
Классическая модель сетевой безопасности долгое время строилась вокруг «периметра». Мы рисовали жирную линию на песке, ставили на ней мощный фаервол (NGFW) и говорили: «Всё, что снаружи - враждебно, всё, что внутри - доверенное».
VPN был той самой калиткой в заборе, но сегодня этот подход не просто устарел – он опасен.
Проклятие «плоской сети»
В большинстве компаний внутренняя сеть остается «плоской». Это значит, что попав внутрь через VPN, пользователь (или вирус на его устройстве) получает сетевую видимость почти всей инфраструктуры.
Конечно, мы пытаемся делать микросегментацию, нарезать VLAN-ы и писать тысячи правил на фаерволах. Давайте честно: поддерживать эту систему в актуальном состоянии в динамичной среде – это ад. В итоге правила устаревают, «дырки» остаются, а злоумышленники используют их для горизонтального перемещения (Lateral Movement).
Почему NGFW и IPS - это не панацея?
Многие инженеры верят, что связка VPN+NGFW (Next-Generation Firewall) с включенным IPS и антивирусом их спасет. Вот три причины, почему это не так:
- Слепота из-за шифрования. 90% трафика внутри сети сегодня зашифровано (HTTPS/TLS). Чтобы IPS увидел атаку, вам нужно включить SSL-инспекцию – вскрывать каждый пакет. Это колоссальная нагрузка на процессоры фаервола и постоянные жалобы пользователей на «отваливающиеся» сервисы. В итоге инспекцию часто отключают, и IPS становится слепым.
- Living off the Land. Современные атаки редко используют известные эксплойты, которые ловит IPS. Хакеры используют легитимные инструменты: RDP, PowerShell, SMB. С точки зрения фаервола это выглядит как обычная работа администратора.
- Архитектурный обход. Трафик внутри одного сетевого сегмента (VLAN) часто вообще не доходит до интерфейсов фаервола, проходя через коммутаторы уровня ядра. Охранник стоит на входе, а кража происходит в коридоре.
Смена парадигмы: ZTNA (Zero Trust Network Access)
Zero Trust говорит нам: «Никогда не доверяй, всегда проверяй».
Главное отличие ZTNA от VPN в том, что мы уходим от концепции «Доступа к сети» к концепции «Доступа к приложению».

Вместо того чтобы выдавать пользователю IP-адрес внутри вашей сети, вы используете Identity-Aware Proxy (IAP).
- Пользователь обращается к порталу доступа.
- Система проверяет его личность (SSO), устройство (обновлен ли антивирус, нет ли признаков взлома) и контекст (время, локация).
- Только после этого создается временный туннель на уровне приложения.
Для пользователя это выглядит как обычный веб-сайт или SSH-сессия. Для злоумышленника – вашей сети просто не существует, она не «пингуется» и не сканируется.
Бизнес-эффект
ZTNA – это не просто «игрушка для безопасников». Для бизнеса это:
- Снижение рисков: зараженный ноутбук подрядчика больше не может зашифровать ваш ЦОД.
- Скорость: онбординг удаленного сотрудника или подрядчика занимает минуты, а не часы настройки прав доступа.
- Гибкость: вам больше не нужно объединять сложные сети при слияниях и поглощениях (M&A) – достаточно дать доступ к нужным порталам.
Вывод прост: в 2026 году продолжать раздавать «ключи от всей квартиры» через VPN – это осознанный риск, который рано или поздно выстрелит. Пора переходить на модель, где доступ выдается только к «ванной комнате» и только на время ремонта.