Top.Mail.Ru
Дата публикации: 17.07.2026
Статья

Почему классический VPN создаёт риски и как ZTNA меняет модель доступа

Значительная часть успешных компрометаций корпоративных сетей начинается с удалённого доступа — не потому, что VPN как технология ненадёжен, а потому что классический VPN решает не ту задачу. Он обеспечивает зашифрованный туннель от пользователя до сети. Но именно это и является проблемой: пользователь подключается к сети, а не к конкретному приложению.

Эта статья — архитектурный разбор того, почему модель «VPN открывает доступ к подсети» создаёт условия для бокового перемещения злоумышленника, и как ZTNA в Ideco NGFW Novum версии 22 меняет этот подход.


Архитектурная проблема классического VPN
Когда сотрудник подключается через IPsec или SSL VPN, он получает IP-адрес из корпоративного пула и становится полноправным участником сети. С этого адреса он может сканировать подсети, обращаться к сервисам, которые не входят в его рабочие задачи, пробовать аутентификацию на соседних хостах. Всё это не является нарушением с точки зрения сетевой политики — трафик идёт изнутри периметра к внутренним ресурсам.

Для злоумышленника, получившего учётные данные одного сотрудника, это означает: один скомпрометированный аккаунт открывает плацдарм для горизонтального перемещения по всей корпоративной инфраструктуре. Атаки на удалённых сотрудников и подрядчиков используют именно этот механизм.

Второй вектор — устройство. Классический VPN не проверяет состояние подключающегося устройства. Ноутбук без актуальных обновлений, без работающего антивируса, с запущенными сторонними процессами — всё это подключается наравне с корпоративным устройством в управляемом состоянии.

Что такое ZTNA и в чём архитектурное отличие
ZTNA (Zero Trust Network Access) — модель управления доступом, основанная на принципе «никому не доверять по умолчанию». Каждый запрос на доступ проверяется независимо от того, откуда он поступает: из внешней сети или из локального сегмента. Состояние устройства является полноправным фактором допуска — не дополнительной опцией, а обязательным условием.

Ключевое архитектурное отличие от VPN: пользователь получает доступ к конкретному приложению или ресурсу, а не к сегменту сети целиком. Остальная инфраструктура остаётся невидимой и недоступной — даже для сканирования. Злоумышленник, получивший учётные данные, упирается в ту же проверку устройства и не может продвинуться дальше без физического доступа к авторизованному устройству.
ZTNA в Ideco NGFW Novum: архитектура без отдельного шлюза
Большинство ZTNA-решений на рынке — это отдельные продукты: выделенный шлюз, облачный сервис или агент с внешней платформой управления. Это означает дополнительную точку интеграции, отдельное лицензирование и разрыв между сетевой политикой и политикой доступа.
В Ideco NGFW Novum ZTNA реализован как встроенная функциональность и входит в базовую поставку без дополнительного лицензирования. Политики доступа управляются из того же интерфейса, что и все сетевые политики и политики безопасности. Отдельного ZTNA-шлюза, облачного сервиса или сторонних продуктов не требуется.

Два компонента архитектуры:

Ideco Client — агент для рабочих станций, который устанавливается на устройство пользователя. Поддерживает Windows, macOS, Linux, включая отечественные дистрибутивы: Astra Linux, ALT Linux, Ред ОС, ОСнова, РОСА ОС Хром, АльтерОС. Поддерживает автоматическое обновление без участия администратора. При каждом подключении собирает комплаенс-профиль устройства и передаёт его на шлюз.

Ideco NGFW Novum (шлюз) — принимает подключения, проверяет профиль устройства, применяет политики доступа на основе зонального межсетевого экрана. Политики задаются в разрезе пользователя, группы AD, устройства, VPN-зоны и временного диапазона.
Транспортный протокол по умолчанию — WireGuard. При ограничениях на UDP-трафик (корпоративные сети с жёсткими правилами) используется TLS на порту 443, резервный порт 14765.
Принцип работы: что происходит при каждом подключении
Схема проверки выглядит следующим образом:

  1. Ideco Client выполняет аутентификацию пользователя, включая 2FA и, при настроенной политике, проверку машинного сертификата как многофакторную защиту.
  2. Агент собирает комплаенс-профиль устройства и передаёт его на шлюз.
  3. Шлюз сопоставляет полученный профиль с целевым HIP-профилем из политики.
  4. В зависимости от результата: выдаётся полный доступ, ограниченный доступ или подключение блокируется. Пользователю выводится настраиваемое сообщение.
  5. Проверка может выполняться не только при первичном подключении, но и в ходе сессии в зависимости от настроек и конфигурации клиента.
Пункт 5 принципиален: проверка устройства может выполняться не только при первичном подключении, но и в ходе сессии в зависимости от настроек. Если состояние устройства изменилось в ходе сессии — антивирус был выключен, появился несанкционированный процесс — политика применяется без ожидания следующего подключения.
Комплаенс-контроль устройства: что именно проверяется
HIP-профиль (Host Information Profile) — набор параметров, которым должно соответствовать устройство для получения доступа. Администратор определяет целевой профиль, шлюз сопоставляет с ним то, что прислал агент.

Проверяемые параметры:

Параметр

Что контролируется

Операционная система

Тип и версия ОС

Антивирус

Наличие, состояние (установлен/запущен), актуальность базы, версия, дата последнего сканирования

Персональный межсетевой экран

Вендор, продукт, версия, запущен ли

Обновления Windows

Актуальность установленных пакетов

Процессы и службы

Наличие запущенных процессов, в том числе DLP/EDR-агентов

Реестр Windows

Наличие заданных ключей


Важный момент: проверки применяются как к удалённым подключениям, так и к устройствам внутри локальной сети. Принцип Zero Trust не разделяет «внутреннее» и «внешнее» — сотрудник в офисе проходит те же проверки, что и удалённый пользователь. Это исключает ситуацию, когда внутренний хост с нарушенным состоянием безопасности получает доступ просто потому, что находится «внутри периметра».
Три уровня доступа по результатам проверки
Администратор настраивает не просто «допустить или отказать», а сценарии реакции на несоответствие требованиям:

Строгий комплаенс — устройство полностью соответствует требованиям политики. Полный доступ к рабочим приложениям.

Частичное несоответствие — например, антивирусные базы устарели, но антивирус установлен и работает. Доступ только к терминальному серверу — пользователь может работать, но с ограниченной поверхностью.

Нарушение требований — критичные параметры не выполнены. Только зона обновления или карантинная подсеть: пользователь может привести устройство в соответствие, но не получает доступа к рабочим ресурсам.

Техническая реализация разграничения: IP-адреса выдаются из разных подсетей в зависимости от уровня комплаенса. Правила межсетевого экрана применяются к этим подсетям целиком — это позволяет управлять доступом на уровне сетевой политики без усложнения логики для каждого пользователя отдельно.
Аутентификация: 2FA и интеграция с каталогами
ZTNA без сильной аутентификации — это неполная модель. Ideco NGFW Novum поддерживает несколько методов второго фактора: Мультифактор, TOTP, SMS Aero, RADIUS.

В версии 22 добавляется аутентификация по машинному сертификату (Machine Certificate) — машинный сертификат добавляет фактор привязки к конкретному устройству в дополнение к аутентификации пользователя. Компрометация только пароля не даёт атакующему доступа — необходим также контроль над авторизованным устройством с действующим сертификатом. Поддерживается проверка отзыва сертификата через CRL.

Интеграция с каталогами: Microsoft Active Directory, ALD Pro, АльДомен, Ред АДМ, ROSA Dynamic Directory, FreeIPA, SAMBA DC. Политики доступа задаются в разрезе пользователя или группы AD — не только по IP-адресу источника.
Контроль подрядчиков: сценарий с минимальным доступом
Подрядчики — особая категория риска. Они работают с корпоративными ресурсами, но их устройства находятся вне управления ИТ-службы организации. Классический VPN для подрядчика — это те же права, что и для штатного сотрудника, подключившегося из дома.
В Ideco NGFW Novum для подрядчиков настраивается минимально необходимый доступ: к одному конкретному ресурсу или группе приложений.

Дополнительные ограничения:

Геолокация (GeoIP) — доступ разрешён только из определённых стран или регионов. Это снижает площадь атак со стороны зарубежных ботнетов и исключает подключения из неожиданных географий.

Ограничение по времени суток — доступ открыт только в рабочие часы по расписанию. Как пример, подключение подрядчика в три часа ночи по московскому времени технически невозможно.

Ограничение длительности сессии — по истечении заданного периода требуется повторная аутентификация. Это регламентирует длительность сессий и исключает бессрочные подключения.

SSL-VPN портал — для подрядчиков, где установка агента невозможна или нецелесообразна: доступ к HTTP/HTTPS-ресурсам, SSH и RDP через браузер без Ideco Client, с поддержкой 2FA.
Протоколы для устройств без Ideco Client
Ideco Client обеспечивает максимальный уровень контроля. Если по каким-то причинам установка клиентского VPN не возможна, поддерживаются классические VPN-протоколы без проверки устройства:

  • Для подключений без агента: IPSec IKEv2, L2TP/IPSec, SSTP. Эти подключения работают, но HIP-профиль не проверяется.
  • Для межплощадочных туннелей (site-to-site): IPSec IKEv2, GRE, GRE over IPSec. Используются для защищённой связности между офисами и площадками, в том числе с SD-WAN поверх.
  • Для сервисных подключений (без привязки к пользователю): Device VPN — режим, при котором соединение устанавливается от имени устройства. Применяется для серверов, контроллеров домена, систем мониторинга. В версии 22 поддерживает аутентификацию по машинному сертификату.
Отказоустойчивость подключений
В кластерной конфигурации активные VPN-сессии синхронизируются между узлами. При переключении на резервный узел пользователи продолжают работать без повторной аутентификации. С точки зрения пользователя переключение незаметно.

Это критично для сценариев, где VPN используется для подключения к критичным сервисам или в ходе длительных операций — прерывание сессии и необходимость переподключения создаёт дополнительную нагрузку на службу поддержки и нарушает рабочие процессы.
Практический сценарий: переход с VPN на ZTNA
Типовая последовательность при переводе инфраструктуры:

  1. Инвентаризация ресурсов: какие приложения и сервисы используют удалённые пользователи.
  2. Классификация пользователей по ролям: сотрудники, подрядчики, временный персонал.
  3. Определение уровней комплаенса и соответствующих им зон доступа.
  4. Настройка HIP-профилей, IP-пулов по группам комплаенса, VPN-зон и правил межсетевого экрана.
  5. Поэтапный перевод групп пользователей с классического VPN на ZTNA при параллельном мониторинге журналов.
Поэтапный перевод снижает риск прерывания работы: новые подключения идут через ZTNA, существующие VPN-сессии продолжают работать до планового отключения.
Что меняется с точки зрения риска
При классическом VPN компрометация одной учётной записи даёт атакующему плацдарм в сети — он видит доступные хосты, может сканировать порты, пробовать аутентификацию на других сервисах.

При ZTNA скомпрометированная учётная запись открывает доступ только к явно разрешённым ресурсам для данного пользователя — и только при условии прохождения проверки устройства. Если устройство не соответствует требованиям HIP-профиля, подключение будет заблокировано или переведено в карантин вне зависимости от корректности учётных данных. Остальная инфраструктура недоступна для сканирования. Для бокового перемещения атакующему нужно не только получить учётные данные, но и иметь контроль над авторизованным устройством или его активной сессией в соответствующем состоянии безопасности в течение всего времени соединения, так как проверка осуществляется непрерывно.
Ideco NGFW Novum для решения
ваших задач
Заполните форму, чтобы получить доступ к демонстрации
Другие публикации по теме