Переход на удаленный доступ к корпоративной сети увеличил поверхность атаки на периметр компании в среднем на 40-60% за последние три года. Сегодня выбор между классическим VPN и Zero Trust Network Access (ZTNA) определяет не только безопасность, но и стоимость владения инфраструктурой, которая при неправильном выборе растет на 15-20% ежегодно за счет лицензий и поддержки.
VPN против ZTNA: экономика и безопасность
Классический SSL/IPsec VPN работает по принципу «доверия к сети»: один раз авторизовавшись, пользователь получает доступ ко всему сегменту. Это критическая уязвимость. В то время как ZTNA (Zero Trust) реализует микросегментацию, где доступ дается к конкретному приложению (порт/протокол), а не к сети. Стоимость внедрения ZTNA выше на 30-50% на старте, но снижает риск горизонтального перемещения злоумышленника (Lateral Movement) практически до нуля.
Кейс: компания из 100 сотрудников перешла с OpenVPN на решение класса ZTNA. Результат — сокращение времени настройки прав доступа для новых сотрудников с 4 часов до 15 минут и полное исключение инцидентов, когда стажер получал доступ к серверу бухгалтерии по ошибке в правилах фаервола.
Экспертный вывод: для компаний с штатом более 50 человек и распределенными ролями VPN безнадежно устарел; переходите на ZTNA, чтобы не зависеть от человеческого фактора при настройке ACL.
Скрытые расходы и технические подводные камни
Многие недооценивают стоимость «бесплатных» решений. Open-source VPN требуют оплаты квалифицированного системного администратора (ЗП от 120 000 до 200 000 руб./мес.), который будет латать дыры в безопасности и обновлять сертификаты. Платные корпоративные шлюзы стоят от $50 до $150 за пользователя в год, но снимают нагрузку с персонала. Главный риск здесь — пропускная способность канала: при удаленке 100% сотрудников нагрузка на исходящий канал офиса возрастает в 3-5 раз, что часто приводит к ошибке «Недоступно» при попытке обращения к тяжелым БД.
Пример: при использовании RDP через VPN задержка (latency) выше 100 мс делает работу в 1С или AutoCAD невыносимой. Решение — использование VDI (Virtual Desktop Infrastructure) или терминальных серверов с оптимизацией протокола UDP.
Экспертный вывод: считайте TCO (совокупную стоимость владения) на 3 года, а не стоимость лицензии за год; бесплатный софт часто обходится дороже из-за стоимости человеко-часов.
Многофакторная аутентификация как стандарт выживания
Использование только логина и пароля в 2024 году — это сознательный риск. По статистике, 80% взломов корпоративных сетей начинаются с кражи учетных данных через фишинг. Внедрение MFA (Multi-Factor Authentication) через push-уведомления или аппаратные токены (YubiKey) снижает вероятность несанкционированного входа на 99.9%. Стоимость внедрения базового MFA через облачные сервисы начинается от $1-3 за пользователя в месяц.
Нюанс: избегайте SMS-кодов из-за уязвимости к SIM-swapping. Только TOTP-приложения (Google Authenticator, Яндекс Ключ) или биометрия. Ошибка многих админов — оставить «белые списки» IP-адресов для руководителей, что создает дыру в безопасности, если их домашний роутер будет скомпрометирован.
Экспертный вывод: MFA должна быть принудительной для всех без исключений. Любой «исключительный» доступ для топ-менеджмента — это главная точка входа для шифровальщика.
Оптимизация трафика и борьба с задержками
Главная проблема удаленного входа — «эффект бутылочного горлышка» на основном шлюзе. При пиковой нагрузке (например, начало рабочего дня в 9:00) CPU шлюза может прыгать до 90%, что вызывает разрывы сессий и потерю пакетов. Решением является Split Tunneling: трафик к внутренним ресурсам идет через защищенный канал, а трафик к внешним сайтам (YouTube, почта) — напрямую через интернет пользователя.
Сравнение: без Split Tunneling нагрузка на канал компании выше на 70-80%. С ним — только полезный бизнес-трафик. Однако это требует жесткого контроля на уровне Endpoint Protection (EDR), чтобы пользователь не занес вирус из интернета прямо в сессию с сервером.
Экспертный вывод: используйте Split Tunneling только в связке с антивирусным ПО на конечных точках, иначе вы превращаете каждый домашний компьютер сотрудника в мост для атаки на сеть.
Вывод
Для малого бизнеса до 20 человек допустим качественный SSL VPN с обязательным MFA. Для среднего и крупного бизнеса единственный разумный путь — переход на ZTNA и VDI. Начинать нужно с аудита прав доступа и внедрения строгой политики «нулевого доверия». Избегайте OpenVPN без выделенного штата безопасности и никогда не используйте RDP напрямую через интернет без VPN/шлюза — это гарантированный взлом в течение первых 48 часов после открытия порта.
Контекст и детали — в основном материале Недоступно.
