Remote-access VPN: безопасный удалённый доступ к корпоративной сети
Remote VPN — это зашифрованный канал между рабочим устройством сотрудника и корпоративной сетью: компьютер «попадает внутрь» офиса так, как если бы стоял в нём физически, но через интернет.
Зачем это нужно бизнесу
С 2020 года удалёнка перестала быть исключением. Сотрудники работают из дома, в командировках, в загородных домах, из коворкингов. Им нужен доступ к внутренним системам компании: 1С, CRM, файловые серверы, корпоративная почта, базы данных, системы документооборота. Часть этих систем можно вынести «наружу» (опубликовать через интернет), но это сразу создаёт три проблемы: уязвимость публичных сервисов, потеря контроля над тем, кто и с какого устройства подключается, и нарушение требований регуляторов для систем с ПДн или коммерческой тайной.
Remote VPN решает эту задачу принципиально: внутренние сервисы остаются внутри сети, недоступными снаружи, но сотрудник с правильно настроенным VPN-клиентом получает к ним доступ так же, как из офиса. Все данные шифруются, аутентификация — по сертификатам и/или второму фактору, доступ можно ограничить по подразделениям и времени.
Для бизнеса это даёт три эффекта. Первый — гибкость работы: сотрудники продуктивны откуда угодно, не нужны командировочные на каждую отлучку. Второй — безопасность: внутренние сервисы не торчат в интернет, риски снижаются. Третий — соответствие требованиям: для работы с ПДн вне корпоративной сети нужны сертифицированные СКЗИ и защищённый канал — Remote VPN это и обеспечивает.
Как это работает
Архитектурно у вас в сети стоит VPN-шлюз (это может быть сетевое оборудование, отдельный сервер или модуль межсетевого экрана). У сотрудника на ноутбуке установлен VPN-клиент. При подключении клиент устанавливает зашифрованный туннель к шлюзу, аутентифицирует сотрудника (логин/пароль, сертификат, второй фактор) и получает «виртуальный IP-адрес» из корпоративной сети. После этого весь трафик к внутренним ресурсам идёт через туннель.
Протоколов VPN несколько. IPsec — классика, стабильный и быстрый, поддерживается всем сетевым оборудованием. SSL/TLS VPN (OpenVPN, AnyConnect, аналоги) — гибче, проходит через большинство NAT и фильтров, подключается с любого устройства. WireGuard — современный лёгкий протокол, очень быстрый, но молодой. L2TP/IPsec — устаревший, но иногда нужен для совместимости. ГОСТ-VPN (ViPNet, КриптоПро NGate, С-Терра) — обязателен для работы с ПДн и для субъектов КИИ, использует российские криптоалгоритмы и сертификаты ФСБ.
Аутентификация в корпоративном Remote VPN — рекомендуется многофакторная. Сертификат на устройстве (PKI), логин/пароль из Active Directory и второй фактор (одноразовый код, push в приложение, аппаратный токен). Это критично: одного украденного пароля недостаточно для входа.
Доступ к ресурсам настраивается на уровне политик. Бухгалтерия видит только 1С и файлы бухгалтерии, разработчики — гитлаб и тестовые сервера, директор — всё. Отдельная политика — для подрядчиков с ограниченным временным доступом.
Контроль устройств: современные VPN-решения умеют проверять состояние подключающейся машины (есть ли антивирус, обновления, корпоративные сертификаты) и не пускать в сеть «грязные» устройства. Это называется NAC/Posture Check.
Когда нужно компании
- Если в компании есть удалённые или гибридные сотрудники;
- Если есть командировки с необходимостью работы с корпоративными системами;
- Если филиалы или отдельные сотрудники работают с CRM, 1С, файлами на серверах в главном офисе;
- Если работа ведётся с персональными данными, коммерческой тайной, финансовой информацией — требуется защищённый канал;
- Если есть требования регуляторов (152-ФЗ для работы с ПДн вне офиса, 187-ФЗ для субъектов КИИ — ГОСТ-VPN);
- Если у вас уже был инцидент со взломом RDP-сервера, опубликованного «напрямую в интернет» — пора закрывать VPN-ом.
Что включает наша услуга
- Аудит сценариев удалённой работы: кто, куда, с каких устройств, какие требования;
- Подбор VPN-решения (обычное — Cisco AnyConnect, OpenVPN, Fortinet SSL VPN; ГОСТ — ViPNet Coordinator, КриптоПро NGate, С-Терра) под регуляторные требования;
- Развёртывание VPN-шлюза с отказоустойчивостью, интеграция с Active Directory для централизованной аутентификации;
- Настройка многофакторной аутентификации (сертификаты PKI + второй фактор);
- Раздача VPN-клиентов на устройства сотрудников, обучение, написание инструкций;
- Подключение к NOC: мониторинг подключений 24/7, алерты на подозрительную активность, реакция на инциденты.
Связанные термины
- PKI, ЭП и МЧД: корпоративная инфраструктура электронных подписей — VPN с аутентификацией по сертификатам строится на корпоративной PKI
- Корпоративный антивирус (управление) — состояние антивируса на устройстве — частая проверка перед допуском в сеть
- 152-ФЗ: соответствие закону о персональных данных — работа с ПДн вне офиса возможна только через защищённый канал
- 187-ФЗ КИИ: критическая информационная инфраструктура — для субъектов КИИ — только сертифицированные ФСБ ГОСТ-VPN
- Ежеквартальный ИБ-аудит: регулярные проверки безопасности — регулярный аудит проверяет настройки VPN, актуальность сертификатов, права доступа
Получить расчёт
Зайдите в калькулятор, отметьте чекбокс «Remote-access VPN», укажите число удалённых пользователей и нужен ли ГОСТ — получите ориентир. Финальная смета — после обследования инфраструктуры и согласования модели аутентификации.
Хотите оценить стоимость под свою инфраструктуру?
Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).
Открыть калькулятор Получить КП