در دنیای امروز، دسترسی امن به منابع سازمانی از هر نقطه و هر دستگاهی ضروری است. راهکارهای دسترسی از راه دور (Remote Access Solutions – RAS) به سازمانها این امکان را میدهند که به کاربران خود دسترسی امن و کنترلی به دسکتاپها، برنامهها و دادهها را از طریق اینترنت ارائه دهند. در این مقاله،چهار راهکارPAM محبوب یعنی Raymon، Wallix، ARCON و Teleport را با هم مقایسه میکنیم. این مقایسه بر اساس قابلیتها، ویژگیها، مزایا و معایب هر راهکار انجام میشود.
در ادامه، توضیحات بیشتری در مورد هر یک از قابلیتهای ذکر شده در جدول ارائه میکنیم:
نحوه ارائه دسترسی:
- Invisible Mode: در این حالت، کاربران به طور مستقیم به دسکتاپها یا برنامههای راه دور متصل میشوند و هیچ واسطهای بین آنها وجود ندارد. این روش امنترین روش است، اما میتواند برای مدیریت پیچیدهتر باشد.
- Portal Mode: در این حالت، کاربران از طریق یک پورتال وب به دسکتاپها یا برنامههای راه دور متصل میشوند. این روش مدیریت آسانتری را ارائه میدهد، اما به اندازه Invisible Mode امن نیست.
- Gateway Mode: در این حالت، کاربران از طریق یک سرور واسط به دسکتاپها یا برنامههای راه دور متصل میشوند. این روش تعادل خوبی بین امنیت و قابلیت مدیریت ارائه میدهد.
- Bastion Mode: در این حالت، کاربران ابتدا به یک سرور Bastion امن متصل میشوند و سپس از طریق آن به دسکتاپها یا برنامههای راه دور متصل میشوند. این روش امنترین روش است، اما پیچیدهترین روش برای مدیریت نیز میباشد.
پروتکلهای تحت پوشش:
راهکارهای PAM از پروتکلهای مختلفی برای انتقال داده بین کاربران و منابع راه دور پشتیبانی میکنند. رایجترین پروتکلها عبارتند از:
- RDP (Remote Desktop Protocol): این پروتکل برای دسترسی به دسکتاپهای ویندوز استفاده میشود.
- RDP Gateway: این پروتکل RDP را از طریق یک سرور واسط امن ارائه میدهد.
- SSH (Secure Shell): این پروتکل برای دسترسی به سرورهای لینوکس و یونیکس استفاده میشود.
- Telnet: این پروتکل برای دسترسی به دستگاههای شبکه مبتنی بر متن استفاده میشود.
- VNC (Virtual Network Computing): این پروتکل برای به اشتراکگذاری دسکتاپها در زمان واقعی استفاده میشود.
- Http(s): این پروتکل برای دسترسی به برنامههای وب استفاده میشود.
پشتیبانی از دیتابیس:
برخی از راهکارهای PAM میتوانند به طور مستقیم به دیتابیسها متصل شوند و به کاربران امکان میدهند تا از راه دور به آنها دسترسی داشته باشند. این قابلیت برای سازمانهایی که از دیتابیسها برای ذخیره دادههای حساس استفاده میکنند، مفید است.
پشتیبانی از پروتکلها با Jump Server:
Jump Serverها سرورهای واسطهای هستند که به کاربران امکان میدهند به طور امن به چندین دستگاه یا برنامه راه دور متصل شوند. برخی از راهکارهای PAM از App Sharing در Jump Serverها پشتیبانی میکنند که به کاربران امکان میدهد برنامهها را بدون نیاز به نصب آنها بر روی دستگاه خود اجرا کنند.
ممیزی و ضبط نشستها:
راهکارهای PAM میتوانند نشستهای کاربران را ممیزی و ضبط کنند که به سازمانها امکان میدهد فعالیت کاربران را ردیابی کنند و در صورت بروز مشکل، شواهدی داشته باشند.
نظارت چهارچشمی:
نظارت چهارچشمی به دو یا چند کاربر اجازه میدهد تا به طور همزمان به یک دسکتاپ یا برنامه راه دور متصل شوند. این قابلیت برای آموزش یا ارائه پشتیبانی از راه دور مفید است.
قابلیتهای کنترلی:
راهکارهای PAM طیف گستردهای از قابلیتهای کنترلی را ارائه میدهند که به سازمانها امکان میدهد دسترسی کاربران به منابع راه دور را محدود کنند. این قابلیتها شامل Blacklisting/Whitelisting برنامهها و دستورات، محدود کردن انتقال فایل، اعمال Time Policy، ایجاد Access Control Listها، محدود کردن IPهای کاربران و … میشود.
مدیریت حسابهای کاربری:
راهکارهای PAM با Active Directory، LDAP و سایر دایرکتوریهای سازمانی ادغام میشوند تا مدیریت حسابهای کاربری را آسانتر کنند. این قابلیتها شامل احراز هویت کاربران، مدیریت رمز عبور، تنظیم مجدد رمز عبور از راه دور و … میشود.
احراز هویت:
راهکارهای PAM از Single Sign On (SSO)، احراز هویت چند عاملی (MFA) و سایر روشهای احراز هویت برای ایمنتر کردن دسترسی به منابع راه دور پشتیبانی میکنند.
مدیریت داراییها:
راهکارهای PAM میتوانند برای مدیریت داراییهای سازمانی، مانند دستگاهها، برنامهها و کاربران، استفاده شوند. این قابلیتها شامل Import اطلاعات از فایلهای CSV، ادغام با Active Directory/LDAP، کشف خودکار دستگاهها، کشف حسابها و … میشود.
گزارشگیری:
راهکارهای PAM طیف گستردهای از گزارشها را ارائه میدهند که به سازمانها امکان میدهد انواع فعالیت کاربران به نمایش بزارند
قابلیتهای دسترسپذیری:
قابلیتهای دسترسپذیری برای اطمینان از در دسترس بودن مداوم راهکار PAM برای کاربران و برنامههای کاربردی ضروری است. این قابلیتها شامل موارد زیر میشود:
- امکان تهیه نسخه پشتیبان: راهکار PAM باید از تهیه نسخه پشتیبان منظم از دادهها و پیکربندیها پشتیبانی کند تا در صورت بروز مشکل بتوان آنها را بازیابی کرد.
- امکان تعریف Backup Schedule: کاربران باید بتوانند برنامه زمانبندی تهیه نسخه پشتیبان را به دلخواه خود تنظیم کنند.
- پشتیبانی از High Availability: راهکار PAM باید از High Availability برای اطمینان از در دسترس بودن مداوم در صورت خرابی یک سرور پشتیبانی کند.
- امکان آرشیو نشستها: راهکار PAM باید از آرشیو نشستهای کاربران برای بررسیهای بعدی پشتیبانی کند.
مدیریت سلسله مراتبی:
مدیریت سلسله مراتبی به سازمانهای بزرگ با چندین زیرمجموعه امکان میدهد تا راهکار PAM را به طور موثر مدیریت کنند. این قابلیتها شامل موارد زیر میشود:
- مدیریت سلسله مراتبی سامانه به صورت آبشاری: این قابلیت به مدیران در سطوح مختلف سازمانی امکان میدهد تا به سطوح پایینتر دسترسی داشته باشند و آنها را مدیریت کنند.
- ماژول گزارش ساز: این ماژول به مدیران امکان میدهد تا گزارشهای سفارشی از فعالیت کاربران و عملکرد راهکار PAM ایجاد کنند.
- مدیریت متمرکز لاگها: این قابلیت به مدیران امکان میدهد تا لاگهای تمام سرورهای PAM را از یک مکان مرکزی مدیریت کنند.
- مشاهده وضعیت فعال بودن سامانه ها: این قابلیت به مدیران امکان میدهد تا وضعیت فعال بودن تمام سرورهای PAM را در یک نگاه مشاهده کنند.
سامانه تیکتینگ و درخواست اتصال با تایید مدیر بالادستی:
این قابلیت به کاربران اجازه میدهد تا برای دسترسی به منابع راه دور درخواست ارسال کنند و مدیران بالادستی آنها باید این درخواستها را تأیید کنند. این قابلیت میتواند به افزایش امنیت و کنترل دسترسی کمک کند.
نحوه لایسنس گذاری سیستم:
راهکارهای PAM با مدلهای لایسنسدهی مختلفی ارائه میشوند، مانند دائمی، سالانه یا مبتنی بر اشتراک. سازمانها باید مدلی را انتخاب کنند که به بهترین وجه با نیازها و بودجه آنها مطابقت داشته باشد.
ملاحظات دیگر:
علاوه بر قابلیتهایی که در جدول مقایسه ذکر شده است، عوامل دیگری نیز وجود دارد که سازمانها باید هنگام انتخاب راهکار PAM در نظر بگیرند، مانند:
- قیمت: قیمت راهکار PAM میتواند بسته به قابلیتها، مدل لایسنسدهی و تعداد کاربران متفاوت باشد.
- سهولت استفاده: راهکار PAM باید برای کاربران و مدیران آسان باشد.
- پشتیبانی: ارائه دهنده راهکار PAM باید پشتیبانی خوب و خدمات مشتری ارائه دهد.
- مقایسه فنی راهکارهای دسترسی از راه دور وRaymon WallixARCONو و Teleport
- مقایسه فنی
- 1. نحوه ارائه دسترسی به کاربران ممتاز و پیمانکاران
- :Raymonپشتیبانی از Invisible Mode، Portal Mode (HTML 5 Gateway)، Gateway Mode، Port Forward Mode.
: Wallixپشتیبانی از Bastion Mode و Portal Mode با استفاده از Wallix Access Manager.
:ARCON پشتیبانی از Gateway Mode.
:Teleport تنها پشتیبانی از Portal Mode (HTML 5 Gateway).
- 2. پروتکلهای تحت پوشش بدون سرور واسط (Jump Server)
- :Raymon پشتیبانی از RDP، RDP Gateway، SSH، Telnet، VNC، Http(s)، MS-SQL، SCP/SFTP.
- : Wallixپشتیبانی از RDP، RDP Gateway، SSH، Telnet، VNC، Http(s)، SCP/SFTP.
- :ARCON پشتیبانی از RDP، RDP Gateway، SSH، Telnet، VNC، Http(s)، MS-SQL، Oracle، PostgreSQL، MySQL، MongoDB، Kubernetes، SCP/SFTP.
- :Teleportپشتیبانی از RDP، SSH، PostgreSQL، MySQL، MongoDB، Kubernetes، SCP/SFTP
- 3. ممیزی کامل نشستهای کاربران ممتاز
- Raymonپشتیبانی از ضبط فعالیتهای کاربران به صورت ویدئویی، ثبت کیستروک، مانیتور کردن فرآیندها و اپلیکیشنها، ثبت لاگهای فرمان، پخش فعالیتها از طریق وب و تبدیل لاگ فعالیتها به فرمتهای عمومی مانند M4V. همچنین دارای قابلیت OCR Real-Time.
- :Wallixپشتیبانی از موارد مشابه Raymon با قابلیت تبدیل به فرمتهای M4V، AVI، MKV و WebM. OCR On-Demand.
- :ARCONمشابه Wallix، با تبدیل به فرمتهای M4V، AVI و WMV و وابستگی به سرویس OCR ثالث.
- :Teleport پشتیبانی از ضبط فعالیتها به صورت ویدئویی، بدون پشتیبانی از ثبت کیستروک، مانیتور کردن فرآیندها و اپلیکیشنها و لاگهای فرمان.
- 4. سیاستهای کنترلی و اعمال محدودیت
- :Raymonپشتیبانی از Black/Whitelisting اپلیکیشنها و فرمانها، کنترل انتقال فایل، سیاستهای زمانی، لیستهای کنترل دسترسی، محدودیتهای IP کلاینت، سرور محلی TACACS و امکان ایجاد پروفایلهای پیشفرض.
- :Wallixمشابه Raymon، اما بدون سرور محلی TACACS.
- :ARCONمشابه Wallix.
- :Teleportپشتیبانی محدود به Black/Whitelisting اپلیکیشنها و فرمانها، کنترل انتقال فایل و سیاستهای زمانی.
- 5. مدیریت حسابهای کاربری و ماژول احراز هویت
- :Raymonپشتیبانی از Active Directory/LDAP، چند دامنه، تأمینکننده هویت محلی، مخزن گذرواژه، مدیریت و تنظیم گذرواژه، اتصال مبتنی بر کلید و گواهی دیجیتال، رمزنگاری دادهها، SSO، MFA و Credential Mapping.
- :Wallixمشابه Raymon با نیاز به استفاده از Wallix Authenticator برای MFA.
- :ARCONمشابه Wallix.
- :Teleportپشتیبانی از Active Directory/LDAP، SSO، MFA و محدودیت در Credential Mapping.
- 6.مدیریت داراییها
- :RaymonWallix،ARCON پشتیبانی از مدیریت دستی، واردات از فایل CSV، Active Directory/LDAP و کشف خودکار.
- :Teleportپشتیبانی از مدیریت دستی و Active Directory/LDAP.
- 7. گزارشگیری، هشداردهی و رخدادنماها
- Raymon،WallixARCON :پشتیبانی از ارسال ایمیل هشدار، تهیه گزارش اپلیکیشنهای اجرا شده، ارسال امن رویدادها به Syslog Server، گزارشگیری از عملکرد کاربران، پشتیبانی از SNMP Trap، گزارشسازی دستی و زمانبندی شده و یکپارچهسازی با سامانههای تیکتینگ.
- :Teleport پشتیبانی از ارسال ایمیل هشدار، تهیه گزارش اپلیکیشنهای اجرا شده و ارسال امن رویدادها به Syslog Server.
- 8.قابلیتهای دسترسپذیری، پشتیبانگیری و بازیابی
Raymon، WallixARCON :پشتیبانی از تهیه نسخه پشتیبان دستی و خودکار، تعریف برنامه پشتیبانگیری، پشتیبانی از High Availability و آرشیو نشستهای ذخیره شده.
:Teleportمشابه موارد فوق بدون پشتیبانی از آرشیو نشستهای ذخیره شده.
- 9. مدیریت آبشاری برای سازمانهای دارای زیرمجموعههای توزیع شده
:Raymonپشتیبانی از مدیریت سلسلهمراتبی سامانه، گزارشسازی، مدیریت متمرکز لاگها و مشاهده وضعیت سامانهها.
Wallix،ARCON، Teleportعدم پشتیبانی.
- 10. سامانه تیکتینگ و درخواست اتصال با تایید مدیر بالادستی
Teleport پشتیبانی: – Raymon– Wallix ARCON،
- 11. نحوه لایسنسگذاری سیستم
- Raymonدائمی یا سالانه، بدون محدودیت در تعریف کاربر و تجهیزات، محدودیت در نشستهای همزمان.
- :Wallixلایسنس دائمی، محدودیت در تعریف کاربر و تجهیزات، محدودیت در نشستهای همزمان.
- :ARCONلایسنس سالانه، بدون محدودیت در تعریف کاربر و تجهیزات، محدودیت در نشستهای همزمان.
- :TeleportOpen Source/Enterprise بدون محدودیت در تعریف کاربر و تجهیزات، محدودیت در نشستهای همزمان.
- 12. مکانیزم داخلی محافظت از حملات Brute Force
- :ARCONپشتیبانی.Raymon،Wallix،
- Teleport عدم پشتیبانی.
نتیجهگیری
هر یک از این راهکارها مزایا و معایب خاص خود را دارند. انتخاب مناسبترین راهکار بسته به نیازهای خاص سازمان شما، سطح امنیتی مورد نیاز، تعداد کاربران، و نحوه مدیریت و کنترل دسترسیها دارد. در جدول زیر خلاصهای از قابلیتهای کلیدی هر یک از این راهکارها آورده شده است تا به شما در تصمیمگیری کمک کند.
این جدول به شما کمک میکند تا راهکار مناسب برای نیازهای خود را بر اساس ویژگیها و قابلیتهای هر سیستم انتخاب کنید.
موضوع |
رایمون |
Wallix |
ARCON |
Teleport |
|---|---|---|---|---|
|
نحوه ارائه دسترسی به کاربران ممتاز و پیمانکاران |
|
|
|
|
|
Portal Mode (HTML 5 Gateway)
|
|
نیاز به استفاده از Wallix Access Manager
|
|
|
|
Gateway Mode
|
|
|
|
|
|
Bastion Mode
|
|
|
|
|
|
Port Forward Mode
|
|
|
|
|
|
پروتکلهای تحت پوشش بدون سرور واسط (Jump Server)
|
|
|
|
|
|
RDP Gateway
|
|
|
|
|
|
SSH
|
|
|
|
|
|
Telnet |
|
|
|
|
|
VNC |
|
|
|
|
|
Http(s)
|
|
بدون لاگ ویدئویی
|
با استفاده از ایجنت سمت کلاینت
|
|
|
MS-SQL
|
|
|
با استفاده از ایجنت سمت کلاینت
|
|
|
ORACLE |
|
|
با استفاده از ایجنت سمت کلاینت
|
|
|
PostgreSQL
|
|
|
با استفاده از ایجنت سمت کلاینت
|
|
|
MySQL |
|
|
با استفاده از ایجنت سمت کلاینت |
|
|
MongoDB
|
|
|
با استفاده از ایجنت سمت کلاینت
|
|
|
Kubernetes
|
|
|
با استفاده از ایجنت سمت کلاینت
|
|
|
SCP / SFTP |
|
|
|
|
|
پروتکلهای تحت پوشش با سرور واسط (Jump Server)
|
بدون محدودیت
|
بدون محدودیت
|
بدون محدودیت
|
بدون محدودیت
|
|
ممیزی کامل نشستهای کاربران ممتاز
|
|
|
|
|
|
Keystroke
|
|
|
|
|
|
File Transfer
|
ارائه نسخه اصلی فایل
|
|
|
|
|
Process & App Monitor
|
|
|
|
|
|
Command Log
|
|
|
|
|
|
Replay Activity Player
|
Web-Based
|
Web-Based
|
Web-Based
|
Web-Based
|
|
Convert Activity Log to General Format
|
M4V
|
M4V-AVI-MKV-WebM
|
M4V-AVI-WMV
|
|
|
Real-Time OCR
|
|
On-Demand
|
وابسته به سرویس OCR ثالث
|
|
|
نظارت چهارچشمی
|
On-Line View
|
|
|
|
|
Force Stop Session
|
|
|
|
|
|
Suspend Session
|
|
|
|
|
|
قابلیت Full-Text Search
|
OCR
|
Full Screen Built-in OCR |
Title Bar & Windows Built-in OCR (Action-Based/Optimized)
|
وابسته به سرویس OCR ثالث
|
|
Keystroke & Commands
|
|
|
|
|
|
App & Process
|
|
|
|
|
|
File Transfer
|
|
|
|
|
|
سیاستهای کنترلی و اعمال محدودیت
|
Blacklisting/Whitelisting of Applications
|
|
|
|
|
Blacklisting/Whitelisting of commands
|
|
|
|
|
|
File Transferring
|
|
|
|
|
|
Time Policy
|
|
|
|
|
|
Access Control List
|
|
|
|
|
|
Client IP Restriction
|
|
|
|
|
|
Local TACACS Server
|
|
|
|
|
|
امکان Bypass کردن مکانیزم Command Control Policy در تجهیزات شبکه
|
غیر ممکن بخاطر وجود Local TACACS Server
|
ممکن بخاطر وابسته بودن به Regex
|
|
|
|
داشتن پروفایلهای پیشفرض برای اعمال محدودیت
|
|
|
|
|
|
مدیریت حسابهای کاربری و ماژول احراز هویت
|
Active Directory/LDAP Integration
|
|
|
|
|
Multi-Domain Support
|
|
|
|
|
|
Local Identity Provider
|
|
|
|
|
|
Password Vault
|
|
|
|
|
|
Password Management
|
|
|
|
|
|
Remote Password Reset
|
|
|
|
|
|
تعریف و مدیریت و اختصاص کلید رمز به کاربران جهت اتصالات SSH مبتنی بر کلید
|
|
|
|
|
|
تعریف و مدیریت و اختصاص Certificate به کاربران جهت اتصالات مبتنی بر گواهی دیجیتال
|
|
|
|
|
|
رمزنگاری دادههای موجود در Password Vault مبتنی بر توکن سختافزاری
|
|
|
|
|
|
Single Sign On (SSO)
|
|
|
|
|
|
MFA
|
|
نیاز به استفاده از Wallix Authenticator
|
|
|
|
Credential Mapping
|
|
|
|
|
|
Authentication Method
|
Local, Active Directory, LDAP, Destination Server
|
Local, Active Directory, LDAP, RADIUS, Destination Server
|
Local, Active Directory, LDAP, RADIUS, Destination Server
|
Local, LDAP, SAML
|
|
Self-Service Page
|
|
|
|
|
|
مدیریت داراییها
|
|
|
|
|
|
Import from CSV File
|
|
|
|
|
|
Active Directory / LDAP
|
|
|
|
|
|
Auto-Discovery
|
|
|
|
|
|
گزارشگیری، هشداردهی و رخدادنماها
|
|
|
|
|
|
تهیه گزارش اپلیکیشنهای اجرا شده توسط کاربر و ارسال آن به Syslog Server
|
|
|
|
|
|
ارسال امن رویدادهای سیستم به Syslog Server
|
|
|
|
|
|
گزارشگیری از عملکرد کاربران در قالب فایل CSV
|
|
|
|
|
|
پشتیبانی از SNMP Trap
|
|
|
|
|
|
گزارشسازی دستی و زمانبندی شده با امکان سفارشیسازی قالب، فرمتهای مختلف و ارسال ایمیل
|
وابسته به ابزار BI
|
|
|
|
|
یکپارچهسازی با سامانههای تیکتینگ رایج
|
|
|
|
|
|
قابلیتهای دسترسپذیری، پشتیبانگیری و بازیابی
|
|
|
|
|
|
امکان تعریف برنامه زمانبندی برای تهیه نسخه پشتیبان
|
|
|
|
|
|
پشتیبانی از High Availability
|
|
|
|
|
|
آرشیو کردن نشستهای ذخیره شده
|
|
|
|
|
|
مدیریت آبشاری برای سازمانهای دارای زیرمجموعههای توزیع شده
|
|
|
|
|
|
سامانه تیکتینگ و درخواست اتصال با تایید مدیر بالادستی
|
|
|
|
|
|
نحوه لایسنسگذاری سیستم
|
لایسنس دائمی یا سالانه، بدون محدودیت در تعریف کاربر و تجهیزات، محدودیت در تعداد نشستهای همزمان
|
|
لایسنس دائمی، محدودیت در تعریف کاربر و تجهیزات، محدودیت در تعداد نشستهای همزمان
|
لایسنس سالانه، بدون محدودیت در تعریف کاربر و تجهیزات، محدودیت در تعداد نشستهای همزمان
|
