VPN для бизнеса: как настроить безопасный удалённый доступ к корпоративной сети

Удалённый доступ давно стал обычной частью работы, но вместе с ним выросло и количество атак на корпоративные сети. В 2024 году CISA включила в каталог известных эксплуатируемых уязвимостей CVE-2024-21762 — критическую уязвимость в SSL VPN Fortinet FortiOS с рейтингом CVSS 9.8, позволяющую выполнять удалённый код без аутентификации. За ней последовали Cisco ASA RAVPN (CVE-2024-20481) и связка Ivanti Connect Secure (CVE-2023-46805 + CVE-2024-21887), которую массово использовала группировка UNC5221.

Корпоративный VPN остаётся базовым инструментом защиты удалённого доступа, но без правильной настройки он сам становится точкой входа для атакующих. Разберём, как выстроить VPN-инфраструктуру так, чтобы она выдерживала современные угрозы и не мешала требованиям закона № 94-V о персональных данных.

Почему бизнесу нужен VPN

Удалённая работа, филиалы в нескольких городах, подрядчики, выездные инженеры, мобильные сотрудники — каждая из этих категорий обращается к внутренним сервисам компании из недоверенных сетей. Незашифрованный трафик через публичный Wi-Fi или домашний роутер с заводским паролем — это прямой риск перехвата сессий, кражи учётных данных и компрометации внутренних систем. VPN для бизнеса решает базовую задачу: создаёт защищённый туннель между устройством сотрудника и корпоративной сетью, шифрует трафик и аутентифицирует обе стороны.

Для казахстанских компаний к технической задаче добавляется регуляторная. Закон РК № 94-V от 21 мая 2013 года «О персональных данных и их защите», пункт 2 статьи 12, требует локализации хранения и обработки персональных данных граждан Казахстана на территории страны. Если сотрудник из филиала в Шымкенте обращается к CRM с базой клиентов, маршрут трафика, точка терминации VPN и место хранения логов должны находиться в юрисдикции РК. Это влияет на выбор архитектуры: где разместить VPN-шлюз, какой облачный провайдер использовать, как сегментировать доступ.

По отчёту IBM Cost of a Data Breach 2025, глобальная средняя стоимость утечки составляет 4,44 млн долларов, а в США достигает рекордных 10,22 млн за инцидент. При этом картина по начальным векторам смещается: фишинг выходит на первое место, а атакующие всё чаще просто входят под действующими учётными данными, которые остались среди ключевых каналов первичного доступа. Для бизнеса это означает, что кража или подбор VPN-кредов — не частный случай, а одна из базовых моделей атаки. Корпоративный VPN с жёстким MFA и проверкой устройства не устраняет риск утечки, но заметно сужает поверхность атаки и перекрывает один из самых удобных путей внутрь сети для злоумышленника.

Какие угрозы возникают

Атаки на удалённый доступ редко выглядят как голливудский взлом. В реальности это совершенно типовой набор техник.

Компрометация учётных данных. Свежий отчёт Sophos State of Ransomware 2025 фиксирует одну и ту же картину уже третий год подряд: эксплуатируемые уязвимости остаются главным техническим корнем атак с долей около 32%, скомпрометированные креды идут сразу следом, примерно в 23% случаев. Почта и фишинг по‑прежнему занимают ощутимую долю начальных векторов, но в практике атакующих украденные логины и пароли остаются удобным способом войти аккуратно, а не ломать периметр в лоб. Фишинг, утечки баз с других сервисов, переиспользование паролей и покупки доступов у брокеров всё так же заканчиваются успешным логином на VPN‑шлюз, если второй фактор не обязателен.

Эксплуатация уязвимостей самого VPN-вендора. В 2025 году Ivanti Connect Secure снова оказался в центре проблем: в январе была раскрыта CVE-2025-0282, уязвимость с удалённым выполнением кода без аутентификации, которую CISA добавила в KEV уже 8 января 2025 года. Позже, в апреле, в тот же список попала CVE-2025-22457, ещё одна критическая уязвимость в Ivanti Connect Secure, Pulse Connect Secure, Policy Secure и ZTA Gateways, также с признаками эксплуатации в реальных атаках. Mandiant связывала активность вокруг этих уязвимостей с UNC5221 и отмечала эксплуатацию как минимум с середины декабря 2024 года. Смысл у всех этих историй один и тот же: периметровое устройство на публичном IP остаётся удобной точкой входа в инфраструктуру.

MFA fatigue и социальная инженерия. Cisco Duo в 2025 году отдельно описывает фишинговые атаки через push‑уведомления и «усталость от MFA» как атаку, в которой злоумышленник, уже получивший пароль, засыпает пользователя push-запросами и добивается одобрения входа. На этом фоне защитой по умолчанию стали проверка по совпадению числа на экране входа и в приложении, подтверждённые push‑запросы и, по возможности, фишинг-устойчивые факторы вроде FIDO2. Если второй фактор можно одобрить одним нажатием, он слишком легко превращается в формальность.

Боковое движение атакующего по сети. Если после подключения по VPN пользователь оказывается внутри плоской сети без сегментации, любой скомпрометированный ноутбук превращается в плацдарм для дальнейшего продвижения по инфраструктуре. В свежем отчёте Verizon DBIR 2025 акцент снова смещён в сторону кражи учётных данных, захвата активных сессий и уже последующих шагов внутри сети после первичного входа. В такой схеме VPN — только стартовая точка, а отсутствие сетевой сегментации помогает злоумышленнику сделать остальное.

Отсутствие MFA как причина компрометации. Verizon DBIR 2025 отдельно рекомендует делать MFA обязательным и для внешне доступных приложений, и для удалённого сетевого доступа. Причина простая: когда злоумышленник получает пароль или действующую сессию, вход через VPN без обязательного MFA остаётся одним из самых коротких путей в корпоративную сеть.

Как работает VPN

В упрощённой модели VPN — это шифрованный туннель поверх недоверенной сети. Клиент на устройстве сотрудника устанавливает зашифрованное соединение с VPN-сервером на периметре компании, аутентифицируется, получает внутренний IP-адрес и доступ к корпоративным ресурсам согласно политикам.

В корпоративной архитектуре есть несколько ключевых компонентов.

• VPN-шлюз. Сервер или аппаратное устройство, которое терминирует туннели от клиентов. Размещается на периметре сети или в DMZ. Чаще всего становится мишенью атак, потому что должен быть доступен из интернета.
• Каталог пользователей и политик. LDAP/Active Directory, SAML-провайдер, RADIUS-сервер — источник правды о том, кто из сотрудников имеет право подключаться и к каким ресурсам.
• Второй фактор аутентификации. TOTP-токен, аппаратный ключ FIDO2, push-уведомление. Без MFA любой VPN — это «дверь с одним замком», и Colonial Pipeline тому подтверждение.
• Сертификаты устройств. PKI-инфраструктура, которая выдаёт сертификаты корпоративным ноутбукам и проверяет их при подключении. Отсекает попытки зайти с домашнего компьютера, даже если креды украдены.
• Политики маршрутизации. Full tunnel, когда весь трафик идёт через VPN, или split tunnel, когда через VPN проходят только корпоративные подсети. Выбор влияет на нагрузку на шлюз, видимость трафика, риски утечки.
• Логирование и мониторинг. Журналы подключений, аномалии, геоаналитика, интеграция с SIEM. Без этого инцидент с украденными кредами обнаружат не через 292 дня, как в среднем по IBM, а ещё позже.

Виды VPN

Три протокола закрывают 95% задач корпоративного удалённого доступа. У каждого своя ниша.

IPSec — промышленный стандарт для site-to-site между офисами и для клиентского доступа на устройствах со штатной поддержкой, таких как Windows, macOS, iOS и Android. Работает на сетевом уровне, шифрует IP-пакеты целиком. Сильная сторона — зрелость, поддержка аппаратного ускорения, гибкие политики. Слабая — сложность конфигурации, большой объём кода в реализациях и проблемы с прохождением через ограничивающие файрволы.

SSL VPN на базе TLS работает поверх TCP/443 или UDP/443 и проходит через любые корпоративные прокси и файрволы. Удобен для подрядчиков и мобильных пользователей: достаточно браузера или лёгкого клиента. В эту категорию попадают AnyConnect, GlobalProtect, FortiClient, Ivanti Connect Secure. Слабая сторона — концентрация уязвимостей именно у вендоров SSL VPN: эксплойты последних лет, включая Fortinet, Ivanti и Citrix, пришлись преимущественно на этот класс продуктов.

WireGuard — современный протокол, изначально спроектированный под минимализм и аудит. Ядерный модуль — около 4000 строк кода против сотен тысяч у IPSec-стеков. Использует современную криптографию: Curve25519, ChaCha20, Poly1305, BLAKE2s. В открытых бенчмарках WireGuard стабильно опережает IPSec и OpenVPN по пропускной способности на сопоставимом железе при меньшей задержке. В продакшене у Cloudflare, Mullvad, Tailscale. Минусы — менее развитая корпоративная экосистема, отсутствие встроенного MFA и ролевых политик «из коробки», а также встроенного механизма push-конфигураций.

Сравнение протоколов

Практический выбор такой: site-to-site между офисами — IPSec; массовый удалённый доступ с управляемых корпоративных устройств — WireGuard под управляющим слоем, например Tailscale, Netmaker или собственной PKI; доступ подрядчиков и BYOD-устройств через ограниченные файрволы — SSL VPN с обязательным MFA и оперативным патчингом.

Как настроить доступ

Пошаговый план для команды, которая разворачивает корпоративный VPN с нуля или приводит существующий в порядок.

• Инвентаризация и сегментация. Опишите, кто и к каким ресурсам должен иметь доступ: отделы, роли, подрядчики, сервисные учётные записи. Разделите внутреннюю сеть на сегменты: продакшен, офис, разработка, бухгалтерия. После подключения к VPN сотрудник должен попадать только в свой сегмент.
• Выбор протокола и архитектуры. Зафиксируйте, что и зачем используете: IPSec для site-to-site, WireGuard или SSL VPN для клиентов. Определите, где разместите шлюз: on-premise, в облаке РК, у managed-провайдера. Для данных, попадающих под № 94-V, точка терминации и хранения логов должна быть в Казахстане.
• Аутентификация: MFA не опционально. Подключите второй фактор для всех учётных записей VPN без исключений. Предпочтительно использовать аппаратные ключи FIDO2 или TOTP-приложения. Push-уведомления допустимы только с защитой от MFA fatigue, через number matching и ограничение количества запросов. Кейс Cisco 2022 года показал, чем заканчивается push без защиты.
• Сертификаты устройств. Разверните корпоративный CA и выдайте сертификаты управляемым ноутбукам. Настройте проверку на VPN-шлюзе: подключение разрешено только если есть валидный сертификат устройства, валидные учётные данные сотрудника и второй фактор. Это трёхфакторная аутентификация на уровне инфраструктуры.
• Политики доступа по принципу наименьших привилегий. Маркетолог не должен видеть продакшен-серверы, разработчик — финансовую отчётность. Привяжите ACL и сегменты к группам в каталоге пользователей. Используйте отдельные пулы IP-адресов для разных ролей.
• Патч-менеджмент и оперативное обновление. Включите VPN-шлюзы и клиентов в график регулярных обновлений с приоритетом критических CVE. Подпишитесь на CISA KEV и бюллетени вендора. Норма реакции на CVSS >= 9.0 в периметровом устройстве — часы, не недели.
• Логирование, мониторинг, алерты. Отправляйте логи VPN в SIEM. Настройте алерты на аномалии: вход из новой страны, несколько неудачных попыток MFA подряд, подключение в нерабочее время, одновременные сессии с разных гео.
• Регулярный аудит и пентест. Раз в полгода пересматривайте учётные записи, особенно бывших сотрудников и подрядчиков. Раз в год проводите внешний пентест периметра, включая VPN-шлюз. Проверяйте, что отключённые сотрудники реально отключены, а сервисные учётки не выданы «на всякий случай».

Типичные ошибки

Большинство инцидентов с корпоративным VPN — это не уникальные атаки нулевого дня, а повторение одних и тех же ошибок.

• VPN без MFA. Самая дорогая ошибка десятилетия. Colonial Pipeline в 2021 году заплатил $4,4 млн выкупа после захода через старую учётную запись VPN без второго фактора. Для любого VPN, выходящего в интернет без MFA, — это вопрос времени.
• Забытые учётные записи бывших сотрудников и подрядчиков. Уволенный полгода назад инженер с активной VPN-сессией — типовая находка любого аудита. Процесс offboarding должен включать немедленное отключение VPN, ротацию связанных сервисных учёток и инвалидацию сертификатов устройства.
• Запаздывание с патчами периметровых устройств. Уязвимости Fortinet, Ivanti и Cisco последних двух лет массово эксплуатировались в первые недели после публикации. Если обновление SSL VPN откладывается «на следующее окно обслуживания через месяц», это равносильно публичному приглашению.
• Плоская сеть после подключения. Сотрудник зашёл по VPN и попал во внутреннюю /16-подсеть, где доступно всё — от принтеров до контроллера домена. Один скомпрометированный ноутбук означает компрометацию всего. Сегментация и микросегментация обязательны.
• Слабые или дефолтные пароли на самом VPN-шлюзе. Админский интерфейс с паролем admin/admin, открытый из интернета, — реальная находка во многих аудитах SMB-сегмента. Управляющие интерфейсы должны быть доступны только из внутренней сети или через jump host.
• Раздельная маршрутизация (split tunnel) без понимания рисков. При раздельной маршрутизации часть трафика идёт в обход корпоративного периметра. Это снижает нагрузку на VPN‑шлюз и улучшает задержки, но одновременно лишает SOC видимости того, что сотрудник делает в интернете, и усложняет контроль политик доступа. Выбор между полным туннелем и раздельной маршрутизацией — это осознанное решение под конкретную модель угроз и требования к производительности, а не удобная настройка по умолчанию.
• «Усталость от MFA» без защиты. Push‑уведомления без защиты вроде проверки числа на экране входа и ограничения частоты запросов превращают второй фактор в формальность: атакующий просто засыпает пользователя запросами на подтверждение, пока тот не нажмёт «Разрешить». Самый показательный пример последних лет — взлом Uber в 2022 году, где злоумышленник с уже украденными учётными данными завалил подрядчика push‑запросами и дополнительно дожал его через мессенджер от имени техподдержки, после чего получил полный VPN‑доступ во внутреннюю сеть. Если подтверждение входа по‑прежнему сводится к одному нажатию, такая схема аутентификации перестаёт быть надёжной.
• Отсутствие логирования или хранение логов локально на шлюзе. Когда шлюз скомпрометирован, локальные логи атакующий чистит первым делом. Логи должны уходить в отдельный SIEM в реальном времени.
• Сертификаты без отзыва. PKI без работающего OCSP/CRL — это сертификаты, которые живут вечно. Сертификат уволенного сотрудника должен отзываться немедленно.

Что добавить

VPN закрывает базовый сценарий — шифрование канала и аутентификацию. Современная защита корпоративной сети требует строить вокруг него дополнительные слои.

Zero Trust Network Access. По прогнозу Gartner, к 2025 году не менее 70% новых внедрений удалённого доступа будут реализованы преимущественно на основе ZTNA, против менее 10% в 2021 году. NIST SP 800-207 описывает архитектуру Zero Trust: ни одному сотруднику и устройству нельзя доверять автоматически, каждый запрос к ресурсу проверяется отдельно по контексту, включая личность, состояние устройства, гео и поведение. На практике ZTNA-решения дают доступ не к сети целиком, а к конкретному приложению, даже если злоумышленник прошёл аутентификацию.

EDR на конечных устройствах. Корпоративный ноутбук с активным EDR-агентом — это не просто «антивирус», а телеметрия процессов, сетевых соединений и файловых операций. Если ноутбук скомпрометирован, EDR заметит подозрительную активность до того, как она доберётся до внутренних систем через VPN-туннель.

NAC. Проверка состояния устройства перед предоставлением доступа: установлены ли обновления ОС, активен ли EDR, не отключён ли диск шифрования. Если устройство не соответствует политике, оно попадает в карантинный сегмент с ограниченным доступом.

Privileged Access Management. Доступ к критическим системам — серверам, базам данных, сетевому оборудованию — только через PAM-портал с записью сессии, временными учётками и обязательным запросом доступа. VPN-сессия не должна давать прямой SSH к продакшену.

SIEM (Security Information and Event Management) и UEBA (User and Entity Behavior Analytics). Корреляция событий VPN, EDR, PAM и AD в единой системе. UEBA-модули строят поведенческие профили пользователей и помечают аномалии. Например, обычно сотрудник работает с одного устройства из Алматы по будням, а сегодня подключился ночью из другой страны.

DLP в туннеле. Если через VPN идёт работа с персональными данными, чувствительной коммерческой информацией, исходным кодом, DLP-инспекция трафика помогает выявить и заблокировать утечку. Решение должно учитывать требования № 94-V по обработке ПДн.

Резервный канал и DR-план. Что делать, если VPN-шлюз вышел из строя или его выводят из эксплуатации после инцидента? Должен быть документированный план переключения на резервный канал и регламент работы офлайн.

Когда переносить в облако

On-premise VPN-шлюз — классическое решение, но у него есть ограничения: ёмкость канала офиса, отказоустойчивость, обслуживание железа, скорость масштабирования. Перенос VPN-инфраструктуры в облако оправдан в нескольких сценариях.

• Распределённая команда без географической привязки к офису. Если сотрудники работают из разных городов и стран, гонять весь трафик через шлюз в одном офисе — это и задержки, и единая точка отказа. Облачный VPN-шлюз ближе к пользователю снижает latency.
• Сезонные или быстрые пики нагрузки. Запуск нового проекта, набор сотен подрядчиков на короткий контракт, M&A с интеграцией новой команды — облако масштабирует ёмкость VPN-шлюза за часы, а не недели.
• Отсутствие in-house экспертизы по сетям и безопасности. SMB-компании часто не могут себе позволить полноценную сетевую команду. Managed VPN gateway от облачного провайдера снимает задачи патчинга, мониторинга и резервирования.
• Гибридная инфраструктура. Часть систем — в публичном облаке, часть — в собственном ЦОДе, часть — в SaaS. Облачный VPN или ZTNA-решение становится единым слоем доступа для всех контуров.
• Соответствие № 94-V при работе с ПДн граждан РК. Здесь критичен выбор провайдера: облако должно физически располагаться на территории Казахстана, а провайдер — обеспечивать локализацию хранения и обработки персональных данных согласно п. 2 ст. 12 закона. Это сужает выбор до локальных облачных платформ. Например, VK Cloud предоставляет инфраструктуру в зонах доступности на территории РК с managed VPN gateway. Корпоративные туннели терминируются в локальной юрисдикции, и требование о локализации ПДн закрывается без вывоза данных за рубеж.

Когда переносить не стоит. Высокочувствительные сегменты с жёсткими требованиями к физическому контролю, критическая инфраструктура с офлайн-режимом работы, сценарии, где задержка до облачного шлюза неприемлема, например real-time промышленные системы. Здесь on-premise VPN с правильно выстроенным процессом остаётся обоснованным выбором.

Корпоративный VPN перестал быть коробочной технологией: это связка протокола, аутентификации, политик и операционных процессов. Безопасный удалённый доступ к корпоративной сети строится на трёх китах: обязательное MFA, оперативный патчинг периметра и сегментация с принципом наименьших привилегий. Для бизнеса в Казахстане к этому добавляется вопрос юрисдикции: где терминируется туннель и где живут логи. Те, кто закроет эти базовые пункты, не окажутся в следующей сводке Verizon DBIR.