آغاز امنیت؛ زمانی که دسترسی از راه دور باید بیخطر باشد…
جایی که داستان راکارد وارد فاز «سازمانی» میشود و همان نیاز واقعی، اینبار در مقیاس Enterprise روایت میشود؛ در این بخش، از دل گفتوگو با تیم آوید میبینیم نسخه سازمانی نرمافزار دسترسی از راه دور راکارد چطور متولد شد، بر چه اصول امنیتی و معماریای مثل Mux و Access استوار است و دقیقاً کدام دردِ دسترسی از راه دور را برای سازمانها و تیمهای حرفهای درمان میکند.
چالشهای امنیتی که راکارد سازمانی حل میکند!
بسیاری از سازمانها در مدیریت دسترسی از راه دور با مشکلات امنیتی و عملیاتی مواجه هستند. راکارد سازمانی برای حل این چالشها و ایجاد یک راهکار امن و یکپارچه طراحی شده است. مهمترین این چالشها عبارتاند از:
- استفاده از نرمافزارهای کرکشده در سازمان
- نیاز به جایگزین سادهتر و امنتر برای PAM
- استفاده از ابزارهای ناامن مانند RDP و VNC
- نیاز به تداوم فعالیت در شرایط بحرانی
- ضرورت دورکاری امن بدون ابزارهای غیرقانونی
- باز بودن پورتهای متعدد و افزایش ریسک امنیتی
ایده اصلی نسخه سازمانی راکارد
با توجه به قدرت معماری راکارد، مشخص شد که این پلتفرم میتواند جایگزین چندین ابزار پراکنده شود و دسترسی راهدور سازمانی را یکپارچه کند. نسخه سازمانی Rakaard بر همین اساس توسعه یافت تا نقش ابزارهای زیر را در یک سامانه واحد بر عهده بگیرد:
- جایگزین مناسب برای سامانههای PAM
- جایگزین Remote Serverهای سنتی
- جایگزین ابزارهای متفرقه ریموت دسکتاپ
مزیتهای نسخه سازمانی راکارد
- نرمافزار قانونی و بدون نیاز به کرک
- توسعه و پشتیبانی توسط تیم باسابقه آوید
- امکان استقرار کاملاً داخلی (Local Deployment)
- پایداری بیشتر، امنیت بالاتر و مدیریت سادهتر
معماری سازمانی راکارد؛ Mux و Access
در طراحی راکارد، معماری سرور بر پایهی دو موجودیت اصلی شکل گرفته است: سرور Mux و سرور Access. این دو بخش با نقشها و سطح دسترسی متفاوت، ستونهای اصلی امنیت و ایزولهسازی در سامانه را تشکیل میدهند.
• سرور Mux؛ نقطه اتصال ایمن بین Agentها
- مدیریت ارتباط بین دو نقطه برای برقراری اتصال ایمن انجام میشود.
- عدم دسترسی به شبکه داخلی و نبود ترافیک مستقیم به سیستمهای حیاتی.
- مصرف کم منابع سرور و امکان استقرار روی ماشین مجازی سبک.
- رعایت کامل Zero Trust و عدم دسترسی حتی در صورت نفوذ احتمالی.
- دید یکطرفه ایجنتها بدون دید یا دسترسی Mux به شبکه داخلی.
• سرور Access؛ مرکز مدیریت و کنترل سازمان
- رابط مدیریتی اصلی برای کنترل دسترسیها، کاربران و تنظیمات سازمان است.
- برقراری ارتباط با Mux بهصورت مستقیم و مدیریتشده توسط Access انجام میشود.
- ارتباط مدیریتی یکبار مصرف که پس از انجام عملیات بهطور کامل قطع میشود.
- محیط مدیریتی ایزوله و تنها مسیر کنترل امن برای مدیریت کل سامانه.
• فلسفه امنیتی در معماری راکارد
- ایزولهسازی Mux: سرور Mux تنها توسط ایجنتها قابل مشاهده است و هیچ دسترسی مستقیمی به شبکه داخلی ندارد.
- کاهش سطح حمله: حتی در صورت نفوذ احتمالی به Mux، سیستمهای سازمانی ایمن باقی میمانند.
- جلوگیری از ترافیک مدیریتی مستقیم: هیچ جریان مدیریتی از Mux به داخل شبکه برقرار نمیشود.
• تفاوت راکارد با راهکارهای PAM
در بسیاری از سامانههای PAM، سرور مرکزی مستقیماً به سرویسهای حیاتی مانند RDP، SSH یا پایگاههای داده دسترسی دارد و در صورت نفوذ به آن سرور، کل زیرساخت سازمان در معرض خطر قرار میگیرد. اما در Rakaard معماری بهصورت معکوس طراحی شده است؛ همه ایجنتها سرور Mux را میبینند، در حالیکه Mux هیچ دید یا دسترسی مستقیمی به سیستمها و شبکه داخلی ندارد. به همین دلیل حتی در شرایط بحرانی یا در صورت نفوذ احتمالی، امنیت هسته اصلی شبکه و سامانههای سازمانی همچنان حفظ میشود.
کنترل هویت و پذیرش کاربران در نسخه سازمانی راکارد
فرآیند مدیریت کاربران در نسخه عمومی و سازمانی راکارد تفاوت اساسی دارد. در نسخه عمومی، کاربر پس از نصب Agent فوراً یک ID دریافت میکند و میتواند درخواست اتصال ارسال کند. اما در نسخه سازمانی، ورود کاربران کاملاً کنترلشده است و هیچ کاربری بهصورت خودکار پذیرفته نمیشود. این فرآیند در سه مرحله انجام میشود:
- مرحله شناسایی: اطلاعات Agent برای اولینبار ارسال میشود و درخواست در بخش Pending دیده میشود.
- مرحله ثبت نام: پس از تأیید ادمین، کاربر در سامانه رجیستر میگردد اما هنوز هیچ دسترسی فعالی ندارد.
- مرحله اعطای دسترسی: ادمین سطح دسترسی کاربر را مشخص میکند و اتصال مجاز تنها در جهت تعریفشده است.
مدل دسترسی کاربرمحور در راکارد
در راکارد، شناسهها User-Based هستند، نه Host-Based؛ یعنی برخلاف بسیاری از ابزارهای مشابه که یک شناسه (ID) به کل Host میدهند، در اینجا تمرکز روی «کاربر» است نه فقط «دستگاه».
- هر یوزر روی هر PC شناسه جدا دارد و وابستگی شناسهها بر اساس کاربر تعریف میشود.
- وضعیت آنلاینبودن هر یوزر روی هر دستگاه در پنل مدیریتی بهصورت دقیق قابل مشاهده است.
- سطح دسترسی و پرمیشنهای مستقل برای هر یوزر قابل تنظیم و مدیریت توسط مدیر سیستم است.
- عدم ذخیرهشدن ID در سمت کاربر احتمال سوءاستفاده از اطلاعات و متادیتا را به حداقل میرساند.
پنل مدیریت سازمانی راکارد؛ مرکز کنترل دسترسیها
در نسخه سازمانی راکارد، مدیران سیستم از طریق یک رابط وب اختصاصی (Access Panel) میتوانند تمام کاربران، دستگاهها و دسترسیهای سیستم را بهصورت متمرکز مدیریت کنند. این پنل مدیریتی بهگونهای طراحی شده که شفافیت کامل در وضعیت کاربران و اتصالها ایجاد کند و ادمین بتواند بهسادگی وضعیت کل سامانه را مشاهده و کنترل کند.
امکانات اصلی پنل مدیریت:
- مدیریت کاربران رجیسترشده:
نمایش فهرست کامل کاربران همراه با اطلاعات پایه مانند شناسه (ID)، آدرس IP و دادههای سیستمی ارسالشده توسط Agent، با امکان بررسی وضعیت و مشخصات هر کاربر در سامانه.
مشاهده و مدیریت دستگاهها:
نمایش لیست تمامی سیستمها و دستگاههای متصل به سامانه و ارتباط هر دستگاه با کاربران مربوطه، بهگونهای که مدیر بتواند ساختار ارتباطی سیستمها را بهصورت شفاف مشاهده کند.- تعریف و مدیریت ادمینها:
امکان تعیین یک یا چند کاربر بهعنوان مدیر سیستم تا بتوانند بدون نیاز به تأیید کاربر مقصد به سیستمها متصل شوند و دسترسیهای مدیریتی لازم را در اختیار داشته باشند.
- مدیریت درخواستهای در انتظار:
نمایش Agentهایی که برای دریافت شناسه در صف انتظار قرار دارند و فراهم بودن امکان بررسی، تأیید یا رد این درخواستها توسط مدیر از طریق پنل مدیریتی.
- گزارشگیری و تحلیل اتصالها:
نمایش تاریخچه اتصالها و ارتباطهای فعال شامل کاربر متصلشونده، سیستم مقصد، زمان شروع اتصال و مدت زمان استفاده برای بررسی و تحلیل عملکرد سامانه.
- طراحی کاملاً User‑Based و شفاف:
ساختار مدیریتی سامانه بر اساس هویت کاربران طراحی شده و تمامی دسترسیها، ارتباطها و فعالیتها بهصورت شفاف و قابل پیگیری در پنل مدیریتی قابل مشاهده است.
Agent سازمانی با پیکربندی اختصاصی سرور
Agent راکارد امکان تعریف چند سرور را در خود دارد و بهصورت همزمان میتواند به نسخه عمومی و چند نسخه سازمانی متصل شود. برای هر سازمان یک بیلد اختصاصی ارائه میشود تا Agent مطابق نیازهای همان سازمان شخصیسازی شده و سرور سازمان در آن از ابتدا تنظیم باشد.
- ارائه بیلد اختصاصی برای هر سازمان
- امکان تعریف همزمان چند سرور در Agent
- پشتیبانی از نسخه Public و چند نسخه سازمانی
- تنظیم پیشفرض سرور سازمان در Agent اختصاصی
دورکاری امن و کنترل شده با راکارد
راکارد امکان پیادهسازی سناریوی دورکاری امن را بدون باز کردن پورتهای حساس فراهم میکند و کنترل کامل دسترسی در اختیار ادمین است.
- ثبت کاربر بدون دسترسی تا زمان تعریف Access اختصاصی.
- امکان تعریف ID اختصاصی و احراز هویت دومرحلهای (TOTP).
- اتصال امن، کنترلشده و منطبق با سیاستهای امنیتی سازمان.
- شناسایی کاربر دورکار و انتظار در وضعیت Pending تا تأیید ادمین.
مدیریت امن پیمانکاران در معماری راکارد
پیمانکاران مشابه کاربران دورکار مدیریت میشوند اما نوع دسترسی آنها متفاوت است؛ پیمانکار مستقیم به سرویسها و سرورها وصل میشود. برخلاف ساختارهای رایج مانند PAM، در راکارد هیچ سروری پورتهای حیاتی را نمیبیند زیرا تمام اتصالها از طریق Mux انجام میشود.
- پیمانکاران به سرویسها متصل میشوند، نه به سیستم شخصی.
- Mux هیچکدام از سرویسهای حساس را مستقیماً نمیبیند.
- در صورت بروز مشکل، Mux بهطور پیشفرض دسترسی حیاتی ندارد.
- امنیت شبکه نسبت به روشهای PAM بهطور چشمگیر افزایش مییابد.
ثبت کامل رخدادها و تحلیل امنیتی اتصالها
راکارد از یک سیستم لاگ استاندارد استفاده میکند که تمام رویدادهای مربوط به اتصال کاربران را ثبت میکند. این دادهها میتوانند برای تحلیل امنیتی و گزارشسازی به سامانههای مدیریتی ارسال شوند.
- ثبت کامل رویداد از شروع اتصال تا پایان
- امکان اجرای اسکریپتها و گزارشهای سفارشی
- ذخیرهسازی در فرمت استاندارد برای SIEM و ELK
- تست داخلی نشاندهندهٔ سطح دیتیل کامل برای گزارشسازی
کاهش سطح حمله با حذف پورتهای مدیریتی
یکی از اهداف مهم در توسعه راکارد حذف نیاز به باز بودن پورتهای مدیریتی در شبکه است. با استفاده از Agent میتوان بدون باز بودن پورتهای سنتی مانند SSH یا RDP به سیستمها دسترسی مدیریتی داشت.
- تنها یک پورت: پورت Mux
- دسترسی به ترمینال لینوکس بدون SSH
- دسترسی به PowerShell بدون پورتهای باز
- کاهش چشمگیر Attack Surface و افزایش امنیت
کارایی بالا با معماری سبک و بهینه
راکارد با هدف اجرا روی زیرساختهای سبک طراحی شده است. استفاده از زبانهای کامپایلشونده و طراحی بهینه باعث شده مصرف منابع پایین و کارایی سیستم بالا باشد.
- مصرف پایین RAM و CPU
- توسعه با زبانهای سریع مانند ++C
- بهینهسازی پردازشها در سمت سرور
- امکان مدیریت تعداد زیادی اتصال روی یک VM ساده
راکارد؛ بخشی از یک پلتفرم بزرگتر
راکارد تنها یک ابزار مستقل نیست و روی پلتفرم بزرگتری به نام PVM (در حال تغییر نام به پلایوید) توسعه یافته است. این پلتفرم مجموعهای از پروژههای مختلف را در یک معماری یکپارچه ارائه میدهد.
- پلتفرمی با بیش از ۱۷۰ زیرپروژه
- توسعه چندین پروژه توسط تیم راکارد
- افزایش سرعت توسعه و یکپارچگی معماری
- پیادهسازی مشترک قابلیتهایی مانند لاگ و تحلیل
پشتیبانی سازمانی و تجربه عملیاتی
تیم توسعهدهنده راکارد پیش از این تجربه اجرای پروژههای سازمانی بزرگ را داشته است. همین تجربه باعث شده نسخه سازمانی راکارد با نگاه عملیاتی و پشتیبانی حرفهای ارائه شود.
- سابقه توسعه و اجرای پروژههای بزرگ سازمانی
- شناخت دقیق نیازهای امنیتی و عملیاتی سازمانها
- ارائه پشتیبانی ۲۴ ساعته برای نسخه سازمانی…
راکارد، همنفس تیم شما؛ نه صرفاً میهمان سرورهایتان
نسخه سازمانی Rakaard متناسب با معماری فناوریاطلاعات شما داخل سازمان نصب میشود و تمام دیتا و ترافیک دسترسی از راه دور را درون شبکهتان مدیریت میکند؛ مگر اینکه خودتان برای دورکاری یا پیمانکاران، عمداً درگاه بیرونی تعریف کنید. در صورت علاقه، میتوانید از طریق وبسایت درخواست نسخه سازمانی را ثبت کنید تا تیم ما برای دمو و بررسی نیازهای سازمانی با شما در تماس باشد.