Узнайте о сосуществовании Security Service Edge (SSE) с Microsoft и Palo Alto Networks

Решения Microsoft и Palo Alto Networks SSE можно использовать вместе в единой среде. При совместном применении вы задействуете мощный набор возможностей обеих платформ, чтобы укрепить ваши усилия в области SASE. Взаимодействие между этими платформами повышает безопасность и обеспечивает простое подключение.

В этом документе содержатся шаги по развертыванию этих решений параллельно в нескольких различных сценариях доступа.

1. Конфигурация 1: Microsoft Entra Private Access с Palo Alto Prisma Access для безопасного интернет-доступа

В этом сценарии Глобальный безопасный доступ будет обрабатывать трафик частных приложений. Prisma Access будет записывать только интернет-трафик.

2. Конфигурация 2. Microsoft Entra Private Access с Palo Alto Prisma Access для частных приложений и доступа к Интернету

В этом сценарии оба клиента будут обрабатывать трафик для отдельных частных приложений. Частные приложения в частном доступе Microsoft Entra будут обрабатываться глобальным безопасным доступом, а частные приложения в подключениях к службам Prisma Access или соединителям ZTNA будут доступны через клиент GlobalProtect. Интернет-трафик будет обрабатываться Prisma Access.

3. Конфигурация 3. Microsoft Entra Microsoft Access с Palo Alto Prisma Access для частного приложения и доступа к Интернету

В этом сценарии глобальный безопасный доступ будет обрабатывать весь трафик Microsoft 365. Prisma Access будет обрабатывать частные приложения через подключение к службе или соединители ZTNA. Интернет-трафик будет обрабатываться Prisma Access.

4. Конфигурация 4. Microsoft Entra Internet Access и Microsoft Entra Microsoft Access с Palo Alto Prisma Access для частного доступа к приложениям

В этом сценарии глобальный безопасный доступ будет обрабатывать интернет и трафик Microsoft 365. Prisma Access будет записывать только частный трафик приложения через подключение службы или соединители ZTNA.

Замечание

Следующие конфигурации были протестированы для Palo Alto Prisma Access и управляются с помощью Strata Cloud Manager. Доступ к частному приложению был протестирован с помощью подключений к службам и соединителей ZTNA. Подключение к службе Prisma Access было предоставлено GlobalProtect и протестировано с помощью конфигураций SSL и IPsec VPN.

Необходимые условия

Чтобы настроить Microsoft и Palo Alto Prisma Access для единого решения SASE, начните с настройки Microsoft Entra Internet Access и Microsoft Entra Private Access. Затем настройте Prisma Access для доступа к частному приложению через соединение службы или коннектор ZTNA. Наконец, обязательно установите необходимое полное доменное имя и IP-адрес, чтобы обеспечить плавную интеграцию между двумя платформами.

• Настройте Microsoft Entra Internet Access и Microsoft Entra Private Access. Эти продукты составляют решение глобального безопасного доступа.
• Настройка Palo Alto Prisma Access для частного доступа и доступа к Интернету
• Настройка обхода полного доменного имени (FQDN) и IP-адресов для глобального безопасного доступа

Глобальный безопасный доступ Майкрософт

Чтобы настроить глобальный безопасный доступ и протестировать все сценарии в этой документации, вам потребуется выполнить следующее.

• Включите и отключите различные профили пересылки трафика глобального безопасного доступа для клиента Microsoft Entra. Дополнительные сведения о включении и отключении профилей см. в разделе "Профили пересылки трафика глобального безопасного доступа".

• Установите и настройте соединитель частной сети Microsoft Entra. Чтобы узнать, как установить и настроить соединитель, см. инструкции по настройке соединителей.

Замечание

Соединители частной сети требуются для приложений Закрытого доступа Microsoft Entra.

• Настройте быстрый доступ к вашим частным ресурсам, а также частные системы доменных имен (DNS) и суффиксы DNS. Сведения о настройке быстрого доступа см. в статье "Как настроить быстрый доступ".
• Установите и настройте клиент Global Secure Access на устройствах конечных пользователей. Дополнительные сведения о клиентах см. в разделе "Глобальный безопасный доступ". Сведения о том, как установить клиент Windows, см. в статье "Глобальный безопасный доступ" для Windows. Сведения о macOS см. в разделе "Клиент глобального безопасного доступа" для macOS.

Palo Alto Prisma Access

Чтобы интегрировать Palo Alto Prisma Access с Microsoft Global Secure Access, убедитесь, что выполнены следующие предварительные требования. Эти шаги обеспечивают плавную интеграцию, улучшенную управление трафиком и улучшенную безопасность.

• Настройте подключение службы или соединитель ZTNA для Prisma Access, чтобы разрешить доступ к частным приложениям. Дополнительные сведения о настройке подключения к службе см. в документации по Palo Alto для настройки подключения к службе. Подробнее о соединителе ZTNA см. в документации Palo Alto по настройке соединителя ZTNA.
• Настройте GlobalProtect для мобильных пользователей, чтобы разрешить удаленный доступ к частным приложениям. Дополнительные сведения см. в документации по настройке GlobalProtect.
• Настройте параметры туннеля GlobalProtect и параметры приложения для работы с частным DNS Microsoft Entra и обхода полных доменных имен службы Microsoft Entra (FQDN) и IP-адресов.

Параметры туннеля:

1. На портале Strata Cloud Manager перейдите к процессам>Prisma Access Setup>GlobalProtect>GlobalProtect App>Tunnel Settings.
2. В разделе Split Tunneling исключите трафик, добавив домен и маршруты: *.globalsecureaccess.microsoft.com150.171.19.0/24, 150.171.20.0/24, 13.107.232.0/24, 13.107.233.0/24, 150.171.15.0/24, 150.171.18.0/24, 151.206.0.0/16, 6.6.0.0/16.

Параметры приложения:

1. На портале Strata Cloud Manager перейдите к рабочим процессам>>>>
2. Прокрутите страницу до Конфигурация приложений>Показать расширенные параметры>DNS и снимите галочку с пункта Разрешение всех полных доменных имён с помощью DNS-серверов, назначенных туннелем (только для Windows)

   Замечание

   Параметр "Разрешать все полные доменные имена с помощью DNS-серверов, назначенных туннелем (только для Windows)" следует отключить при использовании частного DNS Microsoft Entra (Конфигурации 1 и 2). Во время тестирования этот параметр был включен (установлен) для конфигураций 3 и 4.

3. Перейдите к Рабочим процессам>Настройка доступа Prisma>GlobalProtect>Приложение GlobalProtect. Выберите Push Config и Push в правой верхней части экрана.
4. Убедитесь, что конфигурация отправлена клиенту GlobalProtect. Перейдите к разделу Управление>Операциями>Состояние отправки.
5. Установите клиент Palo Alto Networks GlobalProtect. Дополнительные сведения об установке клиента Palo Alto Networks GlobalProtect для Windows см. в разделе "Приложение GlobalProtect для Windows". Для macOS см. приложение GlobalProtect для macOS. Чтобы настроить клиент GlobalProtect, есть много вариантов, таких как интеграция с Microsoft Entra ID для создания учетных записей. Дополнительные сведения о параметрах см. в статье об интеграции единого входа Microsoft Entra с Palo Alto Networks — GlobalProtect. Для наиболее простой настройки добавьте локального пользователя в GlobalProtect из Palo Alto Networks 'Strata Cloud Manager.
6. Перейдите к Управлению>Конфигурацией>NGFW и Prisma Access.
7. Выберите область конфигурации GlobalProtect, а затем выберите > и локальных пользователей и группы. Добавьте пользователя и пароль для тестирования.
8. После установки клиента пользователи вводят адрес портала и свои учетные данные.
9. После входа в систему значок подключения становится синим, и при щелчке отображается его подключенное состояние.

   Замечание

   В конфигурации 4, если у вас возникли проблемы с подключением к GlobalProtect с использованием локальных учетных записей, попробуйте настроить функцию единого входа Microsoft Entra.

Конфигурация 1: Частный доступ Microsoft Entra с Palo Alto Prisma Access для безопасного доступа к Интернету

В этом сценарии Глобальный безопасный доступ будет обрабатывать трафик частных приложений. Prisma Access будет записывать только интернет-трафик.

Конфигурация приватного доступа Microsoft Entra

Для этого сценария вам потребуется выполнить следующее.

• Включите профиль пересылки приватного доступа Microsoft Entra.
• Установите Коннектор Частной Сети для Microsoft Entra Private Access.
• Настройте быстрый доступ и настройте частный DNS.
• Установите и настройте клиент глобального безопасного доступа для Windows или macOS.

Конфигурация Palo Alto Prisma Access

Для этого сценария необходимо выполнить следующее на портале Palo Alto Strata Cloud Manager.

• Настройте GlobalProtect для мобильных пользователей.
• Настройте параметры туннеля GlobalProtect и настройки приложения для работы с Global Secure Access. Следуйте приведенным выше инструкциям в параметрах туннеля и параметрах приложений.
• Установите клиент Palo Alto Networks GlobalProtect для Windows, приложение GlobalProtect для Windows или macOS, приложение GlobalProtect для macOS.

После установки и параллельного выполнения обоих клиентов и настройки с порталов администрирования перейдите в системную область, чтобы убедиться, что включены клиенты Global Secure Access и GlobalProtect.

Проверьте конфигурацию клиента Global Secure Access.

1. Щелкните правой кнопкой мыши профиль расширенной пересылки диагностики > клиента > Global Secure Access и убедитесь, что к этому клиенту применяются правила приватного доступа и частного DNS.
2. Перейдите к расширенной диагностике проверки состояния > и убедитесь, что все проверки выполняются успешно.

Замечание

Сведения об устранении неполадок проверки работоспособности см. в разделе "Устранение неполадок клиента глобального безопасного доступа: проверка работоспособности " Глобальный безопасный доступ " | Microsoft Learn.

Тестирование потока трафика

1. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
2. Доступ к этим веб-сайтам из браузеров: salesforce.com, Instagram.com, yelp.com.
3. В области уведомлений щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика, вкладка >.
4. Прокрутите страницу, чтобы увидеть, что клиент глобального безопасного доступа не захватывает трафик с этих веб-сайтов.
5. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика. Проверьте, отсутствует ли в журналах трафика глобального безопасного доступа информация о трафике, связанном с этими сайтами.
6. Войдите в Palo Alto Networks "Strata Cloud Manager" и перейдите к средству >
7. Убедиться, что трафик, связанный с этими сайтами, присутствует в журналах Prisma Access.
8. Доступ к частному приложению, настроенном в Microsoft Entra Private Access. Например, доступ к общей папке через блок сообщений сервера (SMB).
9. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика.
10. Проверка трафика, связанного с общей папкой, фиксируется в журналах трафика глобального безопасного доступа.
11. Войдите в Palo Alto Networks "Strata Cloud Manager" и перейдите к средству > Убедитесь, что трафик, связанный с частным приложением, отсутствует в журналах.
12. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. В диалоговом окне "Трафик" выберите "Остановить сбор".
13. Прокрутите страницу, чтобы подтвердить, что клиент Глобального безопасного доступа обрабатывает только частный трафик приложения.

Конфигурация 2: Частный доступ Microsoft Entra с Palo Alto Prisma Access для частных приложений и доступа к Интернету

В этом сценарии оба клиента будут обрабатывать трафик для отдельных частных приложений. Частные приложения в частном доступе Microsoft Entra будут обрабатываться глобальным безопасным доступом, а частные приложения в подключениях к службам Prisma Access или соединителям ZTNA будут доступны через клиент GlobalProtect. Интернет-трафик будет обрабатываться Prisma Access.

Конфигурация приватного доступа Microsoft Entra

Для этого сценария вам потребуется:

• Включите профиль пересылки приватного доступа Microsoft Entra.
• Установите Коннектор Частной Сети для Microsoft Entra Private Access.
• Настройте быстрый доступ и настройте частный DNS.
• Установите и настройте клиент глобального безопасного доступа для Windows или macOS.

Конфигурация Palo Alto Networks

Для этого сценария необходимо выполнить следующее на портале Palo Alto Strata Cloud Manager.

• Настройте GlobalProtect для мобильных пользователей.
• Настройте параметры туннеля GlobalProtect и настройки приложения для работы с Global Secure Access. Следуйте приведенным выше инструкциям в параметрах туннеля и параметрах приложений.
• Установите клиент Palo Alto Networks GlobalProtect для Windows, приложение GlobalProtect для Windows или macOS, приложение GlobalProtect для macOS.

После установки и параллельного выполнения обоих клиентов и настройки с порталов администрирования перейдите в системную область, чтобы убедиться, что включены клиенты Global Secure Access и GlobalProtect.

Проверьте конфигурацию клиента Global Secure Access.

1. Щелкните правой кнопкой мыши профиль расширенной пересылки диагностики > клиента > Global Secure Access и убедитесь, что к этому клиенту применяются правила приватного доступа и частного DNS.
2. Перейдите к расширенной диагностике проверки состояния > и убедитесь, что все проверки выполняются успешно.

Замечание

Сведения об устранении неполадок проверки работоспособности см. в разделе "Устранение неполадок клиента глобального безопасного доступа: проверка работоспособности " Глобальный безопасный доступ " | Microsoft Learn.

Тестирование потока трафика

1. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
2. Доступ к этим веб-сайтам из браузеров: salesforce.com, Instagram.com, yelp.com.
3. В области уведомлений щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика, вкладка >.
4. Прокрутите страницу, чтобы увидеть, что клиент глобального безопасного доступа не захватывает трафик с этих веб-сайтов.
5. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика. Проверьте, отсутствует ли в журналах трафика глобального безопасного доступа информация о трафике, связанном с этими сайтами.
6. Войдите в Palo Alto Networks "Strata Cloud Manager" и перейдите к средству >
7. Убедиться, что трафик, связанный с этими сайтами, присутствует в журналах Prisma Access.
8. Доступ к частному приложению, настроенном в Microsoft Entra Private Access. Например, доступ к общей папке через блок сообщений сервера (SMB).
9. Доступ к частному приложению, настроенном в Prisma Access, через подключение к службе или соединитель ZTNA. Например, откройте сеанс RDP на частный сервер.
10. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика.
11. Проверьте, что трафик, связанный с частным приложением общей папки SMB, захватывается, а трафик, связанный с сеансом RDP, не захватывается в журналах данных о трафике глобального безопасного доступа.
12. Войдите в Palo Alto Networks "Strata Cloud Manager" и перейдите к средству > Убедитесь, что трафик, связанный с частным сеансом RDP, присутствует, и что трафик, связанный с общей папкой SMB, отсутствует в журналах.
13. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. В диалоговом окне сетевого трафика нажмите кнопку "Остановить сбор".
14. Прокрутите страницу, чтобы подтвердить, что клиент Глобального безопасного доступа обрабатывал частный трафик приложения для общей папки SMB и не обрабатывал трафик сеанса RDP.

Конфигурация 3: Microsoft Entra, Microsoft Access с Palo Alto Prisma Access для доступа к частным приложениям и в Интернет

В этом сценарии глобальный безопасный доступ будет обрабатывать весь трафик Microsoft 365. Prisma Access будет обрабатывать частные приложения через подключение к службе, ZTNA-коннекторы и интернет-трафик.

Конфигурация Microsoft Entra Microsoft Access

Для этого сценария вам потребуется:

• Включите профиль пересылки Microsoft Entra для Microsoft Access.
• Установите и настройте клиент глобального безопасного доступа для Windows или macOS.

Конфигурация Palo Alto Networks

Для этого сценария необходимо выполнить следующее на портале Palo Alto Strata Cloud Manager.

• Настройте GlobalProtect для мобильных пользователей.
• Настройте параметры туннеля GlobalProtect и настройки приложения для работы с Global Secure Access. Следуйте приведенным выше инструкциям в параметрах туннеля и параметрах приложений.
• Установите клиент Palo Alto Networks GlobalProtect для Windows, приложение GlobalProtect для Windows или macOS, приложение GlobalProtect для macOS.

Замечание

Для этой конфигурации в параметрах приложения включите разрешение всех полных доменных имен с помощью DNS-серверов, назначенных туннелем (только для Windows).

После установки и параллельного выполнения обоих клиентов и настройки с порталов администрирования перейдите в системную область, чтобы убедиться, что включены клиенты Global Secure Access и GlobalProtect.

Проверьте конфигурацию клиента Global Secure Access.

1. Щелкните правой кнопкой мыши профиль расширенной пересылки диагностики > клиента > Global Secure Access и убедитесь, что к этому клиенту применяются правила Microsoft 365.
2. Перейдите к расширенной диагностике проверки состояния > и убедитесь, что все проверки выполняются успешно.

Замечание

Сведения об устранении неполадок проверки работоспособности см. в разделе "Устранение неполадок клиента глобального безопасного доступа: проверка работоспособности " Глобальный безопасный доступ " | Microsoft Learn.

Тестирование потока трафика

1. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
2. Доступ к этим веб-сайтам из браузеров: salesforce.com, Instagram.com, yelp.com.
3. В области уведомлений щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика, вкладка >.
4. Прокрутите страницу, чтобы увидеть, что клиент глобального безопасного доступа не захватывает трафик с этих веб-сайтов.
5. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика. Проверьте, отсутствует ли в журналах трафика глобального безопасного доступа информация о трафике, связанном с этими сайтами.
6. Войдите в Palo Alto Networks "Strata Cloud Manager" и перейдите к средству >
7. Убедиться, что трафик, связанный с этими сайтами, присутствует в журналах Prisma Access.
8. Доступ к частному приложению, настроенном в Prisma Access, через подключение к службе или соединитель ZTNA. Например, откройте сеанс RDP на частный сервер.
9. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика.
10. Убедитесь, что трафик, связанный с сеансом RDP, отсутствует в журналах трафика Глобального безопасного доступа.
11. Войдите в Palo Alto Networks "Strata Cloud Manager" и перейдите к средству > Убедитесь, что трафик, связанный с сеансом RDP, представлен в журналах Prisma Access.
12. Доступ к Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
13. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. В диалоговом окне "Трафик" выберите "Остановить сбор".
14. Прокрутите страницу, чтобы подтвердить, что клиент глобального безопасного доступа обрабатывает только трафик Microsoft 365.
15. Вы также можете проверить, фиксируется ли трафик в журналах трафика глобального безопасного доступа. В Центре администрирования Microsoft Entra перейдите к Глобальный безопасный доступ>Монитор>Журналы трафика.
16. Проверка отсутствия трафика, связанного с Outlook Online и SharePoint Online, в журналах Prisma Access в "Инциденты и оповещения Strata Cloud Manager" и "Средство просмотра журналов".

Конфигурация 4. Microsoft Entra Internet Access и Microsoft Entra Microsoft Access с Palo Alto Prisma Access для частного доступа к приложениям

В этом сценарии глобальный безопасный доступ будет обрабатывать Интернет и трафик Майкрософт. Prisma Access будет записывать только частный трафик приложения через подключение службы или соединители ZTNA.

Конфигурация Microsoft Entra Internet и Microsoft Access

Для этого сценария вам потребуется выполнить следующее.

• Включите профиль пересылки Microsoft Entra Microsoft Access и профиль пересылки Microsoft Entra Internet Access.
• Установите и настройте клиент глобального безопасного доступа для Windows или macOS.
• Добавьте настраиваемый обход в профиле перенаправления трафика Microsoft Entra Internet Access, чтобы исключить полное доменное имя службы Prisma Access.

Добавьте пользовательский обход для Prisma Access в глобальный безопасный доступ:

1. Войдите в Центр администрирования Microsoft Entra и перейдите к Global Secure Access>Connect>Форвардинг трафика>профиль доступа к Интернету> В разделе Политики доступа к Интернету> выберите "Просмотр".
2. Разверните Пользовательский обход> Выберите Добавить правило.
3. Оставьте тип назначения полное доменное имя, а в Назначение введите *.gpcloudservice.com.
4. Нажмите кнопку "Сохранить".

Конфигурация Palo Alto Networks

Для этого сценария необходимо выполнить следующее на портале Palo Alto Strata Cloud Manager.

• Настройте GlobalProtect для мобильных пользователей.
• Настройте параметры туннеля GlobalProtect и настройки приложения для работы с Global Secure Access. Следуйте приведенным выше инструкциям в параметрах туннеля и параметрах приложений.
• Установите клиент Palo Alto Networks GlobalProtect для Windows, приложение GlobalProtect для Windows или macOS, приложение GlobalProtect для macOS.

Замечание

Для этой конфигурации в параметрах приложения включите разрешение всех полных доменных имен с помощью DNS-серверов, назначенных туннелем (только для Windows).

После установки и параллельного выполнения обоих клиентов и настройки с порталов администрирования перейдите в системную область, чтобы убедиться, что включены клиенты Global Secure Access и GlobalProtect.

Проверьте конфигурацию клиента Global Secure Access.

1. Щелкните правой кнопкой мыши на профиле переадресации > расширенной диагностики клиента > Global Secure Access и убедитесь, что к этому клиенту применяются правила Microsoft 365 и Internet Access.
2. Перейдите к расширенной диагностике проверки состояния > и убедитесь, что все проверки выполняются успешно.

Замечание

Сведения об устранении неполадок проверки работоспособности см. в разделе "Устранение неполадок клиента глобального безопасного доступа: проверка работоспособности " Глобальный безопасный доступ " | Microsoft Learn.

Тестирование потока трафика

1. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. Выберите вкладку "Трафик" и нажмите кнопку "Начать сбор".
2. Доступ к этим веб-сайтам из браузера: bing.com, salesforce.com, Instagram.com, Outlook Online (outlook.com, outlook.office.com, outlook.office365.com), SharePoint Online (<yourtenantdomain>.sharepoint.com).
3. Войдите в Центр администрирования Microsoft Entra и перейдите в Глобальный безопасный доступ>Монитор>Журналы трафика. Убедитесь, что трафик, связанный с этими сайтами, фиксируется в журналах трафика глобального безопасного доступа.
4. Доступ к частному приложению, настроенном в Prisma Access, через подключение к службе или соединитель ZTNA. Например, откройте сеанс RDP на частный сервер.
5. Войдите в Palo Alto Networks "Strata Cloud Manager" и перейдите к средству > Убедитесь, что трафик, связанный с сеансом RDP, присутствует, а трафик, связанный с Microsoft 365 и интернет-трафиком, например, Instagram.com, Outlook Online и SharePoint Online, отсутствует в журналах Prisma Access.
6. В системном лотке щелкните правой кнопкой мыши на Global Secure Access Client и выберите Расширенная диагностика. В диалоговом окне сетевого трафика нажмите кнопку "Остановить сбор".
7. Прокрутите страницу, чтобы увидеть, что клиент глобального безопасного доступа не захватывает трафик из частного приложения. Кроме того, обратите внимание, что клиент Глобального безопасного доступа фиксирует трафик для Microsoft 365 и другого интернет-трафика.

Дальнейшие шаги

- Что такое глобальный безопасный доступ?