Обзор мирового и российского рынков решений для организации сетевого доступа с нулевым доверием (ZTNA)

Концепция ZTNA реализует принцип «никому не доверяй — всё проверяй», обеспечивая непрерывную верификацию пользователей, устройств и трафика. В условиях продолжающейся цифровизации и усиления киберугроз решения сетевого доступа с нулевым доверием становятся необходимостью.

 

 

 

 

 

 

1. 1. Введение
2. 2. На чём строится концепция ZTNA
3. 3. Развитие мирового рынка ZTNA
4. 4. Состояние российского рынка ZTNA
5. 5. Обзор отечественных решений с поддержкой ZTNA
   
   1. 5.1. Комплексные продукты
      
      1. 5.1.1. BI.ZONE ZTNA
      2. 5.1.2. Ideco NGFW Novum
   2. 5.2. Интегрированные решения
      
      1. 5.2.1. Стек решений от «Кода Безопасности»
      2. 5.2.2. Экосистема решений UserGate SUMMA
      3. 5.2.3. Стек решений ViPNet
   3. 5.3. Гибридные решения
      
      1. 5.3.1. VPN-шлюз «КриптоПро NGate» + программный комплекс САКУРА
      2. 5.3.2. VPN-продукты «С-Терра» + Efros DefOps NAC
6. 6. Выводы

Введение

Рост облачной инфраструктуры, массовый переход на удалённую работу и активное привлечение внешних подрядчиков фактически стёрли чёткую грань между доверенной внутренней средой и внешними сетями. Сегодня сотрудники нередко работают из дома, иногда — с личных устройств, и в этих условиях защита корпоративных ресурсов с помощью межсетевого экрана перестаёт быть гарантией безопасности.

Ещё несколько лет назад удалённый доступ выглядел так: пользователь подключался по VPN-каналу, оказывался внутри корпоративной сети и перемещался по ней почти так же свободно, как и находясь в офисе. Это играло на руку атакующим — достаточно было скомпрометировать всего 1 учётную запись, чтобы получить доступ практически ко всем ИТ-активам компании. Двухфакторная аутентификация здесь тоже не спасала: если скомпрометирована не только учётная запись, но и само устройство, пользователь может даже не подозревать о взломе.

Для борьбы с подобными проблемами и появилась концепция сетевого доступа с нулевым доверием по умолчанию, которая ломает привычную логику сетевой безопасности. Zero Trust Network Access (ZTNA) — это не просто красивая терминология, а принципиальная смена подхода: не доверять пользователям и устройствам по умолчанию, а проверять каждое действие, исходя из того, что компрометация может произойти в любой момент.

В модели ZTNA каждый запрос к корпоративным ресурсам оценивается по ряду критериев: кто пользователь, с какого устройства он обращается и в каком состоянии оно находится, откуда идёт подключение и какие именно действия пытается выполнить пользователь. Организация сетевого доступа с нулевым доверием позволяет блокировать боковое перемещение злоумышленников внутри сети и выстраивать гибкие политики доступа для сотрудников, подрядчиков, администраторов и даже сервисных учётных записей.

На чём строится концепция ZTNA

Концепция ZTNA, то есть организации сетевого доступа с нулевым доверием, тесно связана с моделью Zero Trust: фактически ZTNA является практическим инструментом реализации принципов Zero Trust в сфере управления доступом к сетевым ресурсам.

Как ZTNA реализует принципы Zero Trust:

• Проверка каждого запроса. ZTNA-решения проверяют идентичность пользователя, состояние его устройства, параметры подключения, соответствие требованиям комплаенса и только после этого предоставляют доступ к конкретному приложению или ресурсу.
• Ограничение доступа. Пользователь получает доступ не ко всей сети, а только к тем приложениям или сервисам, которые необходимы ему для выполнения рабочих задач. Остальная инфраструктура остаётся для него невидимой.
• Непрерывная проверка. Аутентификация и авторизация происходят не однократно при входе, а постоянно в течение сессии. Система может пересматривать или отзывать доступ в режиме реального времени при обнаружении подозрительной активности.
• Контроль состояния устройства. ZTNA проверяет соответствие устройства политикам безопасности: наличие антивируса, версию обновлений операционной системы (ОС), отсутствие признаков компрометации и т. д.
• Доступ с учётом контекста. Решения ZTNA учитывают дополнительные факторы: роль пользователя, его местоположение, IP-адрес, тип данных, к которым он пытается получить доступ, и другие поведенческие атрибуты. Это делает невозможным боковое перемещение по сети.

Ранее обеспечение безопасности корпоративной сети традиционно строилось вокруг защиты локальной инфраструктуры: рабочих станций, серверов, каналов связи между офисами и периферийных устройств. Долгие годы VPN (Virtual Private Network) оставался основным инструментом для организации удалённого доступа, но сегодня он всё чаще демонстрирует ограничения. 

Классические VPN-решения плохо масштабируются под растущую нагрузку, не предоставляют гибких механизмов контроля и не способны полноценно защитить распределённую инфраструктуру, где ресурсы могут находиться где угодно — например, в публичном или частном облаке, — а сотрудники подключаются из любой точки мира.

На смену организации доступа с помощью VPN-туннелей пришла архитектура сетевого доступа с нулевым доверием — Zero Trust Network Access. Её ключевой принцип — не доверять никому по умолчанию. Этот сдвиг обусловлен изменениями в ИТ-среде, ростом угроз и необходимостью адаптации к гибридным и облачным архитектурам.

В отличие от VPN, в технологии ZTNA доступ предоставляется не ко всей корпоративной сети, а только к конкретным приложениям или сервисам на основе строгих политик безопасности. Чтобы минимизировать поверхность атаки, технология обеспечивает гранулярный контроль доступа, многофакторную аутентификацию и микросегментацию сети. При этом все соединения остаются зашифрованными, как и при использовании VPN, но добавляется дополнительный уровень проверки и контроля. Таким образом, ZTNA не просто заменяет VPN — она устраняет его главный недостаток: избыточное доверие к пользователю, оказавшемуся внутри периметра.

 

Рисунок 1. Отличие сетевого доступа по моделям VPN и ZTNA

 

Развитие мирового рынка ZTNA

Рынок ZTNA активно растёт: его развитие обусловлено необходимостью применения расширенных протоколов безопасности во всё более цифровом мире.

Аналитическое агентство Virtue Market Research оценило его объём в 1,4 млрд долларов США в 2025 году и прогнозирует рост до 4,45 млрд долларов США к концу 2030 года. Ожидается, что в течение прогнозируемого периода 2026–2030 годов рынок будет расти в среднем на 26 %.

 

Рисунок 2. Прогноз роста рынка ZTNA (источник: virtuemarketresearch.com)

 

Схожие цифры приводятся в отчёте Research and Markets: аналитическое агентство оценило рынок ZTNA в 2025 году в 1,34 млрд долларов США. При среднегодовом темпе роста 25,5 % к 2030 году его объём достигнет 4,18 млрд долларов США.

 

Рисунок 3. Прогноз роста рынка ZTNA (источник: researchandmarkets.com)

 

При этом большую часть рынка — около 60 % — занимают облачные решения (Cloud-based). Однако более быстрорастущим остаётся сегмент локального и гибридного развёртывания (Hybrid and On-Premises), который ежегодно увеличивается на 25–30 %.

Мировыми лидерами отрасли считаются Zscaler, Cloudflare, Palo Alto Networks, Netskope, Cisco Systems, Okta, Appgate, Fortinet, Check Point Software Technologies, Citrix, Akamai Technologies, IBM и Microsoft.

Состояние российского рынка ZTNA

Уход западных вендоров сделал недоступными для российского бизнеса популярные ZTNA-решения — такие как Cisco Umbrella, Palo Alto Networks Prisma Access, Zscaler и Cloudflare Zero Trust. Тем не менее отечественные разработчики уже предложили программные продукты, которые успешно закрывают значительную часть функций, ранее реализуемых с помощью иностранного программного обеспечения (ПО).

Для государственных организаций и объектов критической информационной инфраструктуры (КИИ) замена импортных систем сетевой безопасности и удалённого доступа на отечественные аналоги уже давно является не рекомендацией, а прямым требованием законодательства. В этом контексте ZTNA — подход, позволяющий одновременно эффективно защищать критическую инфраструктуру и соблюдать предписания российских регуляторов, включая Федеральный закон №152-ФЗ «О персональных данных», приказы Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2013 №21 и от 11.04.2025 №117. ZTNA позволяет соответствовать этим требованиям за счёт детализированного контроля доступа и аудита действий пользователей.

Другие факторы, способствующие активному внедрению ZTNA-решений в России:

• Рост удалённой работы и гибридных форматов. Массовый переход сотрудников на удалённую работу после 2020 года увеличил риски, связанные с доступом к корпоративным ресурсам с личных устройств и через ненадёжные каналы. ZTNA позволяет контролировать доступ даже в таких условиях, минимизируя риски компрометации.
• Увеличение числа кибератак. Количество угроз, включая фишинг, программы-вымогатели и DDoS-атаки, продолжает расти. ZTNA помогает снижать риски за счёт непрерывной проверки каждого запроса и ограничения доступа к ресурсам.
• Устаревание традиционного подхода. Классическая модель периметровой защиты, при которой внутренняя сеть считается доверенной, становится неэффективной при использовании облачных сервисов, распределённых сетей и растущей сложности ИТ-инфраструктуры. ZTNA предлагает риск-ориентированный подход, заменяя статический периметр динамическим контролем доступа.

Число российских компаний, переходящих к концепции Zero Trust и архитектуре ZTNA, постепенно растёт. Это подтверждают данные опросов: согласно исследованию компании «Информзащита», в 2025 году интерес к модели Zero Trust вырос на 22 %. Однако только 27 % организаций планируют перейти на Zero Trust к 2030 году. Это говорит о необходимости дальнейшего продвижения концепции сетевого доступа с нулевым доверием в России, особенно на фоне роста числа инцидентов, связанных с человеческим фактором.

Обзор отечественных решений с поддержкой ZTNA

Сегодня на российском рынке представлено достаточно решений для организации сетевого доступа с нулевым доверием. С помощью продуктов класса ZTNA можно управлять сетевым доступом, шифровать трафик и контролировать безопасность на границе сети.

Комплексные продукты

 

 

BI.ZONE ZTNA

В 2025 году компания BI.ZONE представила собственное решение для безопасного удалённого доступа к ресурсам корпоративной сети под названием BI.ZONE ZTNA. Перед тем как разрешить подключение, продукт последовательно идентифицирует пользователя, проверяет состояние устройства на соответствие принятым в организации политикам безопасности. Такой подход помогает ограничивать несанкционированный доступ и подключения с устройств, которые не соответствуют политикам безопасности.

Система функционирует в соответствии с моделью нулевого доверия (Zero Trust), предоставляя каждому сотруднику доступ только к тем сетевым ресурсам, которые необходимы ему для выполнения рабочих обязанностей. BI.ZONE ZTNA представляет собой комплексное решение, избавляющее заказчика от необходимости самостоятельно комбинировать несколько разрозненных инструментов. Продукт самостоятельно поднимает VPN-туннель через собственный запатентованный протокол Ru-WireGuard и поддерживает гибкие комплаенс-проверки устройств с возможностью детальной настройки.

В состав решения входят 3 основных компонента. ZTNA-клиент отвечает за принятие решения о доступе на основании комплаенс-проверок и обеспечивает создание VPN-туннеля. Компонент управления проверками построен на базе технологии непрерывного мониторинга, обнаружения и автоматического реагирования на угрозы на конечных устройствах (Endpoint Detection and Response, EDR), а управление сетью реализовано через компонент программно-определяемой глобальной сети (Software-Defined Wide Area Network, SD-WAN).

Кроме того, SD-WAN обеспечивает гранулярный доступ к ресурсам компании с помощью функционала Identity Firewall, который связывает сетевые политики с конкретными пользователями и рабочими группами.

 

Рисунок 4. Схема работы BI.ZONE ZTNA

 

Возможности решения:

• Предоставление удалённого доступа только идентифицированным пользователям и только с устройств, соответствующих заданным политикам безопасности. При этом доступ предоставляется только к тем ресурсам, которые необходимы для выполнения рабочих задач.
• Выполнение проверок устройств на соответствие политикам безопасности (posture-проверок) как перед установлением сессии, так и во время неё.
• Быстрое внедрение и простая настройка решения: централизованное управление конфигурациями VPN-шлюзов через SD-WAN и ZTNA-агентов через сервер EDR.
• Решение поддерживает все основные операционные системы, включая мобильные.
• Широкие возможности интеграции: поддержка различных IdP (Active Directory, FreeIPA), интеграция с SIEM посредством Syslog, работа с MFA и RADIUS. Также предусмотрена предусмотрена передача событий в SIEM-системы.
• Использование на конечных устройствах единого агента с возможностью расширения функционала модулями EDR: Prediction и Deception.

Продукт включён в Реестр российского ПО (реестровая запись № 29619 от 18.09.2025). Больше информации — на официальном сайте BI.ZONE.

 

 

Ideco NGFW Novum

Ideco NGFW Novum — межсетевой экран нового поколения, обеспечивающий фильтрацию трафика, поддержку VPN, технологии ZTNA и возможность кластеризации. Комплексная многоуровневая защита строится вокруг единого периметра безопасности и детальной сегментации сети. Она включает защиту DNS, глубокую фильтрацию уровня L7, технологии DPI, системы обнаружения и предотвращения вторжений (Intrusion Prevention System / Intrusion Detection System, IPS/IDS) и межсетевой экран уровня веб-приложений (Web Application Firewall, WAF).

Концепция ZTNA в Ideco NGFW реализована через компонент Ideco Client и систему проверки подключающихся устройств на соответствие установленным требованиям безопасности — HIP- и комплаенс-профили. Эти механизмы применяются как к VPN-подключениям, так и к запросам, поступающим из локальной сети. Перед предоставлением доступа к ресурсам устройство проходит анализ: формируется его профиль, который затем используется в правилах файрвола и политиках доступа. При этом не имеет значения, находится пользователь внутри офиса или подключается удалённо — проверка выполняется одинаково.

Zone-Based Firewall позволяет обойтись минимальным количеством правил для точной гранулярной настройки доступа. Проверка соответствия устройства требованиям безопасности происходит постоянно, в режиме реального времени, а не только в момент авторизации. Если конфигурация устройства изменится, что может свидетельствовать о его компрометации, доступ к сети за Ideco NGFW будет незамедлительно ограничен.

 

Рисунок 5. Модули Ideco NGFW Novum

 

Возможности решения:

• Безопасные VPN-туннели и маршрутизация по протоколам WireGuard и TLS.
• Интеграция с каталогами Microsoft Active Directory (AD), ALD Pro, FreeIPA, Samba и NGINX Gate.
• Многофакторная аутентификация через СМС-шлюзы, «Мультифактор», TOTP-коды и RADIUS-интеграции.
• Возможность реализации сценария Device VPN с подключением к сети не пользователя, а конкретного устройства — доступ без логина.
• Защита и контроль трафика на скорости до 200 Гбит/с.
• Кроссплатформенность и поддержка российских ОС на базе Linux.

Продукт включён в Реестр российского ПО (реестровая запись № 18339 от 02.08.2023). Подробнее о продукте можно прочитать в обзоре Ideco NGFW Novum, больше информации — на официальном сайте Ideco.

Интегрированные решения

 

 

Стек решений от «Кода Безопасности»

Концепцию ZTNA можно реализовать на базе продуктов компании «Код Безопасности» — в частности, клиентского приложения для персональных компьютеров и смартфонов «Континент ZTN Клиент» и многофункционального межсетевого экрана «Континент 4».

В этой связке «Континент ZTN Клиент» выступает в роли VPN-клиента или TLS-клиента на стороне пользователя. Он контролирует соответствие удалённого рабочего места политике безопасности. При попытке подключения к корпоративной сети клиентское приложение инициирует защищённый канал связи, отправляет запрос на аутентификацию и передаёт данные о состоянии устройства на сервер доступа комплекса «Континент».

Программно-аппаратный комплекс «Континент 4» — межсетевой экран класса NGFW/UTM. Он выполняет роль VPN-шлюза, обеспечивает фильтрацию трафика, аутентификацию пользователей, защиту корпоративной сети от вторжений, мониторинг и аудит ИБ-событий в режиме реального времени.

Для расширения возможностей проверки — комплаенс-контроля — в эту схему может быть интегрировано решение Secret Net Studio для Linux. Этот продукт предназначен для защиты рабочих станций и серверов. Он действует как агент контроля состояния (Endpoint Compliance Agent), дополняя приведённую схему более глубокой проверкой конечных устройств.

 

Рисунок 6. Пример организации удалённого защищённого доступа с помощью решений «Кода Безопасности»

 

Возможности линейки:

• Поддержка многофакторной аутентификации, интеграция с инфраструктурой открытых ключей (Public Key Infrastructure, PKI) и службами каталогов.
• Единый интерфейс управления для администрирования политик безопасности, мониторинга и реагирования на ИБ-инциденты.
• Разделение сети на сегменты с жёстким контролем доступа между ними: пользователь видит только те ресурсы, которые необходимы ему для работы.
• Непрерывный мониторинг поведения пользователя, состояния устройства и сетевого трафика в режиме реального времени.
• Доступ предоставляется строго в соответствии с ролями и политиками — без избыточных прав.
• Шифрование трафика с использованием российских криптографических алгоритмов для защиты данных.

Продукты экосистемы включены в Реестр российского ПО, а часть из них — сертифицирована ФСТЭК России. На нашем сайте есть отдельный обзор программно-аппаратного комплекса «Континент 4» версии 4.2. Больше информации о продуктах вендора — на официальном сайте «Кода Безопасности».

 

 

Экосистема решений UserGate SUMMA

ZTNA в экосистеме UserGate реализуется через интеграцию нескольких продуктов в рамках платформы UserGate SUMMA, каждый из которых выполняет свою роль в обеспечении сетевого доступа с нулевым доверием.

Ключевую роль в предоставлении сетевого доступа с нулевым доверием играет UserGate Client — агент класса EDR для конечных устройств. Он собирает данные об их состоянии — версию операционной системы (ОС), установленные приложения и т. д., — поддерживает многофакторную аутентификацию и встроенный VPN-клиент, а также передаёт сведения в общую систему для принятия решений о доступе. Эти данные поступают в UserGate Management Center — централизованную систему управления, где формируются политики безопасности: на основе информации о соответствии устройств требованиям задаются правила доступа к сети.

Решения о предоставлении доступа принимает UserGate NGFW — межсетевой экран нового поколения. Он использует данные от UserGate Client, проводит микросегментацию сети и обеспечивает шифрование через VPN-туннели и SSL VPN-порталы. Иными словами, NGFW проверяет, соответствует ли устройство политикам безопасности, и только после этого разрешает подключение к корпоративной сети.

Дополнительно используется UserGate Log Analyzer — система класса управления событиями и информацией безопасности / реагирования на инциденты / автоматизации реагирования (Security Information and Event Management / Incident Response Platform / Security Orchestration, Automation and Response, SIEM/IRP/SOAR). Она собирает и анализирует журналы и события в режиме реального времени, помогает выявлять ИБ-инциденты и оперативно на них реагировать, интегрируясь с остальными компонентами экосистемы.

 

Рисунок 7. Организация ZTNA в экосистеме UserGate

 

Возможности линейки:

• Контроль сетевого трафика на всех рубежах сетевого взаимодействия.
• Идентификация всех пользователей независимо от способа подключения и местонахождения.
• Централизованное управление всеми решениями экосистемы, агрегация событий из разных источников.
• Отслеживание любой подозрительной активности отдельных пользователей или хостов с журналированием действий.
• Предоставление ИБ-специалисту полного набора инструментов для мониторинга сети, выявления ИБ-инцидентов, а также расследования и реагирования на произошедшие события.
• Возможность интеграции UserGate NGFW с Microsoft Active Directory (AD) и LDAP, системами двухфакторной аутентификации (2FA), а также наличие открытого API для взаимодействия со сторонними средствами защиты информации (СЗИ).

Продукты экосистемы включены в Реестр российского ПО. Больше информации — на официальном сайте UserGate.

 

 

Стек решений ViPNet

Компания «ИнфоТеКС» выпускает средства для безопасного удалённого доступа, работающие по модели ZTNA. Инструментами для реализации такой модели являются организация защищённого канала доступа к инфраструктуре, разграничение доступа на уровне сетей, предоставление каждому пользователю необходимого и достаточного уровня полномочий и непрерывная адаптация политики безопасности под изменения ИТ- и ИБ-ландшафта.

Рассмотрим подробнее линейку продуктов ViPNet, при помощи которых можно реализовать модель доступа к корпоративным ресурсам на основе нулевого доверия.

ViPNet Coordinator HW — криптошлюз и межсетевой экран, обеспечивающий разграничение доступа к информации в локальных сетях.

ViPNet Client — программный комплекс, предназначенный для обеспечения защищённой передачи данных по каналам связи виртуальной сети ViPNet и работающий на всех ОС и мобильных платформах. Сегментацию сети и защиту от киберугроз обеспечивает ViPNet xFirewall. За управление идентификацией и доступом отвечает ViPNet SafePoint. ViPNet EndPoint Protection для защиты конечных устройств и ViPNet Threat Detection and Response (TDR) для мониторинга трафика и выявления угроз в режиме реального времени.

 

Рисунок 8. Продукты «ИнфоТеКС», соответствующие технологиям архитектуры Zero Trust

 

Возможности линейки:

• Аутентификация пользователя. При попытке подключения происходит проверка учётных данных пользователя, которая может включать многофакторную аутентификацию — например, комбинацию логина и пароля, электронную подпись с сертификатом на USB-токене или в программном контейнере, СМС или мобильное приложение.
• Проверка состояния устройства. Система анализирует наличие антивируса, актуальность ОС, целостность системных файлов и соответствие политикам безопасности.
• Установление защищённого соединения. При успешном прохождении проверок ViPNet Client устанавливает зашифрованный канал с ViPNet Coordinator HW с использованием протокола IPliR.
• Микросегментация сети. Сеть разделяется на сегменты — приложения, устройства, системы, сети и т. п. — для ограничения распространения угроз. Для каждого сегмента могут быть установлены собственные политики безопасности.
• Контроль доступа к ресурсам. На основе политик, заданных в ViPNet SafePoint, пользователю предоставляется доступ только к тем ресурсам, которые ему разрешены.

Продукты линейки включены в Реестр российского ПО, часть из них сертифицирована ФСТЭК России. Больше информации — на официальном сайте «ИнфоТеКС».

Гибридные решения

Ряд российских вендоров предложил реализовать концепцию сетевого доступа с нулевым доверием с помощью совместных решений. К примеру, такие интеграции строятся на базе программного комплекса САКУРА от компании «ИТ-Экспертиза», предназначенного для контроля удалённых рабочих мест и реагирования на несоответствие корпоративным политикам безопасности.

САКУРА, благодаря встроенным механизмам контроля устройств и реакции на нарушения, уже воплощает ключевые принципы Zero Trust, а интеграция с системами построения VPN-туннелей дополнительно расширяет её возможности, превращая комплекс в полноценное решение класса ZTNA.

 

 

VPN-шлюз «КриптоПро NGate» + программный комплекс САКУРА

В 2021 году специалисты компаний «КриптоПро» и «ИТ-Экспертиза» разработали механизм взаимодействия для организации сетевого доступа с нулевым доверием, объединив технологии проверки комплаенса и VPN. Он построен на интеграции 2 компонентов: криптошлюза «КриптоПро NGate» и программного комплекса САКУРА, совместимость которых подтверждена сертификатом совместимости.

В данной интеграции универсальный шлюз удалённого доступа и VPN «КриптоПро NGate» выполняет роль VPN-сервера и TLS-сервера доступа к веб-сайтам и приложениям. Комплекс ИБ САКУРА предназначен для контроля состояния защищённости рабочих мест на основе политик безопасности, обнаружения угроз и реагирования на них в информационных системах с разной сетевой архитектурой, в том числе географически распределенной.

Это позволяет реализовать концепцию ZTNA, обеспечивая контролируемый защищённый доступ удалённых пользователей к корпоративным ресурсам и создавая доверенную среду обработки защищаемой информации.

 

Рисунок 9. Архитектура интеграции «КриптоПро Ngate» и САКУРА

 

Особенности решения:

• Непрерывный контроль состояния рабочих мест сотрудников при удалённом доступе к корпоративным ресурсам.
• Предоставление гранулярного доступа конкретным пользователям или группам пользователей к необходимым корпоративным ресурсам.
• Защита каналов связи и исключение несанкционированного доступа к корпоративным ресурсам и удалённым АРМ.
• Шифрование трафика с поддержкой протоколов TLS и IPsec в соответствии с криптографическими алгоритмами ГОСТ.
• Широкий набор поддерживаемых способов и средств аутентификации, в том числе двухфакторной.
• Возможность интеграции со службами каталогов и SIEM-системами.

Программный комплекс «САКУРА» включён в Реестр российского ПО (реестровая запись № 9018 от 05.02.2021), как и ПО «КриптоПро NGate» (реестровая запись № 4330 от 29.03.2018). Кроме того, «КриптоПро NGate» сертифицирован ФСБ России по классам КС1, КС2 и КС3. На нашем сайт представлен обзор программного комплекса САКУРА версии 3 и «КриптоПро NGate» 1.0 R2. Более подробная информация о продуктах на официальных сайтах компаний «КриптоПро» и «ИТ-Экспертиза».

 

 

VPN-продукты «С-Терра» + Efros DefOps NAC

Ещё один пример гибридного подхода — объединение VPN-продуктов «С-Терра» и систем комплаенса. Такие решения предназначены для организации контролируемого защищённого подключения удалённых сотрудников к корпоративной инфраструктуре. Это позволяет не только шифровать каналы связи, но и проверять рабочие станции пользователей на соответствие политикам безопасности, тем самым реализуя отдельные принципы ZTNA.

VPN-продукты «С-Терра» могут быть интегрированы с программным комплексом «САКУРА» («ИТ-Экспертиза») или с системой Efros DefOps NAC («Газинформсервис»). Рассмотрим реализацию принципов ZTNA на примере второго варианта.

Центральным элементом выступает шлюз безопасности «С-Терра Шлюз», который защищает каналы связи при удалённых подключениях, фильтрует трафик и строит защищённые VPN-туннели между внешними пользователями и офисной сетью. Продукт поддерживает отечественные криптографические алгоритмы ГОСТ.

Со стороны пользователя применяются клиентские приложения «С-Терра Клиент» и «С-Терра Клиент А» для ОС Windows и Astra Linux. Они обеспечивают шифрование, базовую защиту трафика и интеграцию с Efros DefOps NAC для реализации принципов ZTNA. В свою очередь, комплекс Efros DefOps NAC берёт на себя контроль состояния рабочих мест: оценивает, насколько рабочее место соответствует требованиям политик безопасности и может быть допущено в корпоративную сеть, отслеживает угрозы, управляет доступом к корпоративным ресурсам и реагирует на нарушения политик безопасности.

 

Рисунок 10. Интеграция продуктов «С-Терра» и Efros DefOps NAC

 

Efros DefOps NAC позволяет рассылать пользователям уведомления при нарушении политик безопасности. Также в решение заложена возможность исправления состояния рабочего места: обновление ОС, обновление антивирусных баз, включение межсетевого экрана (МСЭ). Для организации сетевого доступа с нулевым доверием (Zero Trust Network Access, ZTNA) это решение может быть также интегрировано с VPN-шлюзом «КриптоПро NGate».

Особенности решения:

• Предоставление доступа к корпоративным сетевым ресурсам только с проверенных устройств.
• Профилирование устройств — определение типа устройства (например, принтер или АРМ с ОС Linux) и присвоение специальной метки для последующего доступа в необходимый сегмент сети.
• Настройка гибких политик доступа — можно контролировать более 80 параметров, включая кастомизацию проверок при помощи пользовательских скриптов.
• Поддержка как агентского, так и безагентского подхода к контролю доступа в сеть. Контроль доступа корпоративных пользователей и устройств по стандартам IEEE 802.1X, включая защиту от атак с подделкой MAC-адресов устройств.
• Интеграция с Microsoft Active Directory и другими службами каталогов по Lightweight Directory Access Protocol (LDAP), поддержка двухфакторной аутентификации (2FA) как при доступе в сеть, так и при доступе к сетевому оборудованию.
• Поддержка выгрузки информации об инцидентах в SIEM-системы и DLP-решения.

Efros Defence Operations, одним из модулей которого является Efros DefOps NAC, включён в Реестр российского ПО (реестровая запись № 18615 от 22.08.2023), как и продукты «С-Терра». На нашем сайте представлен обзор Efros DefOps NAC v.2.13 и интервью с генеральным директором «С-Терры». Более подробная информация о продуктах — на официальных сайтах компаний «С-Терра СиЭсПи» и «Газинформсервис».

Стоит отметить, что программный комплекс САКУРА как часть решения для ZTNA также может быть интегрирован с другими VPN-шлюзами — например, с «Континент ZTN-клиент», ViPNet, ФПСУ-IP/Клиент, OpenVPN и Check Point. Информацию о существующих интеграциях можно найти в официальной презентации о продукте САКУРА.

Выводы

ZTNA — это не просто «замена VPN» и не очередной модный термин из презентаций вендоров. Это системный переход к модели безопасности, в которой доверие не предоставляется авансом ни устройству, ни пользователю. Защита строится на постоянной проверке и управлении рисками в режиме реального времени с учётом контекста — местоположения, состояния устройства, поведения пользователя и запрашиваемого ресурса.

Такой подход принципиально меняет работу ИБ-специалиста. Чтобы выстроить эффективную защиту в парадигме Zero Trust Network Access, ему приходится мысленно атаковать собственную инфраструктуру снова и снова. На каждом этапе он проверяет: где ещё остались лишние права доступа, избыточная видимость ресурсов и неоправданные допущения? Как только находится сегмент, где доверие всё ещё предоставляется по умолчанию, появляется потенциальная брешь.

В 2026 году такая «паранойя» перестала быть признаком чрезмерной осторожности. Это нормальная политика ИБ. Отечественные ZTNA-решения, рассмотренные в этом обзоре, предоставляют инструменты для её реализации, позволяя перейти от абстрактной концепции к практической организации сетевого доступа с нулевым доверием по умолчанию.