Две компании могут внедрить двухфакторную аутентификацию и получить совершенно разный результат: одна быстро закроет риск входа по украденному паролю, а другая получит сложную систему, которую тяжело поддерживать и неудобно использовать. Часто проблема не в самой защите, а в выборе подхода — облачного или локального. В статье разберемся, чем отличаются эти модели, где каждая из них работает лучше и как выбрать вариант без лишних затрат и новых рисков для информационной безопасности.
Как работают облачная и локальная двухфакторная аутентификация
Двухфакторная аутентификация добавляет к обычному паролю еще один этап проверки: например, код из приложения, push-подтверждение или аппаратный ключ безопасности. Если пароль сотрудника «утек» через фишинг, зараженное устройство или повторное использование одного и того же пароля в разных сервисах, злоумышленнику все равно понадобится второй фактор.
Но для бизнеса важен еще один вопрос: где находится сама система проверки пользователя. Именно в этом заключается различие между облачной и локальной 2FA.
При облачной двухфакторной аутентификации компания подключает готовый сервис и использует инфраструктуру провайдера. Не нужно разворачивать собственные серверы, настраивать резервирование и заниматься обновлением системы. Поэтому такой вариант часто используют, когда нужно быстро защитить корпоративные сервисы и удаленный доступ сотрудников.
Например, компания перевела часть сотрудников на удаленную работу. Люди ежедневно входят в почту, CRM, корпоративный портал и систему документооборота из дома, командировок и с мобильных устройств. В такой ситуации облачная 2FA позволяет быстро добавить дополнительную проверку входа без изменений внутренней инфраструктуры.
Локальная, или серверная двухфакторная аутентификация работает иначе: система проверки размещается внутри инфраструктуры компании. Серверы, настройки, журналы событий и правила доступа организация контролирует самостоятельно. Такой подход чаще используют там, где есть внутренние приложения, защищенный контур, VPN, RDP или особые требования к хранению данных.
Например, производственное предприятие использует внутреннюю систему управления оборудованием и не выводит ее во внешнюю сеть. Если сотрудник подключается к инфраструктуре через VPN, дополнительная проверка может выполняться внутри собственного контура компании, а не через внешний облачный сервис.
Упрощенно сценарии использования могут выглядеть так:
| Чаще выбирают облачную 2FA | Чаще выбирают локальную 2FA |
|---|---|
|
SaaS-сервисы и корпоративная почта |
внутренние приложения |
|
удаленные сотрудники |
VPN |
|
облачные рабочие инструменты |
RDP |
|
быстрый запуск без собственной инфраструктуры |
защищенный контур |
Важно не путать модель внедрения и способ подтверждения входа. Аппаратный токен, одноразовый код, push-уведомление или ключ безопасности могут использоваться и в облачной, и в локальной схеме. Поэтому вопрос обычно выглядит не как «аппаратная 2FA или облачная 2FA», а как «где должна работать система проверки — внутри компании или в инфраструктуре поставщика».
Двухфакторная аутентификация
ID — защита учетных записей сотрудников: подключений через VPN, RDG, ActiveSync, ADFS (протоколы OpenID Connect, SAML), защита входа в Windows, OWA.
Чем отличаются облачная и локальная 2FA
На практике вопрос о том, что выбрать для двухфакторной аутентификации: облако или сервер, редко упирается только в безопасность. Обычно ИБ- и IT-команде приходится одновременно учитывать инфраструктуру, ресурсы на поддержку, требования к хранению данных и скорость внедрения.
Основные различия выглядят так:
| Критерий | Облачная 2FA | Локальная 2FA |
|---|---|---|
|
Где работает система проверки |
в инфраструктуре провайдера |
внутри компании |
|
Скорость запуска |
обычно быстрее |
требует развертывания и настройки |
|
Поддержка и обновления |
в основном на стороне поставщика |
на стороне компании-пользователя |
|
Масштабирование |
проще добавлять новых пользователей |
зависит от ресурсов инфраструктуры |
|
Контроль над системой |
частичный |
максимальный |
Но важно понимать: здесь нет однозначных оценок «хорошо» и «плохо». У каждой модели свои задачи.
Например, компания открывает новый филиал и за месяц нанимает еще 150 сотрудников. В облачной модели новые учетные записи и политики доступа обычно можно добавить без закупки дополнительного оборудования и расширения инфраструктуры. Если же компания использует локальную схему, может потребоваться пересмотр нагрузки на серверы, резервирование и дополнительная настройка.
Возможна и другая ситуация. Допустим, организация использует внутренние системы, которые не должны взаимодействовать с внешними сервисами. В таком случае возможность полностью контролировать серверы, журналы событий и правила доступа может быть важнее скорости запуска.
Поэтому преимущества облачной двухфакторной аутентификации чаще связаны со скоростью внедрения и снижением нагрузки на IT-команду, а преимущества локальной — с более высоким уровнем контроля над инфраструктурой.
Безопасность и соответствие требованиям
Обсуждение безопасности облачной 2FA против локальной иногда сводится к вопросу: «Что надежнее?». Но сама постановка этого вопроса не совсем точна.
Если система неправильно настроена, риски остаются в обеих моделях. Например, двухфакторная аутентификация не поможет, если сотрудники используют одинаковые пароли во всех сервисах, а резервные способы входа остаются без контроля.
У облачной модели свои особенности. Поставщики обычно обеспечивают обновления, резервирование и отказоустойчивость инфраструктуры. Но часть контроля в этом случае компания-клиент передает внешнему сервису.
У локальной схемы ситуация обратная: организация сама определяет архитектуру защиты, управляет резервированием, настройками и журналами событий. Это дает больше контроля, но одновременно требует больше ресурсов и ответственности.
На практике риски и преимущества можно представить так:
| Облачная модель | Локальная модель |
|---|---|
|
быстрое обновление компонентов защиты |
контроль над хранением данных и настройками |
|
встроенные механизмы резервирования |
возможность работы в закрытом контуре |
|
меньше нагрузки на внутреннюю инфраструктуру |
максимально гибкая настройка политик доступа |
Отдельно важно не путать архитектуру системы и второй фактор подтверждения личности. Например, аппаратный токен, ключ безопасности или одноразовые пароли могут использоваться в обеих моделях.
Соответствие требованиям регуляторов: что учитывать
Если 2FA защищает системы с персональными данными, выбор модели нельзя оценивать только по удобству. У оператора есть обязанность принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, изменения, копирования и других действий. Это требование закреплено в ст. 19 152-ФЗ.
Для ИСПДн важны и подзаконные требования. Постановление Правительства № 1119 устанавливает уровни защищенности персональных данных, а от выбранного уровня зависит набор мер защиты. Приказ ФСТЭК № 21 включает меры идентификации и аутентификации пользователей в составе системы защиты персональных данных.
Поэтому на практике вопрос «облачная или локальная 2FA» нужно проверять не абстрактно, а по конкретной системе:
- какие данные и сервисы защищаем;
- входит ли система в ИСПДн;
- есть ли требования к хранению данных и журналов внутри контура;
- кто администрирует доступы и резервные способы входа;
- можно ли подтвердить настройку аутентификации при аудите или проверке.
Если компания защищает обычные рабочие сервисы, почту, SaaS и удаленный доступ сотрудников, облачная модель может быть достаточной и удобной. Если речь о закрытом контуре, ИСПДн с повышенными требованиями, внутренних приложениях, VPN или RDP для администраторов, чаще нужно отдельно оценивать локальную или гибридную схему.
Важно: регуляторные требования обычно не сводятся к формуле «облако запрещено» или «серверная 2FA обязательна». Проверяют не сам ярлык cloud / on-premise, а то, как в системе реализованы идентификация, аутентификация, разграничение доступа, журналирование, резервирование и контроль учетных записей.
Что выгоднее: как оценить стоимость
Когда сравнивают стоимость внедрения облачной и локальной двухфакторной аутентификации, часто смотрят только на цену лицензии. На практике это почти никогда не показывает реальную картину.
У облачной 2FA расходы обычно более предсказуемы: компания платит за пользователей или подписку и получает готовую инфраструктуру. Не нужно отдельно закупать серверы, настраивать резервирование и планировать обновление системы.
У локальной двухфакторной аутентификации первоначальные затраты обычно выше. Помимо лицензий могут появиться расходы на:
- серверы и инфраструктуру;
- резервирование;
- внедрение и настройку;
- сопровождение и администрирование;
- ресурсы IT-команды.
Но и здесь нет универсального правила «облако дешевле». Например, компания на 50–100 сотрудников использует почту, CRM, корпоративный портал и VPN для удаленной работы. Для нее облачный сервис двухфакторной аутентификации часто оказывается быстрее и дешевле: защита появляется практически сразу, а отдельная инфраструктура не нужна.
Другая ситуация — крупная организация на несколько тысяч пользователей с собственными внутренними системами и IT-командой. Если инфраструктура уже развернута и поддерживается, долгосрочная стоимость локальной модели может оказаться сопоставимой или даже ниже.
Упрощенно это выглядит так:
| Сценарий | Что чаще оказывается выгоднее |
|---|---|
|
Небольшая компания без собственной инфраструктуры |
облачная 2FA |
|
Быстрое масштабирование |
облачная 2FA |
|
Крупная инфраструктура с внутренними системами |
локальная 2FA |
|
Закрытый контур и особые требования |
локальная или гибридная модель |
Поэтому вопрос обычно звучит не как «что дешевле — локальная или облачная двухфакторная аутентификация», а как «какие расходы появятся через год или два после внедрения».
Как выбрать подходящий вариант
Выбор модели обычно начинается не с выбора технологии, а с оценки инфраструктуры компании. Даже если компании решают одну задачу — защитить вход сотрудников, выбор может быть разным: многое зависит от инфраструктуры, внутренних систем и требований безопасности.
Если у компании много удаленных сотрудников, используются SaaS-сервисы и важно быстро подключить защиту без запуска новых серверов, чаще выбирают облачную модель. Если организация работает с внутренними системами, использует VPN, RDP или должна полностью контролировать инфраструктуру и хранение данных, чаще рассматривают локальный вариант.
На практике удобно использовать короткий чек-лист.
Облачная модель чаще подходит, если:
- сотрудники работают удаленно;
- используются облачные сервисы;
- нужен быстрый запуск;
- нет ресурсов на поддержку отдельной инфраструктуры.
Локальная модель чаще подходит, если:
- есть закрытый контур;
- используются внутренние приложения;
- важен контроль над хранением данных;
- существуют дополнительные требования безопасности.
Есть и третий сценарий — гибридный подход. Например, обычные сотрудники работают через облачную систему, а администраторы и критичные внутренние сервисы используют отдельную локальную схему доступа.
Перед внедрением полезно заранее проверить, с чем предстоит интегрировать систему. Чаще всего это:
- Active Directory;
- SSO;
- LDAP;
- NPS;
- VPN;
- RDG.
Чем раньше компания оценит эти зависимости, тем меньше вероятность того, что после запуска 2FA придется переделывать архитектуру или искать обходные решения.
В компаниях, где сотрудники используют много корпоративных систем, отдельной задачей становится не только защита входа, но и удобство работы. Например, ID помогает выстроить дополнительную проверку входа для разных корпоративных ресурсов и управлять подключенными сценариями через кабинет администратора.
Информационная безопасность бизнеса
Контур.Эгида — сервисы информационной безопасности: уменьшение рисков внутренних угроз и утечек конфиденциальных данных, предотвращение атак злоумышленников.
Заключение
Универсального ответа на вопрос о том, использовать ли для двухфакторной аутентификации облако или сервер, нет. Для одних компаний важны быстрый запуск и минимальная нагрузка на инфраструктуру, для других — контроль над данными и работа внутри защищенного контура.
При выборе стоит смотреть не только на стоимость или способ развертывания, но и на реальные сценарии использования: какие системы нужно защищать, как работают сотрудники и какие требования безопасности нужно учитывать. Тогда 2FA станет не еще одним инструментом в инфраструктуре, а мерой защиты, которая действительно работает.