VPN для удалённых сотрудников и филиалов: варианты и безопасность

Когда говорят «VPN», у многих в голове сразу всплывают потребительские VPN-приложения для личного интернета. Корпоративный VPN — это совсем другая история и другой сценарий. Его задача — не «спрятать» пользователя, а наоборот: безопасно пустить своего сотрудника или целый филиал внутрь рабочей сети, к внутренним ресурсам компании, через защищённый зашифрованный канал. Это инструмент ИТ-службы, привязанный к учётным записям, политикам и оборудованию работодателя.

Разберём по порядку: зачем компании вообще такой VPN, какие два базовых сценария закрывают почти все потребности, какие технологии под ними лежат (включая отечественные ГОСТ-решения для регулируемых сфер), как не превратить удобство в дыру в безопасности и где бизнес спотыкается чаще всего.

Зачем бизнесу корпоративный VPN

Сегодня данные компании почти всегда лежат «внутри»: на сервере 1С, в файловом хранилище, в CRM, в системе документооборота, во внутренних сервисах. А люди и офисы — снаружи и в разных местах. Корпоративный VPN решает две принципиальные задачи.

Доступ к внутренним ресурсам. Удалённый сотрудник, работающий из дома, из командировки или с другого объекта, должен попасть в ту же 1С, в те же сетевые папки и сервисы, что и коллеги в офисе. Без VPN остаётся только пробрасывать сервисы «наружу» в открытый интернет — а это прямой путь к взлому. VPN даёт защищённый туннель: трафик шифруется, ресурсы остаются недоступны из публичной сети, а внутрь пускают только аутентифицированных пользователей.

Объединение офисов и филиалов. У компании главный офис, два филиала и склад. Нужно, чтобы все они работали с общими системами как единая сеть: один файловый сервер, одна телефония, одна учётная система. VPN связывает сети этих точек в единое адресное пространство — сотрудник филиала открывает сетевую папку головного офиса так же, как локальную.

Без VPN у бизнеса остаётся выбор между двумя плохими вариантами: либо публиковать внутренние сервисы в открытый интернет (небезопасно), либо изолировать каждый офис и плодить копии данных (неуправляемо). VPN убирает эту дилемму.

Два сценария: remote-access и site-to-site

Почти все потребности компании в корпоративном VPN сводятся к двум схемам. Они не исключают друг друга — у компании с филиалами и «удалёнщиками» обычно работают обе одновременно.

Remote-access VPN — для сотрудников

Это сценарий «один человек — одно устройство». На ноутбук или рабочий компьютер сотрудника ставится VPN-клиент, через который он подключается к шлюзу компании. После аутентификации его устройство как бы оказывается «внутри» корпоративной сети и получает доступ к разрешённым ресурсам.

Когда нужен:

• часть команды работает удалённо или гибридно;
• сотрудники ездят в командировки и должны работать с внутренними системами;
• подрядчикам и партнёрам нужен ограниченный доступ к отдельным сервисам;
• руководству нужен защищённый доступ к учётной системе из любой точки.

Ключевой момент remote-access — это контроль доступа на уровне человека. Не «кто-то из офиса», а конкретный Иванов с конкретными правами, прошедший проверку. Подробнее механику клиентского доступа разбираем в вики-карточке remote-access VPN.

Site-to-site VPN — для филиалов

Здесь связываются не отдельные люди, а целые сети. На границе каждого офиса стоит шлюз (маршрутизатор или криптошлюз), и между шлюзами поднимается постоянный зашифрованный туннель. Сотрудникам внутри ничего настраивать не нужно — для них филиалы просто «видят» друг друга.

Когда нужен:

• несколько офисов или филиалов с общими системами (1С, файлы, телефония, ERP);
• склад, производство или точка продаж, которым нужен постоянный доступ к учётной системе;
• централизованная инфраструктура в головном офисе или ЦОДе, к которой подключаются все остальные.

Site-to-site VPN наследует качество каналов связи под собой: если у филиала рвётся интернет — рвётся и туннель. Поэтому для критичных точек закладывают резервный канал и автоматическое переключение. Когда филиалов много и у каждого по нескольку каналов, классический набор отдельных туннелей перерастает в управляемую распределённую сеть с умной маршрутизацией поверх всех линий.

Технологии: IPsec и отечественные ГОСТ-VPN

За обоими сценариями стоит примерно один набор технологий — различается, чем именно шифруется туннель и на каком оборудовании.

IPsec — самый распространённый стандарт для корпоративных VPN, особенно для site-to-site. Это набор протоколов, который шифрует и аутентифицирует трафик на сетевом уровне; современные подключения чаще всего используют связку IPsec/IKEv2. На нём строят и межофисные туннели, и клиентский доступ. Технические детали — в вики-карточке IPsec.

Для remote-access помимо IPsec применяют клиентские VPN-протоколы, работающие поверх TLS, — они удобнее проходят через домашние роутеры и публичные сети. Выбор конкретного протокола зависит от инфраструктуры компании и используемого оборудования.

Отечественные ГОСТ-VPN. Там, где этого требует регулятор, шифрование строится на сертифицированных ФСБ криптошлюзах с алгоритмами ГОСТ. Это обязательно для объектов критической информационной инфраструктуры (КИИ) по 187-ФЗ, для ряда госструктур и в части требований к защите персональных данных. На российском рынке есть линейка сертифицированных решений (например, криптошлюзы класса КС1–КС3 разных производителей) — конкретная модель и класс защиты подбираются под модель угроз и применимые требования. Важно: ГОСТ-VPN не нужен «всем подряд» — обычному бизнесу без регуляторных обязательств достаточно стандартного IPsec.

Отдельный слой — сценарии, когда VPN-туннели становятся частью более крупной управляемой сети. Когда офисов и каналов много, поверх них выстраивают программно-определяемую WAN — об этом подробно в карточке SD-WAN.

Безопасность: MFA, сегментация, Zero Trust

Сам по себе VPN шифрует канал — но не отвечает на вопрос «а тот ли это человек и куда именно ему можно». Защищённый туннель к скомпрометированной учётной записи просто аккуратно зашифрует действия злоумышленника. Поэтому VPN — это фундамент, а не вся конструкция.

Многофакторная аутентификация (MFA). Логина и пароля недостаточно: они утекают, подбираются, фишатся. Второй фактор (код из приложения-аутентификатора, push-подтверждение, аппаратный ключ) резко повышает планку: украденный пароль сам по себе уже не открывает доступ. Для удалённого доступа MFA — практически обязательная мера. Как это связано с защитой от фишинга, мы разбирали в материале как защитить сотрудников от фишинга.

Сегментация сети. Подключившийся по VPN не должен автоматически получать доступ ко всей внутренней сети. Бухгалтеру нужна 1С и сетевая папка бухгалтерии — а не серверы разработки, видеонаблюдение и АТС. Сеть делят на сегменты, и VPN-доступ выдают только к тем, что реально нужны конкретной роли. Это ограничивает ущерб, если учётка всё же будет скомпрометирована.

Zero Trust. Подход «нулевого доверия» отказывается от идеи «внутри периметра — всё своё, снаружи — чужое». Каждый запрос проверяется заново: кто пользователь, с какого устройства, в каком состоянии устройство, к какому ресурсу обращается. VPN в этой модели — лишь один из элементов контроля, а не «волшебная дверь». Принципы и компоненты — в карточке Zero Trust.

В сумме это даёт многослойную защиту: шифрование канала (VPN) + проверка личности (MFA) + ограничение зоны доступа (сегментация) + постоянная проверка контекста (Zero Trust). Ни один слой не заменяет остальные.

Типовые ошибки

Большинство проблем с корпоративным VPN — это не «сложные хакеры», а предсказуемые промахи в настройке и эксплуатации.

1. VPN без второго фактора. Доступ ко всей внутренней сети защищён только паролем. Один утёкший или подобранный пароль — и злоумышленник внутри, причём через легитимный зашифрованный туннель, который не вызывает подозрений.

2. Полный доступ всем подключившимся. Любой, кто зашёл по VPN, видит всю сеть целиком. Отсутствие сегментации превращает компрометацию одной учётки в компрометацию всей инфраструктуры.

3. «Вечные» учётные записи. Уволенный сотрудник или закрытый подрядчик так и остаётся в списке доступа. Доступы не пересматриваются, сертификаты не отзываются. Список тех, кто реально может войти, никто не знает.

4. Никто не следит за туннелями. Site-to-site туннель филиала рвётся — и об этом узнают, только когда сотрудники начинают жаловаться, что «ничего не открывается». Без мониторинга VPN живёт «пока работает».

5. Нет резервного канала. Филиал подключён одним каналом связи. Падает интернет провайдера — падает и туннель, и весь филиал отрезан от учётных систем. Резервирование канала для критичных точек экономит часы простоя.

6. Устаревшие протоколы и прошивки. VPN-шлюз годами не обновляется, на нём живут устаревшие протоколы шифрования с известными уязвимостями. Туннель «работает», но защищает всё хуже.

Роль ИТ-аутсорсера

Корпоративный VPN — это не разовая настройка «поднял и забыл», а постоянно живущая система. Учётные записи и сертификаты, обновления криптошлюзов, мониторинг состояния туннелей, реакция на разрывы, пересмотр прав доступа при кадровых изменениях — всё это требует регулярной работы и понимания и сетей, и информационной безопасности.

В компаниях без выделенного сетевого инженера это разумно отдать ИТ-аутсорсеру. Что входит в такую работу у нас:

• аудит текущей схемы доступа: кто, куда и как подключается, где «дыры»;
• проектирование под задачу — remote-access, site-to-site или комбинация, с учётом числа сотрудников и филиалов;
• подбор технологии и оборудования: стандартный IPsec или сертифицированный ГОСТ-VPN, если этого требует регулятор;
• внедрение MFA и сегментации, настройка политик доступа по ролям;
• подключение и обслуживание криптошлюзов и VPN-серверов;
• мониторинг 24/7 из NOC — разрыв туннеля филиала ловится раньше, чем о нём сообщат сотрудники;
• сопровождение: отзыв доступов при увольнениях, обновления, разбор инцидентов.

Стоимость такой работы напрямую зависит от числа площадок, количества удалённых сотрудников, требований к сертифицированному шифрованию и состава оборудования — поэтому считается под конкретную задачу после обследования, а не «по прайсу».

FAQ

Чем корпоративный VPN отличается от потребительских VPN?

Это разные задачи. Корпоративный VPN даёт сотруднику или филиалу защищённый доступ к внутренним ресурсам компании — 1С, файловому серверу, CRM, внутренним сервисам — через зашифрованный туннель к инфраструктуре работодателя. Он управляется ИТ-службой, привязан к учётным записям и политикам безопасности. Потребительские сервисы «для обхода» решают совершенно другую задачу и к корпоративной сети отношения не имеют.

Что выбрать — remote-access или site-to-site VPN?

Это не «или», а два разных сценария, которые часто работают вместе. Remote-access нужен, когда отдельным сотрудникам с их ноутбуков нужен доступ к внутренним ресурсам из дома или командировки. Site-to-site нужен, когда нужно постоянно связать сети целых офисов или филиалов так, будто они в одной локальной сети. У компании с филиалами и удалёнными сотрудниками обычно есть оба типа одновременно.

Нужен ли ГОСТ-VPN обычному бизнесу?

Для большинства компаний достаточно VPN на стандартных алгоритмах (IPsec/IKEv2). ГОСТ-VPN с сертифицированными ФСБ криптошлюзами обязателен там, где это требует регулятор: объекты критической информационной инфраструктуры (КИИ) по 187-ФЗ, ряд госструктур, отдельные требования к защите персональных данных. Нужен ли он именно вам — определяется по модели угроз и применимым требованиям, а не по умолчанию.

Достаточно ли VPN для безопасности удалённого доступа?

Сам по себе туннель шифрует канал, но не отвечает на вопрос «кто и куда получил доступ». Поэтому VPN дополняют многофакторной аутентификацией (MFA), сегментацией внутренней сети, ограничением прав доступа до необходимого минимума и принципами Zero Trust, когда каждый запрос проверяется независимо от того, изнутри он или снаружи периметра.

Можно ли подключить филиал, у которого слабый или нестабильный интернет?

Да, но site-to-site VPN наследует качество канала под собой. Если у филиала один нестабильный канал, туннель будет рваться вместе с ним. Решение — резервный канал связи (например, второй провайдер или мобильный интернет) и автоматическое переключение. Для распределённых сетей с несколькими каналами на точку применяют технологию умной маршрутизации поверх нескольких линий.

Кто должен настраивать и обслуживать корпоративный VPN?

VPN — это не разовая настройка, а постоянно живущая система: учётные записи, сертификаты, обновления криптошлюзов, мониторинг туннелей, реакция на разрывы. В компаниях без выделенного сетевого инженера это разумно отдать ИТ-аутсорсеру, который спроектирует схему, внедрит её и возьмёт под мониторинг 24/7 — чтобы разрыв туннеля филиала ловился раньше, чем о нём сообщат сотрудники.

Вывод

Корпоративный VPN — это про безопасный доступ своих к своему: сотрудников и филиалов к внутренним ресурсам компании. Два базовых сценария (remote-access для людей и site-to-site для офисов) закрывают почти всё, технологии под ними — это в первую очередь IPsec, а для регулируемых сфер сертифицированные ГОСТ-решения. Но сам туннель — только фундамент: без MFA, сегментации и принципов Zero Trust удобный доступ легко превращается в удобную дверь для злоумышленника.

Кибер Авангард проектирует, внедряет и обслуживает корпоративный VPN под конкретную задачу: считаем число площадок и сотрудников, подбираем технологию и оборудование, настраиваем многофакторную аутентификацию и сегментацию, берём туннели под мониторинг 24/7. Стоимость зависит от числа площадок, удалённых сотрудников и требований к шифрованию — рассчитывается под задачу после обследования.

Если нужно дать команде безопасный удалённый доступ или связать филиалы в одну сеть — напишите нам, какая у вас инфраструктура, и мы предложим схему и план внедрения.