Переход на удаленный доступ к корпоративным ресурсам увеличивает поверхность атаки на сеть в 3-5 раз, превращая каждую домашнюю точку доступа в потенциальную точку входа для шифровальщиков. Сегодня выбор между классическим VPN и Zero Trust Network Access (ZTNA) определяет, потеряете ли вы данные за 15 минут или локализуете инцидент на одном узле.
VPN против ZTNA: технический разбор
Классический SSL/IPsec VPN работает по принципу «доверяй, но проверяй один раз»: после авторизации пользователь получает доступ ко всему сегменту сети (L3-уровень). Это критическая ошибка архитектуры. В то время как ZTNA (Zero Trust) реализует микросегментацию, предоставляя доступ только к конкретному приложению (L7-уровень). Среднее время развертывания полноценного VPN-шлюза с настройкой политик составляет 2-5 рабочих дней, тогда как облачный ZTNA-коннектор поднимается за 2-4 часа.
Кейс: компания из 100 сотрудников использовала OpenVPN. Утечка учетных данных одного менеджера позволила злоумышленнику просканировать всю внутреннюю сеть и найти уязвимый сервер БД. При ZTNA пользователь видел бы только CRM, а доступ к БД был бы физически закрыт на уровне политики доступа. Вывод: VPN сегодня допустим только для малых групп (до 15 человек) при жестком контроле устройств.
Скрытые расходы и стоимость внедрения
Стоимость владения (TCO) удаленным доступом складывается из лицензий, железа и поддержки. Лицензии на корпоративные VPN-решения (Cisco, Fortinet) варьируются от $15 до $50 за пользователя в год, но требуют дорогостоящего «железа» (шлюзы от $1 500 до $10 000). ZTNA чаще работает по модели подписки ($5-12/мес за юзера), исключая капитальные затраты на серверы. Однако поддержка legacy-приложений, которые не поддерживают HTTP/HTTPS, может увеличить стоимость внедрения на 30% из-за необходимости настройки прокси-серверов.
Экспертная оценка: Для компаний с оборотом до 500 млн руб. выгоднее переходить на SaaS-модели доступа, так как стоимость администрирования собственного VPN-узла (ЗП сисадмина + электричество + обновления) перекрывает стоимость подписки уже на втором году эксплуатации.
Критические ошибки при настройке доступа
Самая фатальная ошибка — отсутствие MFA (многофакторной аутентификации). Статистика показывает, что 80% взломов корпоративных сетей происходят из-за перебора паролей или фишинга. Вторая ошибка — использование Split Tunneling без фильтрации трафика: когда пользователь одновременно заходит в сеть компании и в открытый интернет, его ПК становится мостом для атаки. Третья проблема — статус «недоступно» в финансовых сервисах или внутренних порталах из-за некорректных настроек DNS или конфликта подсетей (например, когда домашняя сеть 192.168.1.0 пересекается с корпоративной).
Пример: при попытке подключения к 1С через VPN пользователь видит ошибку соединения, хотя канал активен. Причина в 90% случаев — конфликт IP-адресов локальных сетей. Решение: использование нестандартных подсетей для внутреннего контура (например, из диапазона 10.x.x.x).
Безопасность конечных точек и контроль
Вход в корпоративную сеть удаленно невозможен без проверки состояния устройства (Posture Check). Практика показывает, что 40% домашних ПК сотрудников имеют устаревшие ОС или отключенные антивирусы. Внедрение NAC (Network Access Control) позволяет блокировать доступ, если на устройстве нет актуального патча безопасности или обнаружен сторонний софт. Срок внедрения такой политики — от 1 до 2 недель.
Сравнение: обычный доступ (пароль) дает 10% уверенности в безопасности; доступ с MFA + Posture Check дает 95% защиты от типовых атак. Мое мнение: любой доступ без проверки целостности ОС должен считаться небезопасным и ограничиваться только веб-интерфейсами без прав администратора.
Вывод
Для современного бизнеса оптимальный путь — полный отказ от традиционных VPN в пользу архитектуры ZTNA. Начинать следует с внедрения MFA на всех точках входа и сегментации доступа по ролям (Role-Based Access Control). Избегайте бесплатных VPN-решений для бизнеса — они либо продают ваши данные, либо имеют дыры в безопасности, которые закрываются спустя месяцы после обнаружения. Мой выбор: гибридная модель с использованием Identity Provider (IdP) и микросегментации приложений.