Переход на удаленный доступ к корпоративной сети увеличивает поверхность атаки в 3-5 раз, превращая каждый домашний роутер сотрудника в потенциальную точку входа для шифровальщиков. Сегодня выбор между классическим VPN и ZTNA определяет не только удобство, но и стоимость одного инцидента, который в среднем по рынку РФ в 2023-2024 годах обходится компании в 2-7 млн рублей.
VPN против ZTNA: архитектурный разрыв
Традиционный SSL/IPsec VPN работает по принципу «доверяй, но проверяй на входе»: после авторизации пользователь получает доступ ко всему сегменту сети (L3). Это критическая ошибка. В то время как ZTNA (Zero Trust Network Access) реализует микросегментацию, где доступ дается к конкретному приложению (L7). Разница в безопасности колоссальна: при компрометации VPN-аккаунта злоумышленник сканирует всю сеть, в ZTNA он видит только один разрешенный сервис.
Кейс: компания из 150 сотрудников перешла с OpenVPN на ZTNA-решение. Время настройки прав доступа для нового сотрудника сократилось с 40 минут до 5 минут, а количество внутренних сканирований сети снизилось до нуля. Экспертный вывод: VPN сегодня допустим только для системных администраторов, для рядовых сотрудников внедрение ZTNA — единственный способ избежать латерального движения атакующего по сети.
Стоимость внедрения и скрытые расходы
Бюджет на удаленный доступ складывается из стоимости лицензий и затрат на железо. Open-source решения (WireGuard, OpenVPN) кажутся бесплатными, но стоимость поддержки и администрирования таких систем при штате от 50 человек съедает всю экономию: затраты на инженера составляют от 120 000 до 200 000 руб./мес. Коммерческие шлюзы (Fortinet, Check Point или российские аналоги) стоят от 300 000 до 1,5 млн рублей за устройство плюс ежегодная подписка на обновления безопасности (15-25% от стоимости железа).
При выборе софта важно смотреть на Сравнение тарифов «Недоступно», чтобы понимать, где заложена переплата за избыточный функционал. Экспертный вывод: Для компаний до 100 человек оптимален облачный ZTNA-брокер с оплатой за пользователя (от 300 до 800 руб./мес.), так как это исключает затраты на дорогое железо и его обслуживание.
Многофакторная аутентификация как стандарт выживания
Пароль больше не является защитой: 80% утечек в корпоративных сетях происходят из-за кражи учетных данных. Внедрение MFA (Multi-Factor Authentication) через TOTP-токены или Push-уведомления снижает риск несанкционированного входа на 99%. Ошибка многих практиков — использование SMS-кодов, которые легко перехватываются через SIM-swap или уязвимости протокола SS7.
Пример: внедрение интеграции с Active Directory и обязательный MFA через приложение (например, Яндекс Ключ или аналоги) сократило число инцидентов с «подбором паролей» до нуля за первый квартал. Экспертный вывод: Любой вход в сеть без MFA должен считаться критической уязвимостью. Если решение не поддерживает интеграцию с внешним IdP (Identity Provider), его нельзя покупать.
Производительность и задержки: влияние на бизнес
Задержка (latency) выше 150 мс делает работу в удаленном рабочем столе (RDP) невыносимой, что снижает продуктивность сотрудника на 20-30%. Использование тяжелых протоколов шифрования на слабых домашнем роутерах часто приводит к падению пропускной способности до 10-15 Мбит/с даже при гигабитном канале. Переход на WireGuard увеличивает скорость передачи данных на 40-60% по сравнению с OpenVPN за счет более эффективного кода и современного шифрования (ChaCha20).
Мини-кейс: переход отдела проектирования (работа с тяжелыми чертежами) на оптимизированный протокол сократил время открытия файла с 12 до 4 секунд. Экспертный вывод: Всегда тестируйте MTU (Maximum Transmission Unit) при настройке туннелей; неправильный размер пакета приводит к фрагментации и «зависанию» сессий, что ошибочно списывают на плохой интернет.
Вывод
Мой вердикт: забудьте про классические VPN для всех сотрудников — это архитектурный анахронизм. Начинайте с внедрения ZTNA-решений с обязательной привязкой к IdP и MFA. Если бюджет ограничен, используйте WireGuard для техподдержки и облачные прокси для пользователей. Избегайте SMS-аутентификации и любых решений, которые дают доступ к целому VLAN вместо конкретного порта приложения. Лучшая стратегия сегодня: минимальные привилегии, строгая проверка устройства (Device Posture Check) и полный лог всех действий внутри сети.