Облачная или локальная двухфакторная аутентификация: что выбрать бизнесу — Контур.Эгида

В этой статье

Облачная или локальная двухфакторная аутентификация: что выбрать бизнесу

8 июня 2026

Две компании могут внедрить двухфакторную аутентификацию и получить совершенно разный результат: одна быстро закроет риск входа по украденному паролю, а другая получит сложную систему, которую тяжело поддерживать и неудобно использовать. Часто проблема не в самой защите, а в выборе подхода — облачного или локального. В статье разберемся, чем отличаются эти модели, где каждая из них работает лучше и как выбрать вариант без лишних затрат и новых рисков для информационной безопасности.

Фотография Игорь Суставов Игорь Суставов Менеджер проектов по внедрению

Как работают облачная и локальная двухфакторная аутентификация

Двухфакторная аутентификация добавляет к обычному паролю еще один этап проверки: например, код из приложения, push-подтверждение или аппаратный ключ безопасности. Если пароль сотрудника «утек» через фишинг, зараженное устройство или повторное использование одного и того же пароля в разных сервисах, злоумышленнику все равно понадобится второй фактор.

Но для бизнеса важен еще один вопрос: где находится сама система проверки пользователя. Именно в этом заключается различие между облачной и локальной 2FA.

При облачной двухфакторной аутентификации компания подключает готовый сервис и использует инфраструктуру провайдера. Не нужно разворачивать собственные серверы, настраивать резервирование и заниматься обновлением системы. Поэтому такой вариант часто используют, когда нужно быстро защитить корпоративные сервисы и удаленный доступ сотрудников.

Например, компания перевела часть сотрудников на удаленную работу. Люди ежедневно входят в почту, CRM, корпоративный портал и систему документооборота из дома, командировок и с мобильных устройств. В такой ситуации облачная 2FA позволяет быстро добавить дополнительную проверку входа без изменений внутренней инфраструктуры.

Локальная, или серверная двухфакторная аутентификация работает иначе: система проверки размещается внутри инфраструктуры компании. Серверы, настройки, журналы событий и правила доступа организация контролирует самостоятельно. Такой подход чаще используют там, где есть внутренние приложения, защищенный контур, VPN, RDP или особые требования к хранению данных.

Например, производственное предприятие использует внутреннюю систему управления оборудованием и не выводит ее во внешнюю сеть. Если сотрудник подключается к инфраструктуре через VPN, дополнительная проверка может выполняться внутри собственного контура компании, а не через внешний облачный сервис.

Упрощенно сценарии использования могут выглядеть так:

Чаще выбирают облачную 2FA Чаще выбирают локальную 2FA

SaaS-сервисы и корпоративная почта

внутренние приложения

удаленные сотрудники

VPN

облачные рабочие инструменты

RDP

быстрый запуск без собственной инфраструктуры

защищенный контур

Важно не путать модель внедрения и способ подтверждения входа. Аппаратный токен, одноразовый код, push-уведомление или ключ безопасности могут использоваться и в облачной, и в локальной схеме. Поэтому вопрос обычно выглядит не как «аппаратная 2FA или облачная 2FA», а как «где должна работать система проверки — внутри компании или в инфраструктуре поставщика».

Чем отличаются облачная и локальная 2FA

На практике вопрос о том, что выбрать для двухфакторной аутентификации: облако или сервер, редко упирается только в безопасность. Обычно ИБ- и IT-команде приходится одновременно учитывать инфраструктуру, ресурсы на поддержку, требования к хранению данных и скорость внедрения.

Основные различия выглядят так:

Критерий Облачная 2FA Локальная 2FA

Где работает система проверки

в инфраструктуре провайдера

внутри компании

Скорость запуска

обычно быстрее

требует развертывания и настройки

Поддержка и обновления

в основном на стороне поставщика

на стороне компании-пользователя

Масштабирование

проще добавлять новых пользователей

зависит от ресурсов инфраструктуры

Контроль над системой

частичный

максимальный

Но важно понимать: здесь нет однозначных оценок «хорошо» и «плохо». У каждой модели свои задачи.

Например, компания открывает новый филиал и за месяц нанимает еще 150 сотрудников. В облачной модели новые учетные записи и политики доступа обычно можно добавить без закупки дополнительного оборудования и расширения инфраструктуры. Если же компания использует локальную схему, может потребоваться пересмотр нагрузки на серверы, резервирование и дополнительная настройка.

Возможна и другая ситуация. Допустим, организация использует внутренние системы, которые не должны взаимодействовать с внешними сервисами. В таком случае возможность полностью контролировать серверы, журналы событий и правила доступа может быть важнее скорости запуска.

Поэтому преимущества облачной двухфакторной аутентификации чаще связаны со скоростью внедрения и снижением нагрузки на IT-команду, а преимущества локальной — с более высоким уровнем контроля над инфраструктурой.

Безопасность и соответствие требованиям

Обсуждение безопасности облачной 2FA против локальной иногда сводится к вопросу: «Что надежнее?». Но сама постановка этого вопроса не совсем точна.

Если система неправильно настроена, риски остаются в обеих моделях. Например, двухфакторная аутентификация не поможет, если сотрудники используют одинаковые пароли во всех сервисах, а резервные способы входа остаются без контроля.

У облачной модели свои особенности. Поставщики обычно обеспечивают обновления, резервирование и отказоустойчивость инфраструктуры. Но часть контроля в этом случае компания-клиент передает внешнему сервису.

У локальной схемы ситуация обратная: организация сама определяет архитектуру защиты, управляет резервированием, настройками и журналами событий. Это дает больше контроля, но одновременно требует больше ресурсов и ответственности.

На практике риски и преимущества можно представить так:

Облачная модель Локальная модель

быстрое обновление компонентов защиты

контроль над хранением данных и настройками

встроенные механизмы резервирования

возможность работы в закрытом контуре

меньше нагрузки на внутреннюю инфраструктуру

максимально гибкая настройка политик доступа

Отдельно важно не путать архитектуру системы и второй фактор подтверждения личности. Например, аппаратный токен, ключ безопасности или одноразовые пароли могут использоваться в обеих моделях.

Соответствие требованиям регуляторов: что учитывать

Если 2FA защищает системы с персональными данными, выбор модели нельзя оценивать только по удобству. У оператора есть обязанность принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа, изменения, копирования и других действий. Это требование закреплено в ст. 19 152-ФЗ.

Для ИСПДн важны и подзаконные требования. Постановление Правительства № 1119 устанавливает уровни защищенности персональных данных, а от выбранного уровня зависит набор мер защиты. Приказ ФСТЭК № 21 включает меры идентификации и аутентификации пользователей в составе системы защиты персональных данных.

Поэтому на практике вопрос «облачная или локальная 2FA» нужно проверять не абстрактно, а по конкретной системе:

  • какие данные и сервисы защищаем;
  • входит ли система в ИСПДн;
  • есть ли требования к хранению данных и журналов внутри контура;
  • кто администрирует доступы и резервные способы входа;
  • можно ли подтвердить настройку аутентификации при аудите или проверке.

Если компания защищает обычные рабочие сервисы, почту, SaaS и удаленный доступ сотрудников, облачная модель может быть достаточной и удобной. Если речь о закрытом контуре, ИСПДн с повышенными требованиями, внутренних приложениях, VPN или RDP для администраторов, чаще нужно отдельно оценивать локальную или гибридную схему.

Важно: регуляторные требования обычно не сводятся к формуле «облако запрещено» или «серверная 2FA обязательна». Проверяют не сам ярлык cloud / on-premise, а то, как в системе реализованы идентификация, аутентификация, разграничение доступа, журналирование, резервирование и контроль учетных записей.

Что выгоднее: как оценить стоимость

Когда сравнивают стоимость внедрения облачной и локальной двухфакторной аутентификации, часто смотрят только на цену лицензии. На практике это почти никогда не показывает реальную картину.

У облачной 2FA расходы обычно более предсказуемы: компания платит за пользователей или подписку и получает готовую инфраструктуру. Не нужно отдельно закупать серверы, настраивать резервирование и планировать обновление системы.

У локальной двухфакторной аутентификации первоначальные затраты обычно выше. Помимо лицензий могут появиться расходы на:

  • серверы и инфраструктуру;
  • резервирование;
  • внедрение и настройку;
  • сопровождение и администрирование;
  • ресурсы IT-команды.

Но и здесь нет универсального правила «облако дешевле». Например, компания на 50–100 сотрудников использует почту, CRM, корпоративный портал и VPN для удаленной работы. Для нее облачный сервис двухфакторной аутентификации часто оказывается быстрее и дешевле: защита появляется практически сразу, а отдельная инфраструктура не нужна.

Другая ситуация — крупная организация на несколько тысяч пользователей с собственными внутренними системами и IT-командой. Если инфраструктура уже развернута и поддерживается, долгосрочная стоимость локальной модели может оказаться сопоставимой или даже ниже.

Упрощенно это выглядит так:

Сценарий Что чаще оказывается выгоднее

Небольшая компания без собственной инфраструктуры

облачная 2FA

Быстрое масштабирование

облачная 2FA

Крупная инфраструктура с внутренними системами

локальная 2FA

Закрытый контур и особые требования

локальная или гибридная модель

Поэтому вопрос обычно звучит не как «что дешевле — локальная или облачная двухфакторная аутентификация», а как «какие расходы появятся через год или два после внедрения».

Как выбрать подходящий вариант

Выбор модели обычно начинается не с выбора технологии, а с оценки инфраструктуры компании. Даже если компании решают одну задачу — защитить вход сотрудников, выбор может быть разным: многое зависит от инфраструктуры, внутренних систем и требований безопасности.

Если у компании много удаленных сотрудников, используются SaaS-сервисы и важно быстро подключить защиту без запуска новых серверов, чаще выбирают облачную модель. Если организация работает с внутренними системами, использует VPN, RDP или должна полностью контролировать инфраструктуру и хранение данных, чаще рассматривают локальный вариант.

На практике удобно использовать короткий чек-лист.

Облачная модель чаще подходит, если:

  • сотрудники работают удаленно;
  • используются облачные сервисы;
  • нужен быстрый запуск;
  • нет ресурсов на поддержку отдельной инфраструктуры.

Локальная модель чаще подходит, если:

  • есть закрытый контур;
  • используются внутренние приложения;
  • важен контроль над хранением данных;
  • существуют дополнительные требования безопасности.

Есть и третий сценарий — гибридный подход. Например, обычные сотрудники работают через облачную систему, а администраторы и критичные внутренние сервисы используют отдельную локальную схему доступа.

Перед внедрением полезно заранее проверить, с чем предстоит интегрировать систему. Чаще всего это:

  • Active Directory;
  • SSO;
  • LDAP;
  • NPS;
  • VPN;
  • RDG.

Чем раньше компания оценит эти зависимости, тем меньше вероятность того, что после запуска 2FA придется переделывать архитектуру или искать обходные решения.

В компаниях, где сотрудники используют много корпоративных систем, отдельной задачей становится не только защита входа, но и удобство работы. Например, ID помогает выстроить дополнительную проверку входа для разных корпоративных ресурсов и управлять подключенными сценариями через кабинет администратора.

Заключение

Универсального ответа на вопрос о том, использовать ли для двухфакторной аутентификации облако или сервер, нет. Для одних компаний важны быстрый запуск и минимальная нагрузка на инфраструктуру, для других — контроль над данными и работа внутри защищенного контура.

При выборе стоит смотреть не только на стоимость или способ развертывания, но и на реальные сценарии использования: какие системы нужно защищать, как работают сотрудники и какие требования безопасности нужно учитывать. Тогда 2FA станет не еще одним инструментом в инфраструктуре, а мерой защиты, которая действительно работает.

Фотография Игорь Суставов Игорь Суставов Менеджер проектов по внедрению
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться