Переход на удаленный доступ к корпоративным ресурсам увеличил поверхность атаки на компании в среднем на 40% за последние три года. Сегодня выбор между классическим VPN и современным ZTNA определяет не только удобство сотрудников, но и стоимость страхования киберрисков и вероятность полной остановки бизнеса из-за шифровальщика.
VPN: классика с критическими уязвимостями
Традиционный SSL/IPsec VPN работает по принципу «доверия по периметру»: один раз авторизовавшись, пользователь получает доступ ко всему сегменту сети. В реальности 60% инцидентов безопасности в среднем бизнесе связаны с компрометацией одной учетной записи VPN, что позволяет злоумышленнику перемещаться горизонтально (lateral movement) по сети. Стоимость внедрения OpenVPN или WireGuard минимальна (от 0 до 500$ за лицензии), но затраты на поддержку и патчинг уязвимостей (например, критические дыры в Fortinet или Ivanti) съедают всю экономию.
Кейс: компания из 100 сотрудников использовала стандартный VPN. После утечки пароля одного менеджера через фишинг, злоумышленник за 15 минут нашел открытый SMB-шар с бухгалтерией и зашифровал данные. Вывод: VPN сегодня допустим только для узкого круга админов, но недопустим для всего штата.
Zero Trust Network Access (ZTNA) против VPN
ZTNA реализует концепцию «никому не доверяй». Доступ предоставляется не к сети, а к конкретному приложению (L7 уровень модели OSI) после проверки контекста: устройства, IP-адреса, версии ОС и MFA. Разница в производительности ощутима: задержки (latency) в ZTNA-решениях с облачными шлюзами могут быть на 20-50 мс выше, чем в прямом туннеле, но безопасность возрастает кратно. Стоимость владения (TCO) выше: лицензии начинаются от 3-10$ за пользователя в месяц.
Сравнение: VPN дает доступ к 192.168.1.0/24; ZTNA дает доступ только к http://crm.internal:80. Экспертный вывод: для компаний с оборотом от 100 млн руб. в год переход на ZTNA — это не роскошь, а способ избежать убытков от простоя, которые в среднем составляют от 50 000$ за час работы всей сети.
VDI и RDP: когда данные не покидают сервер
Virtual Desktop Infrastructure (VDI) и удаленные рабочие столы (RDP) — единственный способ гарантировать, что файлы не окажутся на личном ноутбуке сотрудника. При использовании RDP через шлюз (RD Gateway) трафик идет по порту 443, что упрощает обход корпоративных файрволов. Однако RDP без MFA — это «открытая дверь»: брутфорс стандартного порта 3389 происходит за считанные часы. Рекомендуемый стек: Citrix или VMware Horizon, где стоимость лицензии на одного пользователя может достигать 150-300$ в год.
Нюанс: при нагрузке более 50 одновременных сессий стоимость серверного железа (RAM и SSD NVMe) растет экспоненциально. Вывод: VDI идеален для работы с конфиденциальными данными (ПДн, фин. отчеты), но избыточен для простых офисных задач.
Типичные ошибки настройки и способы обхода
Самая грубая ошибка — использование статических паролей без второго фактора (MFA). Внедрение Duo или Google Authenticator снижает риск несанкционированного входа на 99%. Другая проблема — отсутствие сегментации: когда удаленный пользователь попадает в одну VLAN с сервером БД. Правильная архитектура подразумевает DMZ (демилитаризованную зону) и строгие ACL (списки контроля доступа). Иногда пользователи сталкиваются с тем, что корпоративный ресурс или VPN-шлюз отображается как недоступно из-за блокировок провайдера или некорректного DNS.
Пример: компания настроила доступ через DNS-имя, но забыла про Split-Tunneling. В итоге весь трафик (включая YouTube) пошел через офисный канал 100 Мбит/с, что привело к его перегрузке на 120% и падению связи. Чтобы решить проблему с доступностью ресурсов, стоит изучить способы обхода ошибки «Недоступно» для оптимизации маршрутов.
Вывод
Мой вердикт: забудьте про классический VPN для массового доступа. Оптимальный стек для современного бизнеса — это связка ZTNA для большинства сотрудников и VDI для работы с критическими данными. Начинайте с внедрения MFA (обязательно!) и сегментации сети. Избегайте «бесплатных» решений без поддержки, так как стоимость одного успешного взлома перекроет бюджет на лицензии ZTNA за 10 лет. Лучший выбор сегодня — переход на модель Zero Trust, даже если это потребует перенастройки всех внутренних сервисов.