Her erişim türü için ayrı istemci kurmak sürdürülebilir değildir. VPN için bir yazılım, VDI için başka bir istemci, RDP için ayrı araç, SSH için terminal, Kubernetes için kubeconfig, eski sistemler için paylaşılan parola tabloları… Bu model, modern güvenlik ihtiyacını değil, geçmişin alışkanlıklarını taşır.
Zamanla her dizüstü küçük bir erişim karmaşasına dönüşür. Agent'lar birikir, güncellemeler aksar, destek ekipleri kurulum sorunlarıyla uğraşır, ayrıcalıklı parolalar kullanıcı cihazlarına yaklaşır. Kurum, erişimi verdiğini sanır; aslında kontrolü dağıtır.
Üstelik her cihaz bu yükü taşıyamaz. Chromebook, kiosk, mobil cihaz veya yüklenici bilgisayarı çoğu zaman gerekli istemcileri çalıştıramaz. İş durmasın diye istisnalar açılır, geçici çözümler kalıcı hâle gelir.
Bu mimarinin en zayıf noktası denetimdir. Oturum kaydı, ekran watermark'ı, clipboard DLP, dosya transfer kontrolü ve oturum içi risk değerlendirmesi erişimin doğal parçası değildir. Sonradan eklenen ürünlerle yamalanır.
Uzak erişim ayrı araçların toplamı olmamalı. Tek kimlik, tek portal, tek denetim katmanı ve tek güvenli erişim yolu olmalı.
Beş protokol, tek HTTPS endpoint üzerinden tarayıcıya render edilir; kurumsal denetim ve policy katmanı doğrudan gateway'in içine yerleştirilmiştir.
RDP, VNC, SSH, Kubernetes exec ve Telnet, kullanıcının mevcut tarayıcısında HTML5 canvas ve terminal'e render edilir. Chromebook, kısıtlı iş istasyonu, mobil cihaz, yüklenici dizüstüsü — modern bir tarayıcısı olan her cihaz tam yetkili bir iş istasyonuna dönüşür.
Gateway, beş protokolün tamamını tek bir TLS korumalı WebSocket endpoint arkasında sonlandırır. Firewall kuralları tek satıra iner, ağ katmanındaki maruziyet tek porta düşer, ve uzak ekipler artık UDP, port 3389 veya split-tunnel istisnası kovalamaz.
Hedef sistem kimlik bilgileri bir kasada tutulur ve oturum başlatıldığı anda enjekte edilir. Kullanıcı portala kendi kimliğiyle ve MFA ile girer; gateway, ayrıcalıklı kimlik bilgisini başlatma anında çeker ve protokol motoruna doğrudan teslim eder. Rotasyon, emekliye ayırma ve oturum bazlı parola yönetimi otomatik hâle gelir.
Her oturum standart MP4 olarak kaydedilebilir, her kare operatör kimliğiyle watermark'lanır ve sürekli olarak policy'e karşı değerlendirilir. Tuş vuruşları ve clipboard olayları, parola ve PII desenleri için regex tabanlı maskeleme ile loglanır. Oturumu render eden gateway, denetim izinin de sahibidir.
Beş protokol, artı üstüne inşa ettiğimiz kurumsal katman.
Network Level Authentication, TLS korumalı oturum, sürücü yönlendirmesi, ses ve clipboard desteği, dinamik çözünürlük ve yazıcı yönlendirmesi tamamen yerleşiktir. RemoteApp özelliği tek bir Windows uygulamasını (bir ERP istemcisi, AutoCAD, eski bir muhasebe yazılımı) kullanıcının tarayıcısında pencere olarak yayımlar — tam masaüstü yok, görev çubuğu maruziyeti yok, yan uygulamalar görünmez. VDI yükü olmadan legacy modernizasyonu.
TightVNC, RealVNC, UltraVNC, x11vnc ve RFB uyumlu tüm sunucularla çalışır. Birden fazla kimlik doğrulama şeması (parola, ARD, TLS ile VeNCrypt), çift yönlü clipboard, imleç render modları ve düşük bant genişliği için renk derinliği ayarı vardır. Yerleşik ekran paylaşımı olan Mac ve Linux masaüstleri birinci sınıf portal hedefi olur.
Tam xterm uyumlu terminal; anahtar, agent, parola ve sertifika kimlik doğrulama ile kurulur. SFTP aynı SSH bağlantısı üzerinden çalışır — yerleşik bir dosya paneli kullanıcının tarayıcıdan çıkmadan dosyaları sürükle-bırak yüklemesine veya seçip indirmesine olanak verir. Yerel ayarlar ve klavye düzenleri doğal olarak işlenir, oturum metni herhangi bir web sayfası gibi aranabilir ve kopyalanabilir.
Operatörler, Kubernetes API exec endpoint'i üzerinden namespace ve container kapsamlı herhangi bir pod'da etkileşimli shell alır. Kurulması gereken bir kubectl yok, dağıtılması gereken bir kubeconfig dosyası yok, dizüstüne sızdırılacak bir service-account yok. RBAC portalda bir kez kurulur, denetim gateway'de gerçekleşir, ve SRE'ler kümeye herhangi bir tarayıcıdan erişir.
Bazı varlıklar hâlâ Telnet bekler — SSH öncesi Cisco IOS, OT/SCADA HMI'leri, mainframe gateway'leri. Portal bunları, diğer protokollere uygulanan aynı render, denetim ve watermark katmanı ile ele alır. Telnet policy tabanlı opsiyonel açılır; operatör cleartext bir protokol başlatırken net bir uyarı görür.
Hedef sisteme ait ayrıcalıklı kimlik bilgileri platform kasasında durur, kullanıcının cihazında asla bulunmaz. Bir oturum başlatıldığında gateway kimlik bilgisini kasadan çeker, protokol motoruna teslim eder; kullanıcı parolayı görmeden ya da yazmadan oturumu açar. Rotasyon operatörün belirlediği takvimle çalışır — varlık gerektiriyorsa her oturum sonrası dahi olabilir.
Kayıt; varlık bazlı, kullanıcı grubu bazlı veya oturum bazlı yapılandırılır — yöneticiler nerede zorunlu (uyumluluk kapsamındaki sistemler, üçüncü taraf yükleniciler), nerede opsiyonel olduğuna karar verir. Çıktı standart H.264 MP4 olarak gateway'in yerel depolarına, retention kontrolleri ile yazılır. Kayıtlar kullanıcı, varlık ve zaman damgasıyla aranır; denetçiler her oturumu doğrudan tarayıcıda yeniden oynatabilir.
Render edilen her karede, oturumun canlı bağlamından (operatör kimliği, kaynak IP, varlık adı, zaman damgası) bileşen alan bir watermark taşınır. Şablon yönetici tarafından tanımlanır. Watermark stream'e sunucu tarafında işlenir; istemci tarafı reklam engelleyici veya DOM manipülasyonu onu kaldıramaz. Ekran fotoğrafını caydırır, sızdırılan ekran görüntülerini izlenebilir kılar, ve her eylemin gözlendiğini hatırlatır.
İstemcisiz erişimi kurumsal düzeyde ayrıcalıklı erişim kontrolüne dönüştüren denetim ve policy katmanı.
Her aktif oturum, başlatılırken uygulanan koşullu erişim policy'sine karşı sürekli yeniden değerlendirilir. Operatörün IP'si ülke değiştirirse, uç nokta güven skoru düşerse, cihaz yönetilen postür dışına çıkarsa veya davranış anomalize olursa gateway oturumu kesebilir, ek MFA isteyebilir, oturumu yalnızca okunur moda düşürebilir veya güvenlik ekibini uyarabilir — bir sonraki girişi beklemeden.
Her tuş vuruşu, her clipboard olayı ve her dosya transferi; oturum, varlık ve zaman damgası bağlamıyla loglanır. Hassas desenler — parola karmaşıklık sezgileri, kredi kartı numaraları, TCKN ve özel regex'ler — log'a düşmeden önce otomatik maskelenir. Denetim izi eksilmeden, ikincil bir sızıntı kaynağına dönüşmeden tamamlanır.
Kullanıcı tarayıcısı ile uzak varlık arasında akan clipboard içeriği policy'e karşı denetlenir. Yöneticiler düzenlenmiş varlıklarda yalnızca içeri kopyalamaya izin verir, clipboard'u tamamen kapatır veya eşleşen desenleri satır-içinde maskeler — örneğin dışarı yapıştırılan metindeki kredi kartı numaralarını metnin geri kalanını bozmadan redakte eder.
Yükleme ve indirme ayrı izinlerdir, varlık ve rol bazında yapılandırılır. Boyut limitleri, izin verilen MIME-tipi listesi, platformun WAAP inceleme motoru üzerinden virüs taraması ve transfer başına denetim kaydı — normalde görünmez olan dışa aktarım kanalını kontrol edilen, gözlenebilen bir kanala çevirir.
Yüksek hassasiyetli varlıklar, başlatma butonunun aktif olabilmesi için platformun endpoint trust manager (ETM) bileşeninden minimum bir güven skoru talep edebilir. Disk şifrelemesi olmayan bir yüklenici dizüstüsü, yamaları eksik bir kişisel cihaz veya zararlı yazılım işaretli bir iş istasyonu, bu varlıklar için başlatma sayfasına hiç ulaşmaz — operatörün ayrı kuralları hatırlamasına gerek olmadan.
Yetkili operatörler çalışan bir oturuma ikinci izleyici olarak katılabilir — sessizce gözlem için ya da interaktif rehberlik için. Kıdemsiz yöneticiler omuz başı eğitim alır, güvenlik ekipleri şüpheli aktiviteyi gerçek zamanlı inceler, ve olay müdahale ekipleri ekrana sonradan kayıttan değil canlı erişir.
PCI-DSS, HIPAA, KVKK, ISO 27001 kapsamındaki sistemler her ayrıcalıklı oturumun kaydedilmesini, watermark'lanmasını ve adı verilmiş bir operatöre izlenebilir olmasını gerektirir. Portal bunu denetçinin önemsediği varlıklar için varsayılan hâle getirir; geri kalan varlıklarda yoldan çekilir.
Yükleniciler belirli varlıklara kapsamlı ve zaman pencereli erişim alır — asla ağa, asla paylaşımlı yönetici parolasına, asla uzun ömürlü bir VPN hesabına değil. Her oturum kaydedilir, yüklenicinin kimliğiyle watermark'lanır ve canlı denetim için destek kuyruğunda görünür.
SRE'ler herhangi bir cluster'daki herhangi bir pod'a herhangi bir tarayıcıdan ulaşır — kubectl kurulumu, kubeconfig dağıtımı veya dizüstülerde dolaşan cluster bazlı service-account token'ları olmadan. RBAC, denetim ve policy portalda yaşar; komut satırı araçlarına dağılmaz.
Eski bir Windows ERP istemcisi RDP RemoteApp ile yayımlanır; SSH öncesi bir Cisco cihazı zorunlu kayıt ile Telnet üzerinden açılır; segmente edilmiş OT ağındaki bir HMI yalnızca denetlenen portal üzerinden ulaşılabilir hâle gelir. Eski varlıklar çalışmaya devam ederken erişim etrafında modernleşir.
RDP, VNC, SSH, Kubernetes ve legacy sistemlere tarayıcı üzerinden erişim — kayıt, watermark, kasa ve policy yerleşik. Kendi varlıklarınız üzerinde canlı bir kurulumda gezdirelim.