Переход на удаленный доступ к корпоративной сети увеличивает поверхность атаки в 3-5 раз, превращая каждый домашний роутер сотрудника в потенциальную точку входа для шифровальщиков. Сегодня выбор между классическим VPN и концепцией Zero Trust определяет не только безопасность, но и стоимость владения инфраструктурой, которая при неправильном подходе вырастает на 20-30% ежегодно.
VPN: классика с критическими уязвимостями
Традиционные SSL/IPsec VPN работают по принципу «доверяй, но проверяй один раз»: после авторизации пользователь получает полный доступ к сегменту сети (L2/L3). В реальности 40% инцидентов безопасности в среднем бизнесе связаны с компрометацией учетных данных VPN. Стоимость внедрения OpenVPN или WireGuard минимальна (лицензии от 0 до $500 за узел), но затраты на поддержку и аудит прав доступа растут линейно с числом сотрудников.
Кейс: компания из 50 человек использовала единый VPN-шлюз. После взлома одной учетной записи через фишинг злоумышленник за 15 минут просканировал сеть и получил доступ к серверу 1С. Ошибка — отсутствие микросегментации. Экспертный вывод: VPN допустим только для узкого круга админов, для массового персонала он слишком опасен из-за избыточных привилегий.
Zero Trust Network Access (ZTNA) как стандарт
ZTNA меняет парадигму: доступ дается не к сети, а к конкретному приложению (L7). Пользователь вообще не «видит» внутреннюю топологию сети, что исключает горизонтальное перемещение атакующего. Средний чек за внедрение ZTNA-решений составляет от $10 до $25 за пользователя в месяц, но это сокращает время реагирования на инциденты в 2-3 раза за счет детального логирования каждого запроса.
Пример: переход с Cisco AnyConnect на Cloudflare Access или аналоги позволил сократить нагрузку на системных администраторов на 15-20%, так как доступ к SaaS и внутренним веб-сервисам настраивается через политики IDP (Okta, Azure AD) без правки маршрутов на шлюзах. Мой вердикт: ZTNA — единственный способ масштабировать удаленку без риска превратить сеть в решето.
Скрытые расходы и технические барьеры
Главный подводный камень — «налог на производительность». При использовании тяжелых шифрований или цепочек прокси задержка (latency) может вырасти с 20-40 мс до 150-200 мс, что делает работу в удаленном RDP или тяжелых CAD-системах невыносимой. Кроме того, внедрение MFA (многофакторной аутентификации) замедляет вход в систему на 10-15 секунд, что при 10 входах в день на 100 сотрудников дает ощутимые потери в продуктивности.
Важно учитывать совместимость с legacy-протоколами. Старый софт, работающий по UDP или специфическим портам, часто «отваливается» при переходе на HTTPS-прокси. Если ваша архитектура статуса «недоступно» связана с разрывом сессий в старых приложениях, проблема может быть в таймаутах TCP-соединений на стороне шлюза. Экспертный вывод: всегда тестируйте пропускную способность на самых тяжелых бизнес-процессах до раскатки на весь штат.
Сравнение архитектур: стоимость и риски
Сравним два подхода для компании в 100 человек: VPN (на базе MikroTik/pfSense) и ZTNA (облачный агент). VPN: затраты на железо ~$2000, поддержка — 10 часов/мес. ZTNA: ежемесячный платеж ~$1500, поддержка — 2 часа/мес. При этом риск утечки данных через VPN оценивается в десятки тысяч долларов потенциального ущерба, тогда как ZTNA локализует угрозу в рамках одного приложения.
Критическая ошибка многих — использование TeamViewer или AnyDesk как альтернативы корпоративной сети. Это не доступ в сеть, а удаленное управление рабочим столом, что создает «серые» зоны контроля и дыры в безопасности. Мое мнение: использование сторонних инструментов удаленного доступа без централизованного управления — это профессиональная халатность.
Вывод
Для малого бизнеса до 20 человек допустим жестко настроенный WireGuard с обязательным MFA и разделением VLAN. Для компаний от 50 человек единственный рациональный выбор — ZTNA. Начинайте с инвентаризации приложений, внедряйте строгий Identity Management и полностью отказывайтесь от концепции «доверенной внутренней сети». Избегайте покупки дорогого VPN-железа, которое через 2 года станет узким местом; инвестируйте в программно-определяемый доступ (SDP).
