Активных пользователей
на одну ноду
на одну ноду
5 000
Комплаенс-профиль устройства
проверяется непрерывно
проверяется непрерывно
HIP
Аутентификация пользователя
при каждом подключении
при каждом подключении
2FA
Проверка пользователя и устройства при каждом подключении. Доступ к конкретным приложениям, а не к сети целиком. Встроен в Ideco NGFW Novum без отдельных шлюзов и облачных сервисов.
Сетевой доступ
с нулевым доверием
с нулевым доверием
Почему классического
VPN недостаточно
VPN недостаточно
Значительная часть успешных компрометаций российских компаний происходит через атаки на удалённых сотрудников и подрядчиков.
ZTNA в Ideco NGFW Novum
Пользователь получает доступ к конкретным приложениям. Остальная инфраструктура остаётся невидимой и недоступной для сканирования. Проверяется и пользователь, и устройство. Не требует отдельного продукта.
Классический VPN
Открывает доступ к подсети, а не к конкретному приложению. Увеличивает площадь атаки. При компрометации одной учётной записи злоумышленник получает возможность для бокового перемещения по сети.
Компоненты решения
Два ключевых элемента: агент на рабочей станции и шлюз, принимающий решения о доступе.
Ideco Client (NAC-клиент)
Агент для Windows, macOS и Linux, включая отечественные дистрибутивы (Astra Linux, ALT Linux, РЕД АДМ). Выполняет аутентификацию пользователя с поддержкой 2FA, собирает и передаёт комплаенс-профиль устройства, устанавливает и поддерживает защищённый туннель. Обновляется автоматически без участия администратора.
Ideco NGFW Novum (шлюз)
Принимает подключения и применяет политики на основе зонального межсетевого экрана (Zone-Based Firewall). Политики задаются в разрезе пользователя, группы AD, устройства, типа VPN-подключения и VPN-зоны. Сопоставляет HIP-профиль устройства с целевым и принимает решение о доступе.
Транспортные протоколы
Через Ideco Client
WireGuard (основной протокол по умолчанию). SSL VPN / TLS на порту 443 при ограничениях на UDP-трафик.
Без Ideco Client
IPSec IKEv2, L2TP/IPSec, SSTP. Для подключения устройств с ОС, не поддерживаемых агентом.
Site-to-site
IPSec IKEv2, GRE, GRE over IPSec. Для межплощадочных туннелей между площадками.
ZTNA встроен в Ideco NGFW Novum и входит в базовую поставку. Не требует отдельного шлюза, облачного сервиса или сторонних продуктов. Управление осуществляется через единый интерфейс вместе со всеми политиками безопасности.
1
Аутентификация
Ideco Client выполняет проверку пользователя, в том числе с применением 2FA (TOTP, SMS Aero, RADIUS).
2
Сбор профиля
Агент собирает комплаенс-профиль: ОС, антивирус, межсетевой экран, обновления, процессы, службы, ключи реестра Windows.
3
Передача и проверка
Профиль передаётся на шлюз при установлении соединения и проверяется повторно в течение сессии.
4
Решение о доступе
Шлюз сопоставляет профиль с целевым HIP-профилем. При несоответствии доступ блокируется или ограничивается.
5
Доступ к ресурсам
Пользователь или группа AD получают доступ только к явно разрешённым ресурсам.
Одинаковая строгость для внешних и внутренних подключений
Ideco ZTNA применяет единый подход к аутентификации из внешней и локальной сети. Сотрудник в офисе проходит те же проверки, что и удалённый пользователь. Это соответствует принципу Zero Trust: отсутствие доверия по умолчанию даже к «внутренним» хостам.
Интеграция с каталогами: Microsoft Active Directory, ALD Pro, Samba, FreeIPA. Политики доступа задаются в разрезе пользователя или группы AD, IP-адреса источника, временного диапазона и комплаенс-профиля.
Непрерывная проверка при каждом подключении
Что проверяется
на каждом устройстве
на каждом устройстве
Проверки применяются как к удалённым VPN-подключениям, так и к устройствам внутри локальной сети.
Реакция на результат проверки
Полный доступ к рабочим приложениям. Устройство соответствует всем заданным требованиям безопасности.
Строгий комплаенс
Доступ только к терминальному серверу. Часть параметров устройства не соответствует целевому профилю.
Частичное несоответствие
Только зона обновления или карантинная подсеть. Критические параметры не соответствуют политике.
Нарушение требований
Разграничение реализуется через выдачу IP-адресов из разных подсетей в зависимости от уровня комплаенса. Это позволяет применять правила межсетевого экрана к целым сетям, а не к отдельным пользователям.
Управление доступом на уровне пользователя
Фильтрация, ограничения и идентификация, применяемые к каждому подключению.
Фильтрация по геолокации
Подключения ограничиваются по GeoIP: запрет входа из стран, с которыми компания не работает, или разрешение только для определённых регионов. Снижает площадь атак со стороны зарубежных ботнетов и анонимайзеров.
Ограничение длительности сессии
После истечения заданного периода требуется повторная аутентификация. Сокращает окно возможностей при краже сессионных токенов или компрометации устройства. Позволяет регламентировать время доступа для подрядчиков.
User Identity
Сетевая активность привязывается к конкретному пользователю, а не к IP-адресу. Работает для VPN, веб-авторизации и Wi-Fi. Поддерживается несколько одновременных сессий с выдачей отдельного IP для каждой.
Двухфакторная аутентификация
Поддержка TOTP, SMS Aero, RADIUS. Одинаково строгий подход для внешних и внутренних подключений. Интеграция с Microsoft Active Directory, ALD Pro, Samba, FreeIPA.
Адаптация под задачи разных групп пользователей
От сервисных подключений до работы подрядчиков без установки агента
Подключение устройства без привязки к пользователю. Для сервисных задач: администрирование серверов, контроллеры домена, мониторинг. Минимально необходимые маршруты и правила без доступа к пользовательским сегментам.
Ideco Client поддерживает работу на терминальных серверах Microsoft RDS. Для каждой пользовательской сессии выдаётся индивидуальный IP-адрес и отдельные политики безопасности.
Публикация внутренних ресурсов (HTTP/HTTPS, SSH, RDP) через браузер без установки Ideco Client. Поддерживается 2FA. Для подрядчиков и партнёров, когда установка агента невозможна.
Через туннель направляется только корпоративный трафик. Остальной интернет-трафик идёт напрямую. Снижает нагрузку на магистральные каналы и уменьшает задержки.
Автоматическая балансировка между несколькими инсталляциями Ideco NGFW при подключении большого числа пользователей. Рекомендованный предел на одну ноду: 5 000 активных пользователей.
Резервирование интернет-каналов для подключений к удалённым офисам. При падении одного из провайдеров подключение переключается автоматически.
Что получает заказчик
Измеримые результаты при переходе с классического VPN на ZTNA.
Доступ только к разрешённым ресурсам
Пользователь получает доступ к конкретным приложениям, а не к сети в целом. Остальная инфраструктура остаётся невидимой и недоступной для сканирования.
Исключение бокового перемещения
Компрометация одной учётной записи не даёт злоумышленнику доступа к другим сегментам. Площадь атаки сокращается до одного приложения.
Контроль подрядчиков
Минимально необходимый доступ к одной системе или группе приложений с ограничением по времени и геолокации. SSL-VPN портал для случаев, когда установка агента невозможна.
Единое управление
Политики доступа и безопасности в рамках одного решения. Исключается необходимость синхронизации разнородных продуктов. Централизованное управление через Ideco Center.
Типовой сценарий перехода
на ZTNA
на ZTNA
Поэтапный перевод с классического VPN на модель Zero Trust.
Инвентаризация ресурсов
Сервисы, приложения, сетевые сегменты. Определение границ доступа для каждой группы.
Классификация пользователей
Распределение пользователей и подрядчиков по ролям и уровню критичности доступа.
Определение уровней комплаенса
Настройка профилей проверки устройств, IP-пулов по группам комплаенса, VPN-зон и правил межсетевого экрана.
Поэтапный перевод пользователей
Последовательное включение проверки комплаенса, MFA и ограничений сессий для каждой группы при параллельном мониторинге журналов.
Сервисные подключения
Вынесение административных и сервисных подключений в Device VPN с последующим переходом на машинные сертификаты после выхода Novum 22.
Машинные сертификаты (Machine Certificate)
Device VPN получит поддержку аутентификации по уникальному идентификатору устройства. В связке с логином-паролем и OTP это формирует трёхфакторную схему: компрометация только пароля или только устройства не даёт атакующему доступа.
Детальное журналирование DNS-запросов
Подробный лог DNS-активности для выявления аномалий, обращений к C&C-серверам и потенциальных утечек данных. В связке с модулем DNS Security формирует дополнительный уровень защиты до момента установления соединения.
Планируемые улучшения ZTNA
Направления, находящиеся в активной разработке.
Заполните форму, чтобы получить доступ к демонстрации
Переход на модель Zero Trust
без отдельных продуктов
без отдельных продуктов