برای مشاهده جدیدترین اطلاعیه‌های امنیت سایبری، به سایت رایانش ابری آوید سر بزنید.

داستان مسیر خلق راکارد سازمانی

اخبار, بلاگ
1405-02-12
زمان مطالعه 7 دقیقه

فهرست مطالب

فهرست مطالب

آغاز امنیت؛ زمانی که دسترسی از راه دور باید بی‌خطر باشد…

جایی که داستان راکارد وارد فاز «سازمانی» می‌شود و همان نیاز واقعی، این‌بار در مقیاس Enterprise روایت می‌شود؛ در این بخش، از دل گفت‌وگو با تیم آوید می‌بینیم نسخه سازمانی نرم‌افزار دسترسی از راه دور راکارد چطور متولد شد، بر چه اصول امنیتی و معماری‌ای مثل Mux و Access استوار است و دقیقاً کدام دردِ دسترسی از راه دور را برای سازمان‌ها و تیم‌های حرفه‌ای درمان می‌کند.

چالش‌های امنیتی که راکارد سازمانی حل می‌کند!

بسیاری از سازمان‌ها در مدیریت دسترسی از راه دور با مشکلات امنیتی و عملیاتی مواجه هستند. راکارد سازمانی برای حل این چالش‌ها و ایجاد یک راهکار امن و یکپارچه طراحی شده است. مهم‌ترین این چالش‌ها عبارت‌اند از:

  • استفاده از نرم‌افزارهای کرک‌شده در سازمان
  • نیاز به جایگزین ساده‌تر و امن‌تر برای PAM
  • استفاده از ابزارهای ناامن مانند RDP و VNC
  • نیاز به تداوم فعالیت در شرایط بحرانی
  • ضرورت دورکاری امن بدون ابزارهای غیرقانونی
  • باز بودن پورت‌های متعدد و افزایش ریسک امنیتی

ایده اصلی نسخه سازمانی راکارد

با توجه به قدرت معماری راکارد، مشخص شد که این پلتفرم می‌تواند جایگزین چندین ابزار پراکنده شود و دسترسی راه‌دور سازمانی را یکپارچه کند. نسخه سازمانی Rakaard بر همین اساس توسعه یافت تا نقش ابزارهای زیر را در یک سامانه واحد بر عهده بگیرد:

  • جایگزین مناسب برای سامانه‌های PAM
  • جایگزین Remote Server‌های سنتی
  • جایگزین ابزارهای متفرقه ریموت دسکتاپ

مزیت‌های نسخه سازمانی راکارد

  • نرم‌افزار قانونی و بدون نیاز به کرک
  • توسعه و پشتیبانی توسط تیم باسابقه آوید
  • امکان استقرار کاملاً داخلی (Local Deployment)
  • پایداری بیشتر، امنیت بالاتر و مدیریت ساده‌تر

معماری سازمانی راکارد؛ Mux و Access

در طراحی راکارد، معماری سرور بر پایه‌ی دو موجودیت اصلی شکل گرفته است: سرور Mux و سرور Access. این دو بخش با نقش‌ها و سطح دسترسی متفاوت، ستون‌های اصلی امنیت و ایزوله‌سازی در سامانه را تشکیل می‌دهند.

      • سرور Mux؛ نقطه اتصال ایمن بین Agentها

  • مدیریت ارتباط بین دو نقطه برای برقراری اتصال ایمن انجام می‌شود.
  • عدم دسترسی به شبکه داخلی و نبود ترافیک مستقیم به سیستم‌های حیاتی.
  • مصرف کم منابع سرور و امکان استقرار روی ماشین مجازی سبک.
  • رعایت کامل Zero Trust و عدم دسترسی حتی در صورت نفوذ احتمالی.
  • دید یک‌طرفه ایجنت‌ها بدون دید یا دسترسی Mux به شبکه داخلی.

      • سرور Access؛ مرکز مدیریت و کنترل سازمان

  • رابط مدیریتی اصلی برای کنترل دسترسی‌ها، کاربران و تنظیمات سازمان است.
  • برقراری ارتباط با Mux به‌صورت مستقیم و مدیریت‌شده توسط Access انجام می‌شود.
  • ارتباط مدیریتی یک‌بار مصرف که پس از انجام عملیات به‌طور کامل قطع می‌شود.
  • محیط مدیریتی ایزوله و تنها مسیر کنترل امن برای مدیریت کل سامانه.

      • فلسفه امنیتی در معماری راکارد

  • ایزوله‌سازی Mux: سرور Mux تنها توسط ایجنت‌ها قابل مشاهده است و هیچ دسترسی مستقیمی به شبکه داخلی ندارد.
  • کاهش سطح حمله: حتی در صورت نفوذ احتمالی به Mux، سیستم‌های سازمانی ایمن باقی می‌مانند.
  • جلوگیری از ترافیک مدیریتی مستقیم: هیچ جریان مدیریتی از Mux به داخل شبکه برقرار نمی‌شود.

      • تفاوت راکارد با راهکارهای PAM

در بسیاری از سامانه‌های PAM، سرور مرکزی مستقیماً به سرویس‌های حیاتی مانند RDP، SSH یا پایگاه‌های داده دسترسی دارد و در صورت نفوذ به آن سرور، کل زیرساخت سازمان در معرض خطر قرار می‌گیرد. اما در Rakaard معماری به‌صورت معکوس طراحی شده است؛ همه ایجنت‌ها سرور Mux را می‌بینند، در حالی‌که Mux هیچ دید یا دسترسی مستقیمی به سیستم‌ها و شبکه داخلی ندارد. به همین دلیل حتی در شرایط بحرانی یا در صورت نفوذ احتمالی، امنیت هسته اصلی شبکه و سامانه‌های سازمانی همچنان حفظ می‌شود.

کنترل هویت و پذیرش کاربران در نسخه سازمانی راکارد

فرآیند مدیریت کاربران در نسخه عمومی و سازمانی راکارد تفاوت اساسی دارد. در نسخه عمومی، کاربر پس از نصب Agent فوراً یک ID دریافت می‌کند و می‌تواند درخواست اتصال ارسال کند. اما در نسخه سازمانی، ورود کاربران کاملاً کنترل‌شده است و هیچ کاربری به‌صورت خودکار پذیرفته نمی‌شود. این فرآیند در سه مرحله انجام می‌شود:

  • مرحله شناسایی: اطلاعات Agent برای اولین‌بار ارسال می‌شود و درخواست در بخش Pending دیده می‌شود.
  • مرحله ثبت نام: پس از تأیید ادمین، کاربر در سامانه رجیستر می‌گردد اما هنوز هیچ دسترسی فعالی ندارد.
  • مرحله اعطای دسترسی: ادمین سطح دسترسی کاربر را مشخص می‌کند و اتصال مجاز تنها در جهت تعریف‌شده است.

مدل دسترسی کاربرمحور در راکارد

در راکارد، شناسه‌ها User-Based هستند، نه Host-Based؛ یعنی برخلاف بسیاری از ابزارهای مشابه که یک شناسه (ID) به کل Host می‌دهند، در اینجا تمرکز روی «کاربر» است نه فقط «دستگاه».

  • هر یوزر روی هر PC شناسه جدا دارد و وابستگی شناسه‌ها بر اساس کاربر تعریف می‌شود.
  • وضعیت آنلاین‌بودن هر یوزر روی هر دستگاه در پنل مدیریتی به‌صورت دقیق قابل مشاهده است.
  • سطح دسترسی و پرمیشن‌های مستقل برای هر یوزر قابل تنظیم و مدیریت توسط مدیر سیستم است.
  • عدم ذخیره‌شدن ID در سمت کاربر احتمال سوءاستفاده از اطلاعات و متادیتا را به حداقل می‌رساند.

پنل مدیریت سازمانی راکارد؛ مرکز کنترل دسترسی‌ها

در نسخه سازمانی راکارد، مدیران سیستم از طریق یک رابط وب اختصاصی (Access Panel) می‌توانند تمام کاربران، دستگاه‌ها و دسترسی‌های سیستم را به‌صورت متمرکز مدیریت کنند. این پنل مدیریتی به‌گونه‌ای طراحی شده که شفافیت کامل در وضعیت کاربران و اتصال‌ها ایجاد کند و ادمین بتواند به‌سادگی وضعیت کل سامانه را مشاهده و کنترل کند.

امکانات اصلی پنل مدیریت:

  • مدیریت کاربران رجیسترشده:

    نمایش فهرست کامل کاربران همراه با اطلاعات پایه مانند شناسه (ID)، آدرس IP و داده‌های سیستمی ارسال‌شده توسط Agent، با امکان بررسی وضعیت و مشخصات هر کاربر در سامانه.

  • مشاهده و مدیریت دستگاه‌ها:
    نمایش لیست تمامی سیستم‌ها و دستگاه‌های متصل به سامانه و ارتباط هر دستگاه با کاربران مربوطه، به‌گونه‌ای که مدیر بتواند ساختار ارتباطی سیستم‌ها را به‌صورت شفاف مشاهده کند.

  • تعریف و مدیریت ادمین‌ها:

    امکان تعیین یک یا چند کاربر به‌عنوان مدیر سیستم تا بتوانند بدون نیاز به تأیید کاربر مقصد به سیستم‌ها متصل شوند و دسترسی‌های مدیریتی لازم را در اختیار داشته باشند.

  • مدیریت درخواست‌های در انتظار:

    نمایش Agentهایی که برای دریافت شناسه در صف انتظار قرار دارند و فراهم بودن امکان بررسی، تأیید یا رد این درخواست‌ها توسط مدیر از طریق پنل مدیریتی.

  • گزارش‌گیری و تحلیل اتصال‌ها: 

    نمایش تاریخچه اتصال‌ها و ارتباط‌های فعال شامل کاربر متصل‌شونده، سیستم مقصد، زمان شروع اتصال و مدت زمان استفاده برای بررسی و تحلیل عملکرد سامانه.

  • طراحی کاملاً User‑Based و شفاف:
    ساختار مدیریتی سامانه بر اساس هویت کاربران طراحی شده و تمامی دسترسی‌ها، ارتباط‌ها و فعالیت‌ها به‌صورت شفاف و قابل پیگیری در پنل مدیریتی قابل مشاهده است.

Agent سازمانی با پیکربندی اختصاصی سرور

Agent راکارد امکان تعریف چند سرور را در خود دارد و به‌صورت هم‌زمان می‌تواند به نسخه عمومی و چند نسخه سازمانی متصل شود. برای هر سازمان یک بیلد اختصاصی ارائه می‌شود تا Agent مطابق نیازهای همان سازمان شخصی‌سازی شده و سرور سازمان در آن از ابتدا تنظیم باشد.

  • ارائه بیلد اختصاصی برای هر سازمان
  • امکان تعریف هم‌زمان چند سرور در Agent
  • پشتیبانی از نسخه Public و چند نسخه سازمانی
  • تنظیم پیش‌فرض سرور سازمان در Agent اختصاصی

دورکاری امن و کنترل شده با راکارد

راکارد امکان پیاده‌سازی سناریوی دورکاری امن را بدون باز کردن پورت‌های حساس فراهم می‌کند و کنترل کامل دسترسی در اختیار ادمین است.

  • ثبت کاربر بدون دسترسی تا زمان تعریف Access اختصاصی.
  • امکان تعریف ID اختصاصی و احراز هویت دومرحله‌ای (TOTP).
  • اتصال امن، کنترل‌شده و منطبق با سیاست‌های امنیتی سازمان.
  • شناسایی کاربر دورکار و انتظار در وضعیت Pending تا تأیید ادمین.

مدیریت امن پیمانکاران در معماری راکارد

پیمانکاران مشابه کاربران دورکار مدیریت می‌شوند اما نوع دسترسی آنها متفاوت است؛ پیمانکار مستقیم به سرویس‌ها و سرورها وصل می‌شود. برخلاف ساختارهای رایج مانند PAM، در راکارد هیچ سروری پورت‌های حیاتی را نمی‌بیند زیرا تمام اتصال‌ها از طریق Mux انجام می‌شود.

  • پیمانکاران به سرویس‌ها متصل می‌شوند، نه به سیستم شخصی.
  • Mux هیچ‌کدام از سرویس‌های حساس را مستقیماً نمی‌بیند.
  • در صورت بروز مشکل، Mux به‌طور پیش‌فرض دسترسی حیاتی ندارد.
  • امنیت شبکه نسبت به روش‌های PAM به‌طور چشمگیر افزایش می‌یابد.

ثبت کامل رخدادها و تحلیل امنیتی اتصال‌ها

راکارد از یک سیستم لاگ استاندارد استفاده می‌کند که تمام رویدادهای مربوط به اتصال کاربران را ثبت می‌کند. این داده‌ها می‌توانند برای تحلیل امنیتی و گزارش‌سازی به سامانه‌های مدیریتی ارسال شوند.

  • ثبت کامل رویداد از شروع اتصال تا پایان
  • امکان اجرای اسکریپت‌ها و گزارش‌های سفارشی
  • ذخیره‌سازی در فرمت استاندارد برای SIEM و ELK
  • تست داخلی نشان‌دهندهٔ سطح دیتیل کامل برای گزارش‌سازی

کاهش سطح حمله با حذف پورت‌های مدیریتی

یکی از اهداف مهم در توسعه راکارد حذف نیاز به باز بودن پورت‌های مدیریتی در شبکه است. با استفاده از Agent می‌توان بدون باز بودن پورت‌های سنتی مانند SSH یا RDP به سیستم‌ها دسترسی مدیریتی داشت.

  • تنها یک پورت: پورت Mux
  • دسترسی به ترمینال لینوکس بدون SSH
  • دسترسی به PowerShell بدون پورت‌های باز
  • کاهش چشمگیر Attack Surface و افزایش امنیت

کارایی بالا با معماری سبک و بهینه

راکارد با هدف اجرا روی زیرساخت‌های سبک طراحی شده است. استفاده از زبان‌های کامپایل‌شونده و طراحی بهینه باعث شده مصرف منابع پایین و کارایی سیستم بالا باشد.

  • مصرف پایین RAM و CPU
  • توسعه با زبان‌های سریع مانند ++C
  • بهینه‌سازی پردازش‌ها در سمت سرور
  • امکان مدیریت تعداد زیادی اتصال روی یک VM ساده

راکارد؛ بخشی از یک پلتفرم بزرگ‌تر

راکارد تنها یک ابزار مستقل نیست و روی پلتفرم بزرگ‌تری به نام PVM (در حال تغییر نام به پلایوید) توسعه یافته است. این پلتفرم مجموعه‌ای از پروژه‌های مختلف را در یک معماری یکپارچه ارائه می‌دهد.

  • پلتفرمی با بیش از ۱۷۰ زیرپروژه
  • توسعه چندین پروژه توسط تیم راکارد
  • افزایش سرعت توسعه و یکپارچگی معماری
  • پیاده‌سازی مشترک قابلیت‌هایی مانند لاگ و تحلیل

پشتیبانی سازمانی و تجربه عملیاتی

تیم توسعه‌دهنده راکارد پیش از این تجربه اجرای پروژه‌های سازمانی بزرگ را داشته است. همین تجربه باعث شده نسخه سازمانی راکارد با نگاه عملیاتی و پشتیبانی حرفه‌ای ارائه شود.

  •  سابقه توسعه و اجرای پروژه‌های بزرگ سازمانی
  • شناخت دقیق نیازهای امنیتی و عملیاتی سازمان‌ها
  • ارائه پشتیبانی ۲۴ ساعته برای نسخه سازمانی…

راکارد، هم‌نفس تیم شما؛ نه صرفاً میهمان سرورهایتان

نسخه سازمانی Rakaard متناسب با معماری فناوری‌اطلاعات شما داخل سازمان نصب می‌شود و تمام دیتا و ترافیک دسترسی از راه دور را درون شبکه‌تان مدیریت می‌کند؛ مگر این‌که خودتان برای دورکاری یا پیمانکاران، عمداً درگاه بیرونی تعریف کنید. در صورت علاقه، می‌توانید از طریق وب‌سایت درخواست نسخه سازمانی را ثبت کنید تا تیم ما برای دمو و بررسی نیازهای سازمانی با شما در تماس باشد.

ما فقط نرم‌افزار نمی‌دهیم؛ یک راهکار کامل و همراهی بلندمدت برای امنیت دسترسی‌های راه دور سازمان‌تان ارائه می‌کنیم.

بهترین راه استفاده را برای سناریوی خودتان پیدا کنید

سناریوی شما را بررسی می‌کنیم و بهترین گزینه، زمان‌بندی و الزامات را پیشنهاد می‌دهیم.

درخواست مشاوره

درخواست دمو