Jede Sitzung passiert fünf unabhängige Tore. Alle müssen öffnen. Eines genügt, um einen Angriff zu stoppen.
wie vaultpam funktioniert, in zahlen.
Fünf Tore pro Sitzung, fünf Schritte zum Onboarding, eine EU-Region, null Firewall-Änderungen. Dieselben Fakten, die die animierten Diagramme erzählten — flach, schnell und leicht zu prüfen.
Das ganze Produkt in sechs Zahlen.
Operator-Onboarding — vom Konto zur Live-Sitzung — in fünf Schritten, Minuten statt Tage.
Der Connector wählt nur ausgehend. Keine eingehenden Ports, keine Firewall-Ausnahmen anzufordern.
Alle Daten, Aufzeichnungen und Tresore liegen in GCP europe-central2 (Warschau). Eine Region, kein Ausgang.
Zugangsdaten mit AES-256-GCM im Ruhezustand verschlüsselt, hinter TLS 1.3 bei der Übertragung.
Jede privilegierte Sitzung aufgezeichnet und in ein manipulationssicheres, hash-verkettetes Protokoll geschrieben.
Fünf Tore. Alle müssen öffnen. Eines stoppt einen Angriff.
Web Application Firewall
Tor 0 — WAF. Fehlerhafter und bösartiger Datenverkehr wird verworfen, bevor er den Broker erreicht.
Multi-Faktor-Authentifizierung
Tor 1 — MFA. Die Identität wird mit TOTP oder FIDO2/WebAuthn nachgewiesen, bevor ein Ziel genannt wird.
Rollenbasierte Zugriffskontrolle
Tor 2 — RBAC. Die Rolle entscheidet, welche Ziele überhaupt sichtbar sind. Keine Rolle, kein Pfad.
Anmeldedaten-Injektion
Tor 3 — Tresor. Zugangsdaten werden just-in-time ausgecheckt und auf Protokollebene injiziert — nie dem Benutzer gezeigt.
Sitzungsaufzeichnung
Tor 4 — REC. Die Sitzung wird durchgängig aufgezeichnet und in die Audit-Kette signiert.
Fünf Schritte, Minuten statt Tage.
Konto erstellen
Ein Operator-Konto wird bereitgestellt. Zu diesem Zeitpunkt wird kein dauerhafter Zugriff gewährt.
Rolle zuweisen
Eine Rolle wird angefügt. Die Rolle — nicht die Person — definiert die erreichbaren Ziele.
Zugriff anfordern
Der Operator fordert Zugriff auf ein bestimmtes Ziel für ein bestimmtes Zeitfenster an.
Tresor genehmigt
Der Tresor genehmigt und checkt ein zeitlich begrenztes, just-in-time Anmeldedatum aus.
Sitzung startet
Eine aufgezeichnete Sitzung öffnet sich. Von der Kontoerstellung zur Live-Sitzung dauert es unter fünf Minuten.
Nur ausgehend. Keine Firewall-Änderungen.
| Eigenschaft | Verhalten | Wert |
|---|---|---|
| Richtung | Nur ausgehend — der Connector ruft nach Hause | Kein eingehend |
| Eingehende Ports | Keine in Ihrem Netzwerk geöffnet | 0 |
| Transport | Verschlüsselter Tunnel über Port 443 | TLS 1.3 |
| Fehlermodus | Fail-closed — Verlust des Tunnels beendet Sitzungen | Fail-closed |
| Firewall-Änderungen | Keine Ausnahmen anzufordern oder zu pflegen | 0 |
Ihre Daten bleiben in der EU. Verschlüsselt im Ruhezustand und bei Übertragung.
| Kontrolle | Detail | Wert |
|---|---|---|
| Primäre Region | GCP europe-central2 (Warschau) — primär und einzig | EU |
| Regionenübergreifende Replikation | Keine außerhalb der EU | KEINE |
| Zugangsdaten im Ruhezustand | AES-256-GCM, Schlüssel separat gespeichert und rotiert | AES-256-GCM |
| Datenverkehr bei Übertragung | TLS 1.3 für Sitzungen; RDP, SSH und DB über verschlüsselte Tunnel | TLS 1.3 |
| Sitzungsaufzeichnungen | Verschlüsselung auf Objektebene in GCS (europe-central2) | Verschlüsselt |
| Drittland-Übertragungen | DSGVO/RODO Artikel 44 — keine | KEINE |
Wo Sie auf der NIS2-Uhr stehen.
| Datum | Meilenstein | Status |
|---|---|---|
| Okt 2024 | NIS2-Umsetzungsfrist für die Mitgliedstaaten | Vorbei |
| Jan 2025 | NIS2-Richtlinie EU-weit wirksam | Wirksam |
| Okt 2025 | Registrierungsfrist für wesentliche Einrichtungen aus Anhang I | Vorbei |
| Heute | Durchsetzung läuft — wo Sie gerade stehen | Jetzt |