Переход на удаленный доступ к корпоративной сети увеличивает поверхность атаки на 40-60%, превращая каждый домашний роутер сотрудника в потенциальную точку входа для шифровальщиков. Сегодня выбор между классическим VPN и Zero Trust Network Access (ZTNA) определяет, потратит ли компания 15 минут на настройку доступа или 2 недели на ликвидацию последствий утечки данных.
VPN: классика с критическими уязвимостями
Традиционные SSL/IPsec VPN работают по принципу «доверия по периметру»: один раз авторизовавшись, пользователь получает доступ ко всей подсети (L3 доступ). В реальности это означает, что вирус-шифровальщик с ноутбука бухгалтера за 30 000 рублей может за считанные минуты просканировать и заблокировать серверную стойку стоимостью в миллионы. Средняя стоимость развертывания OpenVPN или WireGuard минимальна (лицензии от 0 до $500/год), но затраты на администрирование и поддержку пользователей составляют до 10-15 часов рабочего времени системного администратора в неделю.
Кейс: компания из 50 человек использовала стандартный VPN. После компрометации одного аккаунта через фишинг злоумышленник за 4 часа получил доступ к контроллеру домена, так как сегментация внутри сети отсутствовала. Вывод: VPN допустим только для микробизнеса до 10 человек с жестким разделением VLAN, в остальном это дыра в безопасности.
ZTNA и концепция нулевого доверия
Zero Trust Network Access (ZTNA) меняет парадигму: доступ дается не к сети, а к конкретному приложению (L7 доступ). Система проверяет не только пароль, но и состояние устройства (наличие антивируса, версию ОС, IP-адрес) перед каждым запросом. Стоимость внедрения таких решений (например, Cloudflare Access или аналоги) стартует от $5-15 за пользователя в месяц, что в 10 раз дороже бесплатного ПО, но сокращает риск бокового перемещения (lateral movement) атакующего почти до нуля.
Пример: при переходе на ZTNA в отделе маркетинга доступ к CRM остался, а доступ к серверу разработки был закрыт автоматически, так как запрос пришел с незарегистрированного устройства. Экспертный вывод: ZTNA — единственный вариант для компаний с штатом от 30 человек, где цена простоя бизнеса превышает стоимость лицензий.
Сравнение методов аутентификации и риски
Использование только паролей в 2024 году — преступление против инфраструктуры. Внедрение MFA (многофакторной аутентификации) снижает вероятность успешного взлома аккаунта на 99.9%. Однако SMS-коды уязвимы к SIM-swapping, поэтому стандартом становятся TOTP-токены (Google Authenticator) или аппаратные ключи FIDO2 (Yubikey), стоимость которых составляет $20-60 за единицу. Срок внедрения полноценной политики MFA в компании на 100 человек занимает от 3 до 7 рабочих дней.
Нюанс: многие ошибочно полагают, что достаточно одного VPN-пароля. Но при утечке базы данных или брутфорсе (переборе) доступ открывается за считанные часы. Мой вердикт: любой вход в корпоративную сеть удаленно без MFA должен считаться критической уязвимостью уровня Critical.
Скрытые расходы и производительность каналов
Главная техническая проблема удаленного доступа — «эффект бутылочного горлышка» на шлюзе. При использовании Full Tunnel (весь трафик идет через офис) канал 100 Мбит/с забивается уже при 15-20 активных пользователях, работающих с тяжелыми файлами или видеосвязью. Решением является Split Tunneling, где в офис идет только рабочий трафик, а YouTube и соцсети — через провайдера пользователя. Это разгружает канал на 60-80%, но создает риск просачивания вредоносного ПО через открытый интернет-канал.
Цифры: задержка (latency) при использовании облачного шлюза ZTNA обычно составляет 20-50 мс, тогда как при перегруженном офисном VPN она может прыгать до 300-500 мс, что делает работу в 1С или RDP невозможной. Вывод: выбирайте Split Tunneling для производительности, но обязательно ставьте Endpoint Protection (EDR) на каждое устройство.
Вывод
Для малого бизнеса до 10 человек оптимален WireGuard с жесткой сегментацией. Для компаний от 30 человек — безальтернативный переход на ZTNA с обязательным MFA (TOTP/FIDO2). Избегайте дешевых SSL-VPN решений от вендоров, которые перестали обновлять прошивки, так как эксплойты для них выходят чаще, чем обновления Windows. Начинать стоит с аудита прав доступа: удалите всех лишних пользователей, прежде чем внедрять техническое решение, иначе вы просто автоматизируете хаос.
