Переход на удаленный доступ к корпоративным ресурсам увеличил поверхность атаки на компанию в среднем на 40% за последние два года, превратив домашние роутеры сотрудников в главные точки входа для шифровальщиков. Сегодня выбор между классическим VPN и современным ZTNA определяет не только удобство, а жизнеспособность бизнеса при стоимости одного инцидента утечки данных от 4,5 млн рублей.
VPN: классика с критическими уязвимостями
Традиционные VPN-шлюзы (IPsec, SSL) работают по принципу «доверия по периметру»: один раз авторизовавшись, пользователь получает доступ ко всей подсети или её крупным сегментам. В реальности 60% компаний используют плоскую структуру сети, где взлом одного аккаунта бухгалтера открывает путь к контроллеру домена. Стоимость лицензий на Enterprise-решения варьируется от $50 до $150 за пользователя в год, но скрытые расходы на поддержку и патчинг уязвимостей (например, критических багов в Ivanti или Fortinet) съедают до 20% бюджета ИТ-отдела.
Кейс: компания из 100 человек использовала OpenVPN. Из-за утечки одного сертификата злоумышленник за 15 минут просканировал сеть и зашифровал файловый сервер. Ошибка: отсутствие микросегментации и MFA. Экспертный вывод: VPN сегодня допустим только для узкого круга админов, для массового персонала он слишком опасен.
Zero Trust Network Access (ZTNA) как стандарт
Концепция Zero Trust («никому не доверяй») переносит контроль с уровня сети на уровень приложения. Пользователь не «входит в сеть», а получает доступ к конкретному сервису (например, 1С или Jira) через защищенный прокси. Это сокращает радиус поражения (blast radius) до одного приложения. Внедрение ZTNA снижает нагрузку на каналы связи на 30%, так как трафик идет точечно, а не туннелируется целиком. Стоимость внедрения для среднего бизнеса начинается от 200 000 рублей за базовый стек с ежемесячной подпиской от 2 000 руб./пользователь.
Пример: переход с VPN на ZTNA в ритейл-сети позволил ограничить доступ региональных менеджеров только CRM-системой, закрыв доступ к серверным сегментам. Это исключило риск случайного удаления бэкапов сотрудниками. Экспертный вывод: ZTNA — единственный способ обеспечить безопасность при гибридном графике работы.
Проблема доступа к зарубежным SaaS-сервисам
Для многих компаний критическим становится доступ к облачным инструментам, которые ограничили работу в РФ. Использование бесплатных VPN-сервисов здесь недопустимо: до 70% таких инструментов собирают трафик для продажи рекламным сетям или передачи третьим лицам. Профессиональный подход подразумевает развертывание собственного прокси-сервера в нейтральной юрисдикции (Казахстан, Нидерланды, Турция) с арендой VPS от $5 до $20 в месяц. Однако при росте нагрузки свыше 50 одновременных сессий возникают задержки (latency) более 200 мс, что делает работу в тяжелых интерфейсах невозможной.
Когда внутренние ресурсы становятся недоступны из-за блокировок, важно знать, как выбрать сервис «Недоступно» для обхода ограничений без риска утечки корпоративных паролей. Экспертный вывод: для бизнеса решение должно быть приватным; любой публичный «бесплатный» сервис — это дыра в безопасности.
Сравнение методов: стоимость и риски
Сравним три сценария для компании из 50 человек: 1) OpenVPN (бесплатно/дешево, риск 8/10, настройка 2-3 дня), 2) Коммерческий VPN (средне, риск 6/10, настройка 1 день), 3) ZTNA-решение (дорого, риск 2/10, настройка 1-2 недели). При стоимости часа работы системного администратора в 1 500–3 000 рублей, затраты на внедрение ZTNA окупаются за один предотвращенный инцидент с простоем бизнеса, который в среднем длится 12-18 часов.
Нюанс: многие пытаются совместить VPN и ZTNA, создавая «слоеный пирог», что увеличивает задержки сети на 15-25% и раздражает пользователей. Экспертный вывод: выбирайте одну архитектуру. Для максимальной защиты — ZTNA, для простых задач — жестко сегментированный VPN с обязательным MFA (двухфакторной аутентификацией).
Вывод
Мой вердикт: отказывайтесь от классических VPN в пользу ZTNA, если в компании более 30 сотрудников и есть доступ к чувствительным данным. Начинать нужно с инвентаризации ресурсов и внедрения MFA — это закроет 80% векторов атак. Избегайте публичных прокси и бесплатных VPN для рабочих задач. Оптимальный стек сегодня: собственный защищенный шлюз в нейтральном регионе + ZTNA-контроллер для внутреннего периметра.
Связанный обзор по теме — Недоступно.
