ZTNA (Zero Trust Network Access) — это подход к управлению доступом (не только удаленным!), в котором по умолчанию не доверяют ни пользователям, ни устройствам, независимо от их местоположения, и каждый запрос к ресурсу проходит аутентификацию, авторизацию и проверку соответствия политике безопасности.

Это особенно актуально в 2026 году, когда значительная часть успешных взломов компаний происходит с помощью взлома удаленных сотрудников или подрядчиков. Причем специалисты по безопасности испытывают особенную «боль» в контроле подрядчиков — не имея доступ к их ит-инфраструктуре и возможностей по контролю безопасности. 

В Ideco мы стремимся быть на острие технологий защиты от актуальных устройств, поэтому наша реализация Zero Trust одна из лучших на российском рынке. И в 2026-ом году мы еще больше углубим ее развитие для лучшего масштабирования в сетях большого масштаба с десятками и сотнями тысяч устройств.

Традиционная модель «замок и ров» защищает сетевой периметр: достаточно попасть «внутрь» (через VPN, офис, филиал), и большая часть внутренней сети считается доверенной. В этой парадигме внутреннему трафику часто доверяют больше, чем внешнему, а сегментация и контроль доступа внутри сети ограничены или отсутствуют, что позволяет злоумышленнику, попавшему внутрь, перемещаться по сети горизонтально.

Эшелонированная защита (defense in depth) добавляет несколько уровней контроля — периметровый файрвол, IDS/IPS, аутентификация, сегментация, антивирус, мониторинг и так далее, но логика всё равно строится вокруг периметра и зон доверия. Концепция Zero Trust смещает фокус: доверие не привязано к месту или «внутренности» сети, а строится на постоянной проверке подлинности пользователя, состояния устройства и минимизации прав доступа до уровня приложения или сервиса.

Таким образом традиционные средства защиты — NGFW, WAF, криптосервера — это попытка построить стену, внутри которой будет жить «защищенный город». Концепция ZTNA же — это как приставить к каждому жителю телохранителей, которые будут защищать его в любом месте, как в «замке», так и за его пределами.

ZTNA — частное практическое воплощение Zero Trust для сетевого доступа: вместо «VPN в сеть» это «точечный доступ конкретному пользователю с конкретного устройства к конкретным приложениям и ресурсам по принципу наименьших привилегий». Такой подход уменьшает площадь атаки и резко ограничивает последствия компрометации учетной записи или устройства, поскольку злоумышленник не получает широкого сетевого доступа, а только строго разрешенные сервисы.

Рост облачных сервисов, удалённой работы и подрядчиков разрушил чёткую границу «своя сеть — чужая сеть»: сотрудники подключаются из дома, с мобильных устройств, к ресурсам, размещенным за пределами офиса. В этих условиях даже хорошо защищенный периметр не решает проблему: часть трафика вообще не проходит через классический периметровый файрвол, а компрометация одного VPN-доступа дает злоумышленнику видимость и доступ ко всей внутренней сети или её крупной части.

Причем использование 2FA не спасет от атаки, если скомпрометирована не только учетная запись, но и само устройство. Где пользователь может не подозревать о его “заражении”.

Zero Trust и ZTNA устраняют неявное доверие: каждый запрос к приложению оценивается с учётом контекста — кто пользователь, с какого устройства, в каком состоянии устройство, откуда он подключается, какие ему нужны конкретно ресурсы. За счёт микросегментации и контроля на уровне приложений ZTNA препятствует боковому перемещению внутри сети и позволяет строить тонкие политики доступа для сотрудников, подрядчиков, администраторов и сервисных учетных записей.

В Ideco NGFW концепция ZTNA реализована через Ideco Client и механизмы проверки соответствия подключающихся устройств требованиям безопасности (HIP/комплаенс‑профили), применяемые как к VPN‑подключениям, так и к подключению из локальной сети. Перед выдачей доступа Ideco анализирует параметры устройства и формирует профиль, который далее используется в правилах файрвола и политиках доступа к ресурсам, независимо от того, находится ли устройство в офисе или подключается удаленно.

Zone Based Firewall позволяет обойтись минимальным количеством правил для «гранулярной» настройки доступа. Когда изнутри более доверенных сегментов сети доступ может быть более широкий, чем, например, из интернета.
Проверка постоянно происходит в реальном времени, а не только при авторизации. Если профиль устройства изменится (например почему-то остановилась работа антивируса на рабочей станции — один из частых признаков компрометации) — доступ к сети за Ideco NGFW тут же будет ограничен.

Ideco NGFW позволяет проверять на клиентском устройстве версию ОС, наличие и статус антивируса, наличие и актуальность обновлений ОС, персональный межсетевой экран, список запущенных процессов и служб, ключи реестра, а также принадлежность к домену. На основе этого создаются профили устройств, которые выступают критерием доверия: доступ получают только устройства, удовлетворяющие заданным политикам, что снижает риск доступа с заражённых или несоответствующих корпоративным стандартам станций.
Администратор может задать жёсткое правило блокировки доступа с устройств, не соответствующих комплаенсу, или использовать дифференцированную модель, когда разным уровням соответствия назначаются разные уровни доступа. Например, полностью соответствующие устройства получают доступ к критичным системам, устройства с частичными отклонениями — только к базовым сервисам, а устройства без антивируса или важных обновлений вообще не попадают в сетевой контур компании.

ZTNA в Ideco опирается на сильную аутентификацию пользователей и устройств: поддерживается интеграция с каталогами Microsoft Active Directory, ALD Pro, FreeIPA, SAMBA, NGate, двухфакторная аутентификация через SMS‑шлюзы, Мультифактор, TOTP‑коды и RADIUS‑интеграции, что позволяет вписаться в существующую инфраструктуру заказчика. Многофакторность значительно снижает риск злоупотребления украденными логинами и паролями, особенно в сценариях удаленного доступа сотрудников и подрядчиков.

Дополнительно политика авторизации может ограничивать источники подключений (например, по GeoIP, разрешая только определённые страны) и задавать максимальную длительность сессии, после которой требуется повторная авторизация. Это уменьшает окно для атак с угнанных сессий и позволяет учесть географический и временной контекст при оценке риска подключения.

Ideco NGFW создаёт VPN‑туннели по современным протоколам WireGuard и TLS, при этом TLS‑режим полезен, когда провайдеры блокируют или ограничивают специализированные VPN‑протоколы. Это обеспечивает устойчивый и шифрованный канал связи для доступа к корпоративным ресурсам даже в условиях ограничений со стороны операторов связи.

Для разных уровней комплаенса Ideco может выдавать IP‑адреса из разных подсетей, что позволяет использовать внутренние файрволы и ACL‑ы для дополнительного разграничения прав доступа по сетям. Кроме того, можно задавать разные маршруты для различных групп пользователей и устройств, обеспечивая принцип минимально необходимого доступа и изолируя чувствительные сегменты от широкого круга пользователей.

Отдельный сценарий — Device VPN, когда к сети подключается не пользователь, а конкретное устройство (например, администраторский ноутбук, контроллер домена, сервер управления ИТ‑инфраструктурой или специализированное ПО), используя сертификаты или иные механизмы без интерактивного ввода логина. Это упрощает безопасность машинных и административных соединений: политика доступа привязывается к самому устройству и его профилю, а дальнейший доступ контролируется файрволом Ideco NGFW по тем же принципам Zero Trust.

При этом уровень допуск в сеть таких Device VPN‑подключений жёстко регулируется: можно разрешить доступ только к определенным серверам управления, запретить любую «обычную» пользовательскую активность и тем самым снизить риск злоупотребления техническими учетными записями. Такой подход особенно важен для ИТ и ИБ‑подразделений, где компрометация администраторских устройств несет максимальные последствия.

Ideco NGFW поддерживает резервирование интернет‑каналов для подключений к удаленным офисам, что позволяет сохранить доступность критичной инфраструктуры при отказе одного из провайдеров. В контексте ZTNA это означает, что политики доверия и комплаенса продолжают применяться независимо от того, по какому физическому каналу идёт трафик, обеспечивая непрерывность безопасного доступа.

Для распределённых компаний и филиальных структур такая функциональность снижает простой бизнес‑процессов, зависимость от одного оператора связи и уменьшает вероятность перевода сотрудников на небезопасные «обходные» каналы доступа при авариях.

Российский рынок уже предлагает несколько решений, реализующих элементы Zero Trust и ZTNA, однако подход Ideco выгодно выделяется глубокой интеграцией ZTNA непосредственно в NGFW, единым инструментом управления и ориентацией на проверку состояния устройств как ключевого критерия доверия. В отличие от сценария, когда ZTNA реализуется отдельным облачным сервисом или чисто прокси‑уровнем, Ideco позволяет строить политики, учитывающие сразу и профиль устройства, и сетевые параметры, и маршрутизацию, и внутренние правила фильтрации трафика.

Ниже — краткое сопоставление подходов:


Для системных администраторов Ideco ZTNA снижает операционную нагрузку: управление доступом, VPN, комплаенсом и сегментацией выполняется из единого контура NGFW, без необходимости «сшивать» несколько сложных продуктов. Для руководителей ИТ и ИБ‑подразделений ключевой ценностью становится управляемый риск: каждый сотрудник и подрядчик получает только тот доступ, который действительно нужен, с учётом доверия к его устройству и контекста подключения, а последствия взлома существенно ограничены архитектурой.