アクセスの種類ごとに別個のクライアントをインストールすることは持続可能ではありません。VPN のためのソフトウェア、VDI のための別のクライアント、RDP のための別のツール、SSH のためのターミナル、Kubernetes のための kubeconfig、レガシーシステムのための共有パスワード表… このモデルは、現代のセキュリティニーズではなく、過去の習慣を引き継いでいます。
時間が経つにつれ、すべてのラップトップが小さなアクセスの混乱に変わります。エージェントが蓄積し、アップデートが滞り、サポートチームはインストール問題に追われ、特権パスワードがユーザーデバイスに近づきます。組織はアクセスを付与したつもりでいて、実際には制御を分散させています。
さらに、すべてのデバイスがこの負担を担えるわけではありません。Chromebook、キオスク、モバイルデバイス、請負業者のコンピューターは、多くの場合必要なクライアントを実行できません。業務を止めないために例外が開かれ、一時的な回避策が恒久化します。
このアーキテクチャの最も弱い点は監査です。セッション記録、画面ウォーターマーク、クリップボード DLP、ファイル転送制御、セッション内リスク評価は、アクセスの自然な一部ではありません。後付けの製品でパッチが当てられます。
リモートアクセスは別個のツールの寄せ集めであってはなりません。単一のアイデンティティ、単一のポータル、単一の監査層、単一のセキュアなアクセス経路であるべきです。
5 つのプロトコルが単一の HTTPS エンドポイント経由でブラウザにレンダリングされ、エンタープライズの監査とポリシー層がゲートウェイの内部に直接組み込まれています。
RDP、VNC、SSH、Kubernetes exec、Telnet が、ユーザーの既存のブラウザ上で HTML5 canvas とターミナルにレンダリングされます。Chromebook、制限されたワークステーション、モバイルデバイス、請負業者のラップトップ — モダンなブラウザを持つあらゆるデバイスが、完全な権限を持つワークステーションに変わります。
ゲートウェイは、5 つすべてのプロトコルを単一の TLS 保護 WebSocket エンドポイントの背後で終端します。ファイアウォールルールは 1 行に収まり、ネットワーク層での露出は単一ポートに減り、リモートチームはもはや UDP、ポート 3389、split-tunnel 例外を追いかける必要がなくなります。
ターゲットシステムのクレデンシャルはボールトに保管され、セッションが起動された瞬間に注入されます。ユーザーは自身のアイデンティティと MFA でポータルにログインし、ゲートウェイは特権クレデンシャルを起動時に取得してプロトコルエンジンに直接引き渡します。ローテーション、廃止、セッション単位のパスワード管理が自動化されます。
各セッションは標準 MP4 として記録でき、各フレームはオペレーターのアイデンティティでウォーターマークされ、継続的にポリシーに照らして評価されます。キーストロークとクリップボードイベントは、パスワードと PII パターンに対する正規表現ベースのマスキングとともにログに記録されます。セッションをレンダリングするゲートウェイが、監査証跡の所有者でもあります。
5 つのプロトコル、加えてその上に構築したエンタープライズ層。
Network Level Authentication、TLS 保護セッション、ドライブリダイレクト、オーディオとクリップボードのサポート、動的解像度、プリンターリダイレクトが完全に組み込まれています。RemoteApp 機能は、単一の Windows アプリケーション (ERP クライアント、AutoCAD、レガシー会計ソフトウェア) をユーザーのブラウザにウィンドウとして公開します — 完全なデスクトップなし、タスクバーの露出なし、サイドアプリケーションは見えません。VDI の負荷なしのレガシーモダナイゼーション。
TightVNC、RealVNC、UltraVNC、x11vnc、および RFB 互換のすべてのサーバーで動作します。複数の認証スキーム (パスワード、ARD、TLS 付き VeNCrypt)、双方向クリップボード、カーソルレンダリングモード、低帯域幅向けの色深度調整があります。組み込みの画面共有を持つ Mac と Linux のデスクトップが、第一級のポータルターゲットになります。
完全な xterm 互換ターミナルが、鍵、エージェント、パスワード、証明書の認証で確立されます。SFTP は同じ SSH 接続上で動作します — 組み込みのファイルパネルにより、ユーザーはブラウザを離れることなくファイルをドラッグアンドドロップでアップロードしたり、選択してダウンロードしたりできます。ロケール設定とキーボードレイアウトは自然に処理され、セッションテキストはあらゆる Web ページのように検索とコピーが可能です。
オペレーターは、Kubernetes API exec エンドポイント経由で、namespace と container スコープのあらゆる pod でインタラクティブな shell を取得します。インストールが必要な kubectl はなく、配布が必要な kubeconfig ファイルはなく、ラップトップに漏洩する service-account はありません。RBAC はポータルで一度設定され、監査はゲートウェイで行われ、SRE はあらゆるブラウザからクラスターにアクセスします。
一部の資産は依然として Telnet を必要とします — SSH 以前の Cisco IOS、OT/SCADA HMI、メインフレームゲートウェイ。ポータルはこれらを、他のプロトコルに適用される同じレンダリング、監査、ウォーターマーク層で扱います。Telnet はポリシーベースでオプションとして有効化され、オペレーターは cleartext プロトコルを起動する際に明確な警告を見ます。
ターゲットシステムの特権クレデンシャルはプラットフォームのボールトに保管され、ユーザーのデバイスに決して存在しません。セッションが起動されると、ゲートウェイはクレデンシャルをボールトから取得してプロトコルエンジンに引き渡し、ユーザーはパスワードを見たり入力したりすることなくセッションを開きます。ローテーションはオペレーターが定めるスケジュールで動作します — 資産が要求すれば、各セッション後でさえ可能です。
記録は、資産単位、ユーザーグループ単位、またはセッション単位で構成されます — 管理者は、どこで必須か (コンプライアンス対象システム、サードパーティの請負業者)、どこでオプションかを決定します。出力は標準 H.264 MP4 として、retention 制御とともにゲートウェイのローカルストレージに書き込まれます。記録はユーザー、資産、タイムスタンプで検索でき、監査担当者は各セッションをブラウザで直接再生できます。
レンダリングされる各フレームには、セッションのライブコンテキスト (オペレーターのアイデンティティ、送信元 IP、資産名、タイムスタンプ) から構成要素を取得するウォーターマークが付与されます。テンプレートは管理者によって定義されます。ウォーターマークはサーバー側でストリームに処理されるため、クライアント側の広告ブロッカーや DOM 操作では除去できません。スクリーン撮影を抑止し、漏洩したスクリーンショットを追跡可能にし、すべての操作が観測されていることを思い起こさせます。
クライアントレスアクセスをエンタープライズグレードの特権アクセス制御に変える監査とポリシー層。
各アクティブセッションは、起動時に適用された条件付きアクセスポリシーに照らして継続的に再評価されます。オペレーターの IP が国を変えた、エンドポイントの信頼スコアが下がった、デバイスが管理されたポスチャーから外れた、または挙動が異常になった場合、ゲートウェイはセッションを切断したり、追加 MFA を要求したり、セッションを読み取り専用モードに落としたり、セキュリティチームに警告したりできます — 次回のログインを待たずに。
各キーストローク、各クリップボードイベント、各ファイル転送が、セッション、資産、タイムスタンプのコンテキストとともにログに記録されます。機微なパターン — パスワードの複雑性のヒント、クレジットカード番号、各国 ID、カスタム正規表現 — はログに落ちる前に自動的にマスクされます。監査証跡は欠落することなく、二次的な漏洩源にならずに完成します。
ユーザーのブラウザとリモート資産の間を流れるクリップボードの内容はポリシーに照らして検査されます。管理者は、規制対象の資産で内向きのコピーのみを許可したり、クリップボードを完全に無効化したり、一致するパターンをインラインでマスクしたりします — 例えば、外向きにペーストされるテキスト内のクレジットカード番号を、残りのテキストを損なうことなく秘匿します。
アップロードとダウンロードは別個の権限であり、資産とロール単位で構成されます。サイズ制限、許可される MIME タイプのリスト、プラットフォームの WAAP 検査エンジン経由のウイルススキャン、転送ごとの監査記録 — 通常は見えないエクスポートチャネルを、制御され、観測されるチャネルに変えます。
高機微の資産は、起動ボタンがアクティブになるために、プラットフォームの endpoint trust manager (ETM) コンポーネントから最低限の信頼スコアを要求できます。ディスク暗号化のない請負業者のラップトップ、パッチの欠けた個人デバイス、マルウェアフラグの立ったワークステーションは、これらの資産の起動ページにそもそも到達しません — オペレーターが個別のルールを記憶する必要なく。
権限を持つオペレーターは、実行中のセッションに第二の観察者として参加できます — 静かに観察するためでも、インタラクティブなガイダンスのためでも。ジュニアの管理者は肩越しのトレーニングを受け、セキュリティチームは疑わしいアクティビティをリアルタイムで検査し、インシデント対応チームは後の記録からではなくライブで画面にアクセスします。
PCI-DSS、HIPAA、GDPR、ISO 27001 の対象システムは、すべての特権セッションが記録され、ウォーターマークされ、名前付きのオペレーターに追跡可能であることを要求します。ポータルはこれを、監査担当者が重視する資産ではデフォルトにし、それ以外の資産では脇に退きます。
請負業者は特定の資産にスコープされ時間枠の付いたアクセスを受け取ります — ネットワーク全体ではなく、共有管理者パスワードでもなく、長命の VPN アカウントでもなく。各セッションは記録され、請負業者のアイデンティティでウォーターマークされ、ライブ監査のためにサポートキューに表示されます。
SRE はあらゆるクラスターのあらゆる pod にあらゆるブラウザから到達します — kubectl のインストール、kubeconfig の配布、ラップトップを巡回するクラスター単位の service-account トークンなしで。RBAC、監査、ポリシーはポータルに存在し、コマンドラインツールに分散しません。
古い Windows ERP クライアントは RDP RemoteApp で公開され、SSH 以前の Cisco デバイスは必須記録とともに Telnet 経由で開かれ、セグメント化された OT ネットワークの HMI は監査されるポータル経由でのみ到達可能になります。レガシー資産は動作し続けながら、アクセスの周りでモダナイズされます。
RDP、VNC、SSH、Kubernetes、レガシーシステムへブラウザ経由でアクセス — 記録、ウォーターマーク、ボールト、ポリシーが標準装備。お客様自身の資産でライブセットアップをご案内します。