рядом с ролью стоит expires. В назначенную дату агент Florete на стороне подрядчика теряет авторизацию — без звонка IT-админу, без ручной зачистки конфигов на серверах.

Аудит доступа к ресурсам из коробки

Каждое соединение в mesh логируется: кто, когда и к каким сервисам подключался. Для безопасника это означает полный журнал доступа подрядчика за всё время контракта — без grep по логам на пяти серверах.

Под капотом

Как это выглядит у администратора

Добавить контрактора — две строчки в users.yaml и pull request. Роль ограничивает доступ до конкретных сервисов, expires задаёт дату автоматического отзыва. Никаких сложных настроек подсетей и ACL на файрволе.

users.yaml

users:
  alice@mycorp.ru:    { roles: [developer]    }
  bob@contractor.io:  { roles: [contractor],
                        expires: "2026-05-12" }

roles.yaml

roles:
  developer:  { allow: [api, analytics-db, prod-k8s] }
  contractor: { allow: [partner-api]                 }
  sales:      { allow: [api]                         }

terminal · admin@mycorp.ru

$ florctl validate
✓ Config valid: 14 nodes, 8 services, 6 roles
  1 grant expires in 7 days (bob@contractor.io)

$ florctl publish
✓ Published to mesh control plane

terminal · bob@contractor.io

$ flor sync
✓ Connected. Access: partner-api only.

$ curl http://partner-api.mycorp.rete/health
{"status":"ok"}

$ psql -h analytics-db.mycorp.rete
flor: access denied — analytics-db not allowed for contractor

Связаться

Расскажите про вашу инфраструктуру — мы покажем демо.

Hands-on от основателей: ставим, конфигурируем, остаёмся на связи в общем чате. Тридцать минут разговора — и вы поймёте, подходит ли Florete под вашу ситуацию.

wsnark@rete-labs.ru Телеграм · @wsnark

Self-serve регистрация появится после релиза MVP в 2027 году. Сейчас — только живой разговор.

Соседние сценарии

Все четыре →