Главная Вики Безопасность

Remote-access VPN: безопасный удалённый доступ к корпоративной сети

Remote VPN — это зашифрованный канал между рабочим устройством сотрудника и корпоративной сетью: компьютер «попадает внутрь» офиса так, как если бы стоял в нём физически, но через интернет.

Зачем это нужно бизнесу

С 2020 года удалёнка перестала быть исключением. Сотрудники работают из дома, в командировках, в загородных домах, из коворкингов. Им нужен доступ к внутренним системам компании: 1С, CRM, файловые серверы, корпоративная почта, базы данных, системы документооборота. Часть этих систем можно вынести «наружу» (опубликовать через интернет), но это сразу создаёт три проблемы: уязвимость публичных сервисов, потеря контроля над тем, кто и с какого устройства подключается, и нарушение требований регуляторов для систем с ПДн или коммерческой тайной.

Remote VPN решает эту задачу принципиально: внутренние сервисы остаются внутри сети, недоступными снаружи, но сотрудник с правильно настроенным VPN-клиентом получает к ним доступ так же, как из офиса. Все данные шифруются, аутентификация — по сертификатам и/или второму фактору, доступ можно ограничить по подразделениям и времени.

Для бизнеса это даёт три эффекта. Первый — гибкость работы: сотрудники продуктивны откуда угодно, не нужны командировочные на каждую отлучку. Второй — безопасность: внутренние сервисы не торчат в интернет, риски снижаются. Третий — соответствие требованиям: для работы с ПДн вне корпоративной сети нужны сертифицированные СКЗИ и защищённый канал — Remote VPN это и обеспечивает.

Как это работает

Архитектурно у вас в сети стоит VPN-шлюз (это может быть сетевое оборудование, отдельный сервер или модуль межсетевого экрана). У сотрудника на ноутбуке установлен VPN-клиент. При подключении клиент устанавливает зашифрованный туннель к шлюзу, аутентифицирует сотрудника (логин/пароль, сертификат, второй фактор) и получает «виртуальный IP-адрес» из корпоративной сети. После этого весь трафик к внутренним ресурсам идёт через туннель.

Протоколов VPN несколько. IPsec — классика, стабильный и быстрый, поддерживается всем сетевым оборудованием. SSL/TLS VPN (OpenVPN, AnyConnect, аналоги) — гибче, проходит через большинство NAT и фильтров, подключается с любого устройства. WireGuard — современный лёгкий протокол, очень быстрый, но молодой. L2TP/IPsec — устаревший, но иногда нужен для совместимости. ГОСТ-VPN (ViPNet, КриптоПро NGate, С-Терра) — обязателен для работы с ПДн и для субъектов КИИ, использует российские криптоалгоритмы и сертификаты ФСБ.

Аутентификация в корпоративном Remote VPN — рекомендуется многофакторная. Сертификат на устройстве (PKI), логин/пароль из Active Directory и второй фактор (одноразовый код, push в приложение, аппаратный токен). Это критично: одного украденного пароля недостаточно для входа.

Доступ к ресурсам настраивается на уровне политик. Бухгалтерия видит только 1С и файлы бухгалтерии, разработчики — гитлаб и тестовые сервера, директор — всё. Отдельная политика — для подрядчиков с ограниченным временным доступом.

Контроль устройств: современные VPN-решения умеют проверять состояние подключающейся машины (есть ли антивирус, обновления, корпоративные сертификаты) и не пускать в сеть «грязные» устройства. Это называется NAC/Posture Check.

Когда нужно компании

Что включает наша услуга

Связанные термины

Получить расчёт

Зайдите в калькулятор, отметьте чекбокс «Remote-access VPN», укажите число удалённых пользователей и нужен ли ГОСТ — получите ориентир. Финальная смета — после обследования инфраструктуры и согласования модели аутентификации.

Связанные термины
Расчёт стоимости

Хотите оценить стоимость под свою инфраструктуру?

Откройте калькулятор, отметьте нужные услуги — получите ориентир за минуту. Финальная смета после обследования (±15%).

Открыть калькулятор Получить КП