در دنیای امروز، دسترسی امن به منابع سازمانی از هر نقطه و هر دستگاهی ضروری است. راهکارهای دسترسی از راه دور (Remote Access Solutions - RAS) به سازمان‌ها این امکان را می‌دهند که به کاربران خود دسترسی امن و کنترلی به دسکتاپ‌ها، برنامه‌ها و داده‌ها را از طریق اینترنت ارائه دهند. در این مقاله، چهار راهکارPAM  محبوب یعنی Raymon، Wallix، ARCON و Teleport را با هم مقایسه می‌کنیم. این مقایسه بر اساس قابلیت‌ها، ویژگی‌ها، مزایا و معایب هر راهکار انجام می‌شود.

در ادامه، توضیحات بیشتری در مورد هر یک از قابلیت‌های ذکر شده در جدول ارائه می‌کنیم:

نحوه ارائه دسترسی:

• Invisible Mode: در این حالت، کاربران به طور مستقیم به دسکتاپ‌ها یا برنامه‌های راه دور متصل می‌شوند و هیچ واسطه‌ای بین آنها وجود ندارد. این روش امن‌ترین روش است، اما می‌تواند برای مدیریت پیچیده‌تر باشد.
• Portal Mode: در این حالت، کاربران از طریق یک پورتال وب به دسکتاپ‌ها یا برنامه‌های راه دور متصل می‌شوند. این روش مدیریت آسان‌تری را ارائه می‌دهد، اما به اندازه Invisible Mode امن نیست.
• Gateway Mode: در این حالت، کاربران از طریق یک سرور واسط به دسکتاپ‌ها یا برنامه‌های راه دور متصل می‌شوند. این روش تعادل خوبی بین امنیت و قابلیت مدیریت ارائه می‌دهد.
• Bastion Mode: در این حالت، کاربران ابتدا به یک سرور Bastion امن متصل می‌شوند و سپس از طریق آن به دسکتاپ‌ها یا برنامه‌های راه دور متصل می‌شوند. این روش امن‌ترین روش است، اما پیچیده‌ترین روش برای مدیریت نیز می‌باشد.

پروتکل‌های تحت پوشش:

راهکارهای PAM از پروتکل‌های مختلفی برای انتقال داده بین کاربران و منابع راه دور پشتیبانی می‌کنند. رایج‌ترین پروتکل‌ها عبارتند از:

• RDP (Remote Desktop Protocol): این پروتکل برای دسترسی به دسکتاپ‌های ویندوز استفاده می‌شود.
• RDP Gateway: این پروتکل RDP را از طریق یک سرور واسط امن ارائه می‌دهد.
• SSH (Secure Shell): این پروتکل برای دسترسی به سرورهای لینوکس و یونیکس استفاده می‌شود.
• Telnet: این پروتکل برای دسترسی به دستگاه‌های شبکه مبتنی بر متن استفاده می‌شود.
• VNC (Virtual Network Computing): این پروتکل برای به اشتراک‌گذاری دسکتاپ‌ها در زمان واقعی استفاده می‌شود.
• Http(s): این پروتکل برای دسترسی به برنامه‌های وب استفاده می‌شود.

پشتیبانی از دیتابیس:

برخی از راهکارهای PAM می‌توانند به طور مستقیم به دیتابیس‌ها متصل شوند و به کاربران امکان می‌دهند تا از راه دور به آنها دسترسی داشته باشند. این قابلیت برای سازمان‌هایی که از دیتابیس‌ها برای ذخیره داده‌های حساس استفاده می‌کنند، مفید است.

پشتیبانی از پروتکل‌ها با Jump Server:

Jump Serverها سرورهای واسطه‌ای هستند که به کاربران امکان می‌دهند به طور امن به چندین دستگاه یا برنامه راه دور متصل شوند. برخی از راهکارهای PAM از App Sharing در Jump Serverها پشتیبانی می‌کنند که به کاربران امکان می‌دهد برنامه‌ها را بدون نیاز به نصب آنها بر روی دستگاه خود اجرا کنند.

ممیزی و ضبط نشست‌ها:

راهکارهای PAM می‌توانند نشست‌های کاربران را ممیزی و ضبط کنند که به سازمان‌ها امکان می‌دهد فعالیت کاربران را ردیابی کنند و در صورت بروز مشکل، شواهدی داشته باشند.

نظارت چهارچشمی:

نظارت چهارچشمی به دو یا چند کاربر اجازه می‌دهد تا به طور همزمان به یک دسکتاپ یا برنامه راه دور متصل شوند. این قابلیت برای آموزش یا ارائه پشتیبانی از راه دور مفید است.

قابلیت‌های کنترلی:

راهکارهای PAM طیف گسترده‌ای از قابلیت‌های کنترلی را ارائه می‌دهند که به سازمان‌ها امکان می‌دهد دسترسی کاربران به منابع راه دور را محدود کنند. این قابلیت‌ها شامل Blacklisting/Whitelisting برنامه‌ها و دستورات، محدود کردن انتقال فایل، اعمال Time Policy، ایجاد Access Control Listها، محدود کردن IPهای کاربران و ... می‌شود.

مدیریت حساب‌های کاربری:

راهکارهای PAM با Active Directory، LDAP و سایر دایرکتوری‌های سازمانی ادغام می‌شوند تا مدیریت حساب‌های کاربری را آسان‌تر کنند. این قابلیت‌ها شامل احراز هویت کاربران، مدیریت رمز عبور، تنظیم مجدد رمز عبور از راه دور و ... می‌شود.

احراز هویت:

راهکارهای PAM از Single Sign On (SSO)، احراز هویت چند عاملی (MFA) و سایر روش‌های احراز هویت برای ایمن‌تر کردن دسترسی به منابع راه دور پشتیبانی می‌کنند.

مدیریت دارایی‌ها:

راهکارهای PAM می‌توانند برای مدیریت دارایی‌های سازمانی، مانند دستگاه‌ها، برنامه‌ها و کاربران، استفاده شوند. این قابلیت‌ها شامل Import اطلاعات از فایل‌های CSV، ادغام با Active Directory/LDAP، کشف خودکار دستگاه‌ها، کشف حساب‌ها و ... می‌شود.

گزارش‌گیری:

راهکارهای PAM طیف گسترده‌ای از گزارش‌ها را ارائه می‌دهند که به سازمان‌ها امکان می‌دهد انواع فعالیت کاربران به نمایش بزارند

قابلیت‌های دسترس‌پذیری:

قابلیت‌های دسترس‌پذیری برای اطمینان از در دسترس بودن مداوم راهکار PAM برای کاربران و برنامه‌های کاربردی ضروری است. این قابلیت‌ها شامل موارد زیر می‌شود:

• امکان تهیه نسخه پشتیبان: راهکار PAM باید از تهیه نسخه پشتیبان منظم از داده‌ها و پیکربندی‌ها پشتیبانی کند تا در صورت بروز مشکل بتوان آنها را بازیابی کرد.
• امکان تعریف Backup Schedule: کاربران باید بتوانند برنامه زمان‌بندی تهیه نسخه پشتیبان را به دلخواه خود تنظیم کنند.
• پشتیبانی از High Availability: راهکار PAM باید از High Availability برای اطمینان از در دسترس بودن مداوم در صورت خرابی یک سرور پشتیبانی کند.
• امکان آرشیو نشست‌ها: راهکار PAM باید از آرشیو نشست‌های کاربران برای بررسی‌های بعدی پشتیبانی کند.

مدیریت سلسله مراتبی:

مدیریت سلسله مراتبی به سازمان‌های بزرگ با چندین زیرمجموعه امکان می‌دهد تا راهکار PAM را به طور موثر مدیریت کنند. این قابلیت‌ها شامل موارد زیر می‌شود:

• مدیریت سلسله مراتبی سامانه به صورت آبشاری: این قابلیت به مدیران در سطوح مختلف سازمانی امکان می‌دهد تا به سطوح پایین‌تر دسترسی داشته باشند و آنها را مدیریت کنند.
• ماژول گزارش ساز: این ماژول به مدیران امکان می‌دهد تا گزارش‌های سفارشی از فعالیت کاربران و عملکرد راهکار PAM ایجاد کنند.
• مدیریت متمرکز لاگ‌ها: این قابلیت به مدیران امکان می‌دهد تا لاگ‌های تمام سرورهای PAM را از یک مکان مرکزی مدیریت کنند.
• مشاهده وضعیت فعال بودن سامانه ها: این قابلیت به مدیران امکان می‌دهد تا وضعیت فعال بودن تمام سرورهای PAM را در یک نگاه مشاهده کنند.

سامانه تیکتینگ و درخواست اتصال با تایید مدیر بالادستی:

این قابلیت به کاربران اجازه می‌دهد تا برای دسترسی به منابع راه دور درخواست ارسال کنند و مدیران بالادستی آنها باید این درخواست‌ها را تأیید کنند. این قابلیت می‌تواند به افزایش امنیت و کنترل دسترسی کمک کند.

نحوه لایسنس گذاری سیستم:

راهکارهای PAM با مدل‌های لایسنس‌دهی مختلفی ارائه می‌شوند، مانند دائمی، سالانه یا مبتنی بر اشتراک. سازمان‌ها باید مدلی را انتخاب کنند که به بهترین وجه با نیازها و بودجه آنها مطابقت داشته باشد.

ملاحظات دیگر:

علاوه بر قابلیت‌هایی که در جدول مقایسه ذکر شده است، عوامل دیگری نیز وجود دارد که سازمان‌ها باید هنگام انتخاب راهکار PAM در نظر بگیرند، مانند:

• قیمت: قیمت راهکار PAM می‌تواند بسته به قابلیت‌ها، مدل لایسنس‌دهی و تعداد کاربران متفاوت باشد.
• سهولت استفاده: راهکار PAM باید برای کاربران و مدیران آسان باشد.
• پشتیبانی: ارائه دهنده راهکار PAM باید پشتیبانی خوب و خدمات مشتری ارائه دهد.

مقایسه فنی راهکارهای دسترسی از راه دور  وRaymon WallixARCONو و Teleport

مقایسه فنی

 1. نحوه ارائه دسترسی به کاربران ممتاز و پیمانکاران

- :Raymonپشتیبانی از Invisible Mode، Portal Mode (HTML 5 Gateway)، Gateway Mode، Port Forward Mode.

-: Wallix پشتیبانی از Bastion Mode و Portal Mode با استفاده از Wallix Access Manager.

- :ARCON پشتیبانی از Gateway Mode.

-:Teleport تنها پشتیبانی از Portal Mode (HTML 5 Gateway).

 2. پروتکل‌های تحت پوشش بدون سرور واسط (Jump Server)

- :Raymon پشتیبانی از RDP، RDP Gateway، SSH، Telnet، VNC، Http(s)، MS-SQL، SCP/SFTP.

-: Wallix پشتیبانی از RDP، RDP Gateway، SSH، Telnet، VNC، Http(s)، SCP/SFTP.

- :ARCON پشتیبانی از RDP، RDP Gateway، SSH، Telnet، VNC، Http(s)، MS-SQL، Oracle، PostgreSQL، MySQL، MongoDB، Kubernetes، SCP/SFTP.

- :Teleportپشتیبانی از RDP، SSH، PostgreSQL، MySQL، MongoDB، Kubernetes، SCP/SFTP.

 3. ممیزی کامل نشست‌های کاربران ممتاز

- Raymon پشتیبانی از ضبط فعالیت‌های کاربران به صورت ویدئویی، ثبت کیستروک، مانیتور کردن فرآیندها و اپلیکیشن‌ها، ثبت لاگ‌های فرمان، پخش فعالیت‌ها از طریق وب و تبدیل لاگ فعالیت‌ها به فرمت‌های عمومی مانند M4V. همچنین دارای قابلیت OCR Real-Time.

- Wallixپشتیبانی از موارد مشابه Raymon با قابلیت تبدیل به فرمت‌های M4V، AVI، MKV و WebM. OCR On-Demand.

- ARCON مشابه Wallix، با تبدیل به فرمت‌های M4V، AVI و WMV و وابستگی به سرویس OCR ثالث.

- Teleport پشتیبانی از ضبط فعالیت‌ها به صورت ویدئویی، بدون پشتیبانی از ثبت کیستروک، مانیتور کردن فرآیندها و اپلیکیشن‌ها و لاگ‌های فرمان.

 4. سیاست‌های کنترلی و اعمال محدودیت

- Raymon پشتیبانی از Black/Whitelisting اپلیکیشن‌ها و فرمان‌ها، کنترل انتقال فایل، سیاست‌های زمانی، لیست‌های کنترل دسترسی، محدودیت‌های IP کلاینت، سرور محلی TACACS و امکان ایجاد پروفایل‌های پیش‌فرض.

- Wallix مشابه Raymon، اما بدون سرور محلی TACACS.

- ARCONمشابه Wallix.

- Teleportپشتیبانی محدود به Black/Whitelisting اپلیکیشن‌ها و فرمان‌ها، کنترل انتقال فایل و سیاست‌های زمانی.

 5. مدیریت حساب‌های کاربری و ماژول احراز هویت

- Raymonپشتیبانی از Active Directory/LDAP، چند دامنه، تأمین‌کننده هویت محلی، مخزن گذرواژه، مدیریت و تنظیم گذرواژه، اتصال مبتنی بر کلید و گواهی دیجیتال، رمزنگاری داده‌ها، SSO، MFA و Credential Mapping.

- Wallixمشابه Raymon با نیاز به استفاده از Wallix Authenticator برای MFA.

- ARCONمشابه Wallix.

- Teleportپشتیبانی از Active Directory/LDAP، SSO، MFA و محدودیت در Credential Mapping.

 6.مدیریت دارایی‌ها

- Raymon، Wallix، ARCON پشتیبانی از مدیریت دستی، واردات از فایل CSV، Active Directory/LDAP و کشف خودکار.

- Teleport: پشتیبانی از مدیریت دستی و Active Directory/LDAP.

 7. گزارش‌گیری، هشداردهی و رخدادنماها

- Raymon، Wallix، ARCON: پشتیبانی از ارسال ایمیل هشدار، تهیه گزارش اپلیکیشن‌های اجرا شده، ارسال امن رویدادها به Syslog Server، گزارش‌گیری از عملکرد کاربران، پشتیبانی از SNMP Trap، گزارش‌سازی دستی و زمان‌بندی شده و یکپارچه‌سازی با سامانه‌های تیکتینگ.

- Teleport: پشتیبانی از ارسال ایمیل هشدار، تهیه گزارش اپلیکیشن‌های اجرا شده و ارسال امن رویدادها به Syslog Server.

 8.قابلیت‌های دسترس‌پذیری، پشتیبان‌گیری و بازیابی

- Raymon، Wallix، ARCON: پشتیبانی از تهیه نسخه پشتیبان دستی و خودکار، تعریف برنامه پشتیبان‌گیری، پشتیبانی از High Availability و آرشیو نشست‌های ذخیره شده.

- Teleport: مشابه موارد فوق بدون پشتیبانی از آرشیو نشست‌های ذخیره شده.

 9. مدیریت آبشاری برای سازمان‌های دارای زیرمجموعه‌های توزیع شده

- Raymon: پشتیبانی از مدیریت سلسله‌مراتبی سامانه، گزارش‌سازی، مدیریت متمرکز لاگ‌ها و مشاهده وضعیت سامانه‌ها.

- Wallix، ARCON، Teleport: عدم پشتیبانی.

 10. سامانه تیکتینگ و درخواست اتصال با تایید مدیر بالادستی

- Raymon:- Wallix، ARCON، Teleport: پشتیبانی.

 11. نحوه لایسنس‌گذاری سیستم

- Raymonدائمی یا سالانه، بدون محدودیت در تعریف کاربر و تجهیزات، محدودیت در نشست‌های همزمان.

- Wallix لایسنس دائمی، محدودیت در تعریف کاربر و تجهیزات، محدودیت در نشست‌های همزمان.

- ARCON لایسنس سالانه، بدون محدودیت در تعریف کاربر و تجهیزات، محدودیت در نشست‌های همزمان.

- TeleportOpen Source/Enterprise، بدون محدودیت در تعریف کاربر و تجهیزات، محدودیت در نشست‌های همزمان.

 12. مکانیزم داخلی محافظت از حملات Brute Force

- Raymon، Wallix، ARCON: پشتیبانی.

- Teleport عدم پشتیبانی.

 نتیجه‌گیری

هر یک از این راهکارها مزایا و معایب خاص خود را دارند. انتخاب مناسب‌ترین راهکار بسته به نیازهای خاص سازمان شما، سطح امنیتی مورد نیاز، تعداد کاربران، و نحوه مدیریت و کنترل دسترسی‌ها دارد. در جدول زیر خلاصه‌ای از قابلیت‌های کلیدی هر یک از این راهکارها آورده شده است تا به شما در تصمیم‌گیری کمک کند.