Instalar um cliente separado para cada tipo de acesso não é sustentável. Um software para VPN, outro cliente para VDI, uma ferramenta separada para RDP, um terminal para SSH, um kubeconfig para Kubernetes, planilhas de senhas compartilhadas para sistemas antigos… Esse modelo carrega os hábitos do passado, não a necessidade de segurança moderna.
Com o tempo, cada notebook se transforma em uma pequena confusão de acessos. Agentes se acumulam, atualizações falham, equipes de suporte lidam com problemas de instalação, senhas privilegiadas se aproximam dos dispositivos dos usuários. A organização acha que está concedendo acesso; na verdade, está distribuindo o controle.
Além disso, nem todo dispositivo suporta essa carga. Um Chromebook, um quiosque, um dispositivo móvel ou o computador de um terceirizado muitas vezes não conseguem executar os clientes necessários. Para que o trabalho não pare, abrem-se exceções e soluções provisórias tornam-se permanentes.
O ponto mais fraco dessa arquitetura é a auditoria. Gravação de sessão, watermark de tela, DLP de área de transferência, controle de transferência de arquivos e avaliação de risco in-session não são parte natural do acesso. São remendados com produtos adicionados posteriormente.
O acesso remoto não deve ser a soma de ferramentas separadas. Deve ser uma única identidade, um único portal, uma única camada de auditoria e um único caminho de acesso seguro.
Cinco protocolos são renderizados no navegador por um único endpoint HTTPS; a camada de auditoria e política corporativa está incorporada diretamente dentro do gateway.
RDP, VNC, SSH, Kubernetes exec e Telnet são renderizados em um canvas HTML5 e terminal no navegador existente do usuário. Chromebook, estação de trabalho restrita, dispositivo móvel, notebook de terceirizado — qualquer dispositivo com um navegador moderno transforma-se em uma estação de trabalho totalmente autorizada.
O gateway termina todos os cinco protocolos atrás de um único endpoint WebSocket protegido por TLS. As regras de firewall reduzem-se a uma única linha, a exposição na camada de rede cai para uma única porta, e as equipes remotas não precisam mais perseguir UDP, porta 3389 ou exceções de split-tunnel.
As credenciais do sistema alvo são mantidas em um cofre e injetadas no momento em que a sessão é iniciada. O usuário entra no portal com sua própria identidade e MFA; o gateway extrai a credencial privilegiada no momento do lançamento e a entrega diretamente ao motor de protocolo. Rotação, aposentadoria e gestão de senha por sessão tornam-se automáticas.
Cada sessão pode ser gravada como MP4 padrão, cada quadro recebe watermark com a identidade do operador e é avaliado continuamente contra a política. Eventos de teclas digitadas e de área de transferência são registrados com mascaramento baseado em regex para padrões de senha e PII. O gateway que renderiza a sessão também é o dono da trilha de auditoria.
Cinco protocolos, mais a camada corporativa que construímos sobre eles.
Network Level Authentication, sessão protegida por TLS, redirecionamento de drives, suporte a áudio e área de transferência, resolução dinâmica e redirecionamento de impressora são totalmente nativos. O recurso RemoteApp publica uma única aplicação Windows (um cliente ERP, AutoCAD, um software de contabilidade antigo) como janela no navegador do usuário — sem área de trabalho completa, sem exposição da barra de tarefas, sem aplicações laterais visíveis. Modernização de legado sem a carga de VDI.
Funciona com TightVNC, RealVNC, UltraVNC, x11vnc e todos os servidores compatíveis com RFB. Há múltiplos esquemas de autenticação (senha, ARD, VeNCrypt com TLS), área de transferência bidirecional, modos de renderização de cursor e ajuste de profundidade de cor para baixa largura de banda. Áreas de trabalho Mac e Linux com compartilhamento de tela nativo tornam-se alvos de portal de primeira classe.
Terminal totalmente compatível com xterm; estabelecido com autenticação por chave, agente, senha e certificado. O SFTP funciona pela mesma conexão SSH — um painel de arquivos integrado permite que o usuário faça upload de arquivos por arrastar-e-soltar ou selecione e baixe sem sair do navegador. Configurações locais e layouts de teclado são tratados naturalmente, e o texto da sessão pode ser pesquisado e copiado como qualquer página web.
Os operadores obtêm um shell interativo em qualquer pod, com escopo de namespace e container, pelo endpoint exec da API Kubernetes. Não há kubectl a instalar, nenhum arquivo kubeconfig a distribuir, nenhum service-account vazado para o notebook. O RBAC é configurado uma vez no portal, a auditoria ocorre no gateway, e os SREs acessam o cluster a partir de qualquer navegador.
Alguns ativos ainda esperam Telnet — Cisco IOS pré-SSH, HMIs OT/SCADA, gateways de mainframe. O portal os trata com a mesma camada de renderização, auditoria e watermark aplicada aos demais protocolos. O Telnet é opcional e ativado por política; o operador vê um aviso claro ao iniciar um protocolo em texto claro.
As credenciais privilegiadas do sistema alvo permanecem no cofre da plataforma, nunca residem no dispositivo do usuário. Quando uma sessão é iniciada, o gateway extrai a credencial do cofre e a entrega ao motor de protocolo; o usuário abre a sessão sem ver ou digitar a senha. A rotação funciona conforme o calendário definido pelo operador — pode ser até após cada sessão, se o ativo exigir.
A gravação é configurada por ativo, por grupo de usuário ou por sessão — os administradores decidem onde é obrigatória (sistemas em escopo de conformidade, terceirizados externos) e onde é opcional. A saída é escrita como MP4 H.264 padrão no armazenamento local do gateway, com controles de retenção. As gravações são pesquisáveis por usuário, ativo e carimbo de data/hora; os auditores podem reproduzir cada sessão diretamente no navegador.
Cada quadro renderizado carrega um watermark que toma componentes do contexto vivo da sessão (identidade do operador, IP de origem, nome do ativo, carimbo de data/hora). O modelo é definido pelo administrador. O watermark é processado no stream do lado do servidor; bloqueadores de anúncios do lado do cliente ou manipulação de DOM não conseguem removê-lo. Desencoraja fotografias de tela, torna rastreáveis as capturas de tela vazadas e lembra que cada ação está sendo observada.
A camada de auditoria e política que transforma o acesso sem cliente em controle de acesso privilegiado de nível corporativo.
Cada sessão ativa é reavaliada continuamente contra a política de acesso condicional aplicada no lançamento. Se o IP do operador mudar de país, se a pontuação de confiança do endpoint cair, se o dispositivo sair da postura gerenciada ou se o comportamento se tornar anômalo, o gateway pode encerrar a sessão, solicitar MFA adicional, rebaixar a sessão para modo somente leitura ou alertar a equipe de segurança — sem esperar o próximo login.
Cada tecla digitada, cada evento de área de transferência e cada transferência de arquivo é registrado com contexto de sessão, ativo e carimbo de data/hora. Padrões sensíveis — heurísticas de complexidade de senha, números de cartão de crédito, números de identificação nacional e regex personalizados — são mascarados automaticamente antes de entrarem no log. A trilha de auditoria fica completa sem lacunas e sem se tornar uma fonte secundária de vazamento.
O conteúdo da área de transferência que flui entre o navegador do usuário e o ativo remoto é auditado contra a política. Os administradores permitem apenas colar para dentro em ativos regulados, desativam totalmente a área de transferência ou mascaram inline os padrões correspondentes — por exemplo, redigindo números de cartão de crédito no texto colado para fora sem corromper o restante do texto.
Upload e download são permissões separadas, configuradas por ativo e por função. Limites de tamanho, lista de tipos MIME permitidos, varredura de vírus pelo motor de inspeção WAAP da plataforma e registro de auditoria por transferência — transformam o canal de exportação, normalmente invisível, em um canal controlado e observável.
Ativos de alta sensibilidade podem exigir uma pontuação mínima de confiança do componente endpoint trust manager (ETM) da plataforma para que o botão de lançamento fique ativo. Um notebook de terceirizado sem criptografia de disco, um dispositivo pessoal com patches em falta ou uma estação de trabalho sinalizada por malware não chegam sequer à página de lançamento desses ativos — sem que o operador precise lembrar regras separadas.
Operadores autorizados podem entrar em uma sessão em andamento como segundo observador — para observação silenciosa ou para orientação interativa. Administradores juniores recebem treinamento lado a lado, equipes de segurança examinam atividade suspeita em tempo real, e equipes de resposta a incidentes acessam a tela ao vivo, não pela gravação posterior.
Sistemas em escopo de PCI-DSS, HIPAA, GDPR, ISO 27001 exigem que cada sessão privilegiada seja gravada, receba watermark e seja rastreável a um operador nomeado. O portal torna isso o padrão para os ativos que importam ao auditor; nos demais ativos, sai do caminho.
Os terceirizados recebem acesso a ativos específicos com escopo e janela de tempo — nunca à rede, nunca a uma senha de administrador compartilhada, nunca a uma conta VPN de longa duração. Cada sessão é gravada, recebe watermark com a identidade do terceirizado e aparece na fila de suporte para auditoria ao vivo.
Os SREs acessam qualquer pod de qualquer cluster a partir de qualquer navegador — sem instalação de kubectl, sem distribuição de kubeconfig e sem tokens de service-account por cluster circulando pelos notebooks. RBAC, auditoria e política vivem no portal; não se dispersam pelas ferramentas de linha de comando.
Um cliente ERP Windows antigo é publicado via RDP RemoteApp; um dispositivo Cisco pré-SSH é aberto via Telnet com gravação obrigatória; um HMI na rede OT segmentada torna-se acessível apenas pelo portal auditado. Os ativos antigos continuam funcionando enquanto o acesso se moderniza ao seu redor.
Acesso pelo navegador a RDP, VNC, SSH, Kubernetes e sistemas legados — gravação, watermark, cofre e política já incluídos. Vamos guiá-lo por uma configuração ao vivo sobre seus próprios ativos.