Kurumsal ağa tek bir VPN tüneli açmak eskiden yeterliydi. Bugün değil. Kullanıcılar her yerden bağlanıyor, uygulamalar her yerde — veri merkezinde, cloud'da, SaaS'ta — ve tek bir VPN tüneli oturum açan herkese çok fazla erişim veriyor. Yüklenicilerin belirli uygulamalara kısa süreli erişimi gerekiyor. Yardım masası içerideki RDP veya SSH hedeflerine istemci dağıtmadan ulaşmalı. Güvenlik ekipleri kimin neye eriştiğini görmek ve erişimi ağ değil uygulama seviyesinde iptal etmek istiyor.
Sektörün modern cevabı Zero Trust Access oldu. Ancak iki yolun da bir bedeli var. Pure-play ZTNA platformlarının çoğu cloud-only — trafiğiniz ve kimlik kararlarınız başkasının edge'ine taşınıyor. Geleneksel on-prem ADC üreticileri ise ZTA'yı yük dengeleyicinin üstüne eklenen ayrı ve pahalı bir modül olarak sunuyor: kendi politika motoru, kendi öğrenme eğrisi, kendi lisansı.
TR7 erişimi, uygulamalarınızı zaten teslim eden ve koruyan platforma yerleştirir. Aynı vService modeli, aynı operatör konsolu, aynı denetim izi; üstüne iki adlandırılmış operasyon modu, tarayıcıdan gateway protokolleri ve standartlara dayalı VPN. Ayrı lisanslanan bir modül yok, oturum açma akışınızın yolunda üçüncü taraf bir ağ yok.
Tek tek de değerli. Birlikte alındığında, başkasının bulutuna bağımlı olmayan ve faturada ayrı satır olarak çıkmayan bir zero trust erişimin nasıl olduğunu tanımlar.
Çoğu modern ZTA platformu SaaS. Kimlik kararlarınız, oturum trafiğiniz ve denetim loglarınız onların ağında yaşar. TR7 kendi donanımınızda çalışır. Login'ler, posture kontrolleri, oturumlar ve loglar; güvenlik politikanızın zaten geçerli olduğu yerde kalır.
Mod A — Per-Service Authentication: mevcut bir uygulamaya login ve SSO bağlanır. Tek servis, tek auth sarmalayıcısı; kullanıcı giriş yapınca doğrudan uygulamaya gider. Mod B — Markalı Erişim Portalı: kendi dinleyicisi olan, beyaz-etiketli bağımsız bir portal. Kullanıcı bir kez giriş yapar ve yetkili olduğu her uygulamayı launchpad'de görür. Her modun kendi arayüzü var; deploya uyanı seçin ya da ikisini birlikte çalıştırın.
Dahili ekipler RDP, SSH ve VNC hedeflerine doğrudan tarayıcı sekmesinden ulaşır. İstemci kurulumu yok, endpoint'te VPN tüneli yok, bakım gerektiren native yazılım yok. Oturumlar tünellenir ve merkezi olarak denetlenir; erişim iptali bir sonraki istekte geçerli olur.
Diğer on-prem platformlar erişim için ayrı modül, yük dengeleme için ayrı, WAF için ayrı, VPN için ayrı satar. TR7 hepsini aynı motorda, tek operatör konsolunda ve tek denetim görüşünde sunar. "VPN'imiz var" durumundan "zero trust erişimimiz var" durumuna geçiş aynı ürünün içinde olur.
IKEv2 ve SSL VPN, her modern işletim sisteminin zaten konuştuğu standartlar üzerinde çalışır — iOS, Android, Windows ve macOS kullanıcıları bir uygulama indirmez, sadece bir VPN profili ekler. OAuth 2.0, OIDC, SAML, LDAP ve RADIUS yerel desteklidir. Endpoint güvenlik sinyalleri (bilinen cihaz, güncel posture, uyumluluk durumu) erişim kararlarını sürekli besler; güvenilir başlayan bir oturum, bağlam değişirse yeniden değerlendirilip kısıtlanabilir.
Aşağıdaki her yetenek, uygulamalarınızı teslim eden ve koruyan aynı platformun parçası olarak gelir.
Mevcut bir HTTP servisine login ve SSO bağlar. Uygulama yerinde kalır; TR7 önünde durur ve kimlik doğrulama, MFA ve politika uygular. Tek servis, tek auth sarmalayıcısı; kullanıcı giriş yapınca doğrudan uygulamaya geçer. Her uygulamanın kararlı bir URL'i varsa ve en küçük değişiklikle dağıtım istiyorsanız uygundur.
Kendi dinleyicisi ve kendi markanız ile bağımsız bir portal. Giriş sonrası kullanıcılar yetkili oldukları her uygulamanın launchpad'ini görür — dahili web uygulamaları, SaaS, RDP/SSH/VNC oturumları. Tek portal, çok backend. Konsolide tek bir giriş noktasının operasyonel mantığı varsa uygundur.
Dahili RDP, SSH ve VNC hedeflerine tarayıcı üzerinden erişim. Endpoint'te native istemci yok, cihazda VPN tüneli yok. Oturumlar tünellenir ve merkezi olarak denetlenir; tek iptal eylemi aktif tüm oturumları sonlandırır.
Aynı platformda çalışan standartlara dayalı VPN. Tam veya bölünmüş tünel için SSL VPN; site-to-site veya güçlü-şifreli uzaktan erişim için IPsec IKEv2. Özellikle mobilde güçlü: iOS ve Android IKEv2'yi yerel konuşur, kullanıcı bir uygulama yüklemek yerine ayarlara bir VPN profili ekler — dağıtım, güncelleme veya bakım yükü yok. Windows ve macOS aynı şekilde yerleşik VPN istemcileri üzerinden çalışır. Kişisel Cihaz (BYOD) senaryolarında doğal olarak uygundur.
OAuth 2.0, OIDC, SAML, LDAP ve RADIUS yerel desteği. Azure AD, Okta, ADFS, Google Workspace, OneLogin gibi mevcut IdP'lerinize protokol köprüsü olmadan bağlanır.
MFA erişim kenarında uygulanır. İstek bağlamı değiştiğinde — farklı ülke, farklı cihaz, daha hassas uygulama — adımlı kimlik doğrulama (step-up) tetiklenir.
Güvenilir başlayan bir oturum, varsayılan olarak güvenilir kalmaz. Endpoint posture, coğrafya, cihaz sağlığı ve oturum anomalileri oturum boyunca yeniden değerlendirilir. Bağlam değişirse erişim kısıtlanabilir veya oturum ortasında iptal edilebilir.
Kullanıcıların TR7'nin endpoint güvenlik katmanı tarafından yönetilen cihazlarda olduğu dağıtımlarda, cihaz-güven sinyalleri (bilinen cihaz, güncel posture, uyumluluk) erişim politikasını besler. Yönetilmemiş endpoint'ler tam incelemeden geçer.
Gateway üzerinden dahili hedeflere ulaşan SSH oturumları komut seviyesinde loglanır — yazılan her komut, alınan her yanıt. Denetim izi soruşturmaya hazır; ayrı bir PAM ürününe ihtiyaç yok.
Her uygulama kendi erişim politikasına sahiptir: kimlik, cihaz posture, gün-saati, coğrafya, MFA gücü. CRM'e ulaşan kullanıcı veritabanına otomatik yetkili olmaz. Yanal hareket, her uygulamanın açıkça yetkilendirdiği alanla sınırlanır.
TR7 arkasındaki uygulamalara doğrudan ulaşılamaz. Keşif taramaları, port sweep'leri ve ön-kimlik saldırıları TR7'yi görür, uygulamalarınızı değil. Uygulama kodunu değiştirmeden saldırı yüzeyi azalır.
Erişim politikaları, kimlik doğrulama akışları ve koşullu kurallar platformun başka yerinde kullanılan aynı görsel flow builder'da kurulur. Tescilli politika dili yok; bir kuralı değiştirmek için satıcı sertifikasyonuna gerek yok.
Erişim olayları, ADC trafiği, WAAP tespitleri ve DDoS sinyalleri tek operatör görüşünde ve tek denetim izinde paylaşılır. SIEM export'ları platformun geri kalanıyla aynı taksonomiyi kullanır.
Her iki mod da Zero Trust Access sunar. Aralarındaki fark operatör çabası ve son-kullanıcı deneyimi. Yan yana çalıştırılabilirler.
Tek uygulama, tek auth sarmalayıcısı. Uygulama mevcut URL'ini korur; TR7 önünde durur ve kimlik doğrulama, MFA, posture ve politika uygular. Kullanıcılar giriş sonrası doğrudan uygulamaya iner. Her uygulamanın kararlı bir URL'i varsa ve mümkün olan en küçük değişiklikle dağıtım istiyorsanız uygundur.
Tek portal, çok backend. Kendi dinleyicisi olan, beyaz-etiketli bağımsız bir portal. Kullanıcılar bir kez giriş yapar ve yetkili oldukları her uygulamayı launchpad'de görür. Konsolide bir giriş noktası operasyonel olarak mantıklıysa ya da uygulama launchpad'i istiyorsanız uygundur.
İki mod aynı anda çalışabilir. Bazı uygulamalar per-service auth ile sarmalanır, diğerleri portal üzerinden erişilir. Aynı kimlik politikaları, aynı endpoint sinyalleri, aynı denetim izi.
RDP, SSH ve VNC oturumları her iki modda da sunulabilir — sarmalanmış bir per-service URL olarak ya da portal launchpad kutucuğu olarak. Tarayıcı deneyimi aynı; sadece operasyonel çerçeve değişir.
SSL VPN ve IPsec VPN her iki modun yanında çalışmaya devam eder. Geçiş döneminde faydalıdır: kullanıcılar belirlediğiniz takvime göre VPN'den per-application ya da portal erişimine geçer.
Hangi modu seçerseniz seçin, konfigürasyon nesnesi bir vService'tir. Sağlık kontrolleri, trafik kuralları, gözlemlenebilirlik ve bant genişliği modeli aynı şekilde davranır. Diğer uygulamalarınızı teslim eden aynı motordur.
Kullanıcıları düz VPN tünelinden çıkarıp uygulama başına erişime alın — köklü değişiklik yapmadan. SSL VPN çalışmaya devam eder; ekipler Per-Service Auth'a ya da Markalı Portal'a aşamalı geçer.
Dış kullanıcılar belirli uygulamalara kısa süreli ve kapsamlı erişim alır. Kurumsal cihaz ya da VPN istemci kurulumu gerekmez; portala giriş yapar ve yalnızca yetkili oldukları şeyi görürler.
Operasyon ekipleri dahili RDP, SSH ve VNC hedeflerine tarayıcı sekmesinden ulaşır. Her oturum tünellenir ve denetlenir; bir yüklenicinin erişimi iptal edildiğinde tüm aktif oturumları anında sonlanır.
MFA, cihaz posture ve oturum-seviyesi denetime bağlı uygulama başına politikalar. PAM seviyesinde SSH komut logları, ayrı bir PAM ürününe ihtiyaç olmadan düzenleyici ve iç denetim gereksinimlerini karşılar.
Veri yerelliği kuralları kimlik ve oturum trafiğinin ağı terk etmesini yasaklar. On-prem dağıtım her kimlik doğrulama kararını, oturumu ve denetim logunu yerel kontrol altında tutar.
İki kurum, iki kimlik sağlayıcısı, iki uygulama kataloğu. Markalı Erişim Portalı entegrasyon devam ederken tek bir ön kapıya dönüşür — kullanıcılar tek launchpad görür, arka uçtaki kimlik işi sürerken bile.
Bu çözüme refer eden ürün özellikleri — yukarıda anlatılan kontrolleri oluşturan teknik parçalar.
VPN erişimini ayrı bir ağ istisnası değil, AAM kimlik ve cihaz güveni politikasının parçası olarak yönetin.
RDP, VNC, SSH, Kubernetes ve legacy sistemlere tarayıcıdan erişim — kimlik kasası, kayıt ve watermark yerleşik.
Üç MFA yöntemi, servis bazlı politika, güvenilir cihaz kısayolu — üçüncü taraf MFA bulutu yok.
Tek akış motoru her kimlik doğrulama sonucunu belirler — kim, neye, hangi faktörden sonra, hangi bağlamda.
Girişte kazanılan güven sonsuza dek taşınmaz. Her oturum, her adımda değerlendirme altında kalır.
Standartlara uygun SAML SP — kurumsal IdP'ler, Kamu Kimlik Federasyonu ve tenant başına yönlendirme; MFA, koşullu erişim ve cihaz güveni ile koordineli.
Standartlara uygun OIDC relying party — PKCE'li yetkilendirme kodu, JWKS ile doğrulanmış kimlik token'ları, nonce ve state savunmaları, tenant başına IdP yönlendirme.
Kurumsal dizininiz zaten var; TR7 AAM onu kopyalamaz, ona bağlanır ve grup üyeliğini erişim politikasına dönüştürür.
SAML ve OIDC dışındaki her kimlik kaynağını aynı erişim ve denetim akışına bağlayın.
İstemci sertifikasını bağlantı kontrolünden çıkarın; trafik kararlarına dahil olan kimlik objesine dönüştürün.
Ağları birleştirmeden servisleri bağlayın; çakışan IP planlarını ve tenant izolasyonunu tek vService modeliyle yönetin.
Credential stuffing, brute-force ve oturum çalma girişimlerini tek sinyale değil, birleşik risk kararına göre durdurun.
Üç kademeli sürtünme — uyar, challenge, kilitle — IP, kullanıcı adı veya ikisi birden. Self-hosted CAPTCHA, harici bulut yok.
Session ID üretiminden cookie güvenliğine, IP+UA bind kontrolünden idle ve absolute timeout yönetimine kadar oturumu tek policy graph altında koruyun.
ETM eklentisinin AAM ile entegre pillar'ı: cihaz postürü erişim kararının canlı sinyali olur.
Gateway başına markalı giriş UX'i, şablon miras alma ile. Her marka, kiracı veya uygulama için ayrı bir şablon; ayrı web sunucusu yok.
Önde modern kimlik doğrulama, arka uca başlık / Authorization / çerez olarak enjekte edilen kimlik — eski uygulamalar olduğu gibi kalır.
Değiştirme, unuttum ve sıfırlama akışları tek motorda — tek kullanımlık token, alıcı maskeleme, her adımda denetim.
TR7 Zero Trust Access için canlı demo talep edin. İki operasyon modunu gezdirir, tarayıcıdan canlı bir RDP oturumu açar ve aynı politika motorunun SSL VPN'i, per-app auth'u ve erişim portalını nasıl tek elden yönettiğini gösteririz.