Переход на удаленный доступ к корпоративной сети увеличил поверхность атаки на компанию в среднем на 40-60% за последние три года, превратив домашние роутеры сотрудников в главные точки входа для шифровальщиков. Сегодня выбор между классическим VPN и Zero Trust (ZTNA) определяет не только удобство, но и стоимость восстановления бизнеса после инцидента, которая в среднем составляет от 1,5 до 5 млн рублей для малого и среднего бизнеса.
VPN: классика с критическими уязвимостями
Традиционный SSL/IPsec VPN дает полный доступ к сегменту сети (L3), что является фатальной ошибкой архитектуры. Если злоумышленник скомпрометировал одну учетную запись, он получает возможность горизонтального перемещения (lateral movement) по всей сети. В 2023 году количество CVE для популярных VPN-шлюзов (Fortinet, Cisco, Ivanti) исчислялось сотнями, что делает их постоянной мишенью.
Кейс: компания из 50 сотрудников использовала простой OpenVPN. После утечки пароля одного менеджера через фишинг, атакующий за 15 минут просканировал сеть и зашифровал сервер 1С, так как доступ был открыт ко всему сегменту, а не к конкретному приложению. Время простоя составило 4 рабочих дня.
Экспертный вывод: VPN допустим только для узкого круга системных администраторов с обязательным MFA (многофакторной аутентификацией), но категорически непригоден для массового доступа рядовых сотрудников.
Zero Trust Network Access (ZTNA) против VPN
Концепция Zero Trust переносит фокус с «доверенной сети» на «доверенного пользователя и устройство». Вместо того чтобы пускать пользователя в сеть, ZTNA создает зашифрованный туннель к конкретному приложению (L7). Разница в безопасности колоссальна: VPN дает доступ к сети (IP-адресам), ZTNA — к сервису (HTTP/RDP/SSH).
- Стоимость внедрения: VPN-шлюз может стоить от $500 до $5 000 за устройство; ZTNA-решения часто работают по подписке ($2–$10 за пользователя в месяц).
- Скорость развертывания: настройка политик доступа для 100 пользователей в ZTNA занимает до 2 дней, тогда как ручная настройка VLAN и ACL для VPN может растянуться на неделю.
Экспертный вывод: Переход на ZTNA сокращает риск распространения вируса внутри сети на 80-90%, так как пользователь просто «не видит» другие ресурсы, кроме разрешенных.
Скрытые риски и ошибка «Сайт недоступен»
При настройке удаленного доступа часто возникает конфликт маршрутизации или блокировка на уровне провайдера/брандмауэра. Ситуация, когда сотрудник видит сообщение Ошибка «Сайт недоступен» при попытке зайти на внутренний портал, часто связана с некорректным DNS-резолвингом или конфликтом локальных подсетей (например, и дома, и в офисе используется 192.168.1.0/24).
Практический нюанс: 30% проблем с удаленным доступом решаются простым изменением внутренней маски сети с популярной /24 на менее распространенную /22 или переходом на IPv6. Также стоит проверить MTU (Maximum Transmission Unit) — если пакеты слишком велики, VPN-туннель будет работать нестабильно, вызывая обрывы сессий.
Экспертный вывод: Диагностика проблем доступа должна начинаться с проверки маршрутов (tracert) и анализа логов шлюза, а не с перезагрузки роутера пользователя.
Аутентификация: почему пароли больше не работают
Использование только паролей для входа в корпоративную сеть сегодня равносильно отсутствию двери. Согласно статистике, до 80% взломов происходят из-за кражи или подбора учетных данных. Внедрение MFA (Multi-Factor Authentication) снижает риск несанкционированного входа на 99.9%.
Сравнение методов MFA: SMS-коды (дешево, но уязвимы к SIM-swapping), TOTP-приложения вроде Google Authenticator (бесплатно, надежно), аппаратные ключи FIDO2/YubiKey (до $50 за штуку, максимальная защита от фишинга). Для критических узлов (бухгалтерия, админы) я рекомендую только аппаратные ключи.
Экспертный вывод: Любая система удаленного доступа без MFA должна считаться взломанной по умолчанию. Это базовый гигиенический минимум безопасности в 2024 году.
Вывод
Мой вердикт: забудьте про классические VPN для массового использования. Для бизнеса оптимальный путь — внедрение ZTNA-архитектуры с обязательным MFA на базе TOTP или FIDO2. Начните с инвентаризации ресурсов и разделения прав доступа по принципу наименьших привилегий. Избегайте бесплатных OpenSource VPN-решений без опыта их глубокой настройки, так как цена ошибки в конфигурации будет в десятки раз выше стоимости лицензионного защищенного шлюза.
