Переход на удаленный доступ к корпоративной сети увеличивает поверхность атаки в 3-5 раз, превращая каждое домашнее устройство сотрудника в потенциальный вектор проникновения. В 2023-2024 годах стоимость ошибки при выборе архитектуры доступа для компании из 100 человек может составить от 500 000 до 2 000 000 рублей в виде прямых убытков от шифровальщиков.
VPN: классика с критическими уязвимостями
Традиционные SSL/IPsec VPN создают «доверенный туннель», который после авторизации дает пользователю слишком широкий доступ к сегментам сети. Практика показывает, что 70% инцидентов с утечкой данных через VPN происходят из-за отсутствия микросегментации: злоумышленник, скомпрометировав одну учетную запись, получает доступ ко всей подсети /24.
Кейс: компания среднего бизнеса внедрила стандартный OpenVPN. Результат — задержки (latency) выросли до 150-200 мс при работе с тяжелыми БД, а стоимость поддержки лицензий и обновления клиентов на 50 рабочих станциях обходилась в 120 000 рублей в год. Экспертный вывод: использовать классический VPN можно только для узкого круга админов, для массового персонала это риск и избыточность.
Zero Trust Network Access (ZTNA) против VPN
ZTNA реализует принцип «никому не доверяй», где доступ дается не к сети, а к конкретному приложению (порт/протокол). В отличие от VPN, где авторизация проходит один раз, ZTNA проверяет состояние устройства (Health Check) при каждом запросе. Разница в безопасности колоссальна: в VPN риск латерального перемещения атакующего составляет почти 100%, в ZTNA он стремится к нулю.
Сравнение затрат: внедрение ZTNA-решений может стоить от $5 до $15 за пользователя в месяц, но сокращает время настройки прав доступа с нескольких часов до 15 минут за счет политик на базе групп Active Directory. Экспертный вывод: ZTNA — единственный жизнеспособный вариант для компаний с распределенным штатом от 50 человек.
RDP и шлюзы: опасные упрощения
Открытие порта 3389 (RDP) наружу — это «приглашение» для брутфорс-атак; статистика показывает, что такие порты сканируются ботами каждые 2-3 секунды. Безопасной альтернативой является использование RD Gateway или Apache Guacamole, которые инкапсулируют трафик в HTTPS (порт 443). Это позволяет избежать установки клиентского ПО на устройства сотрудников, снижая нагрузку на техподдержку на 30%.
Пример: переход с прямого RDP на шлюз с двухфакторной аутентификацией (2FA) снизил количество попыток несанкционированного входа с 10 000 в сутки до нуля. Экспертный вывод: любой удаленный доступ без 2FA (SMS, TOTP, Push) в 2024 году считается грубым нарушением безопасности.
Производительность и задержки при удаленном входе
Критическим фактором становится пропускная способность канала и MTU (Maximum Transmission Unit). При использовании VPN часто возникает проблема фрагментации пакетов, что снижает скорость передачи данных на 15-20%. Оптимизация TCP Window Size и переход на протокол UDP (например, в WireGuard) позволяют сократить пинг на 30-50 мс в сетях с нестабильным соединением.
Технический нюанс: при работе с 1С или тяжелыми ERP через удаленный стол, задержка выше 100 мс делает работу некомфортной. Чтобы минимизировать лаги, следует использовать сжатие трафика и профили оптимизации WAN. Экспертный вывод: выбирайте протоколы на базе UDP для интерактивных приложений и TCP только для передачи файлов.
Вывод
Для современного бизнеса оптимальный стек: ZTNA для большинства сотрудников + WireGuard для системных администраторов + обязательная MFA (многофакторная аутентификация). Избегайте открытия портов RDP напрямую и использования бесплатных VPN-клиентов без аудита кода. Начинать следует с инвентаризации ресурсов: определите, кому и к каким конкретно портам нужен доступ, чтобы не открывать всю сеть. Если вы еще не определились с архитектурой, рекомендую изучить, как выбрать «Недоступно», чтобы составить полный чек-лист требований к безопасности.
Контекст и детали — в основном материале Недоступно.
