Każda sesja przechodzi przez pięć niezależnych bramek. Wszystkie muszą się otworzyć. Jedna wystarczy, by zatrzymać atak.
jak działa vaultpam, w liczbach.
Pięć bramek na sesję, pięć kroków wdrożenia, jeden region UE, zero zmian w zaporze. Te same fakty, które opowiadały animowane diagramy — płasko, szybko i łatwo do sprawdzenia.
Cały produkt w sześciu liczbach.
Wdrożenie operatora — od konta do żywej sesji — w pięciu krokach, w minuty nie dni.
Konektor łączy się tylko wychodząco. Żadnych portów przychodzących, żadnych wyjątków w zaporze.
Wszystkie dane, nagrania i sejfy żyją w GCP europe-central2 (Warszawa). Jeden region, bez wyjścia.
Poświadczenia szyfrowane AES-256-GCM w spoczynku, za TLS 1.3 w tranzycie.
Każda uprzywilejowana sesja nagrana i zapisana w odpornym na manipulacje rejestrze haszowym.
Pięć bramek. Wszystkie muszą się otworzyć. Jedna zatrzymuje atak.
Zapora aplikacji webowej
Bramka 0 — WAF. Zniekształcony i złośliwy ruch jest odrzucany, zanim dotrze do brokera.
Uwierzytelnianie wieloskładnikowe
Bramka 1 — MFA. Tożsamość potwierdzona przez TOTP lub FIDO2/WebAuthn, zanim padnie nazwa celu.
Kontrola dostępu oparta na rolach
Bramka 2 — RBAC. Rola decyduje, które cele są w ogóle widoczne. Brak roli, brak ścieżki.
Wstrzykiwanie poświadczeń
Bramka 3 — Sejf. Poświadczenia pobierane just-in-time i wstrzykiwane na poziomie protokołu — nigdy pokazywane użytkownikowi.
Nagrywanie sesji
Bramka 4 — REC. Sesja nagrywana od końca do końca i podpisywana w łańcuchu audytu.
Pięć kroków, minuty nie dni.
Utwórz konto
Konto operatora zostaje utworzone. Na tym etapie nie przyznaje się stałego dostępu.
Przypisz rolę
Dołączana jest rola. To rola — nie osoba — definiuje osiągalne cele.
Poproś o dostęp
Operator prosi o dostęp do konkretnego celu w konkretnym oknie czasowym.
Sejf zatwierdza
Sejf zatwierdza i pobiera poświadczenie ograniczone czasowo, just-in-time.
Sesja startuje
Otwiera się nagrywana sesja. Od utworzenia konta do żywej sesji mija mniej niż pięć minut.
Tylko wychodzący. Bez zmian w zaporze.
| Właściwość | Zachowanie | Wartość |
|---|---|---|
| Kierunek | Tylko wychodzący — konektor sam się zgłasza | Brak przychodzącego |
| Porty przychodzące | Żadnych otwartych w Twojej sieci | 0 |
| Transport | Szyfrowany tunel przez port 443 | TLS 1.3 |
| Tryb awarii | Fail-closed — utrata tunelu kończy sesje | Fail-closed |
| Zmiany w zaporze | Żadnych wyjątków do zgłaszania ani utrzymywania | 0 |
Twoje dane zostają w UE. Szyfrowane w spoczynku i w tranzycie.
| Kontrola | Szczegół | Wartość |
|---|---|---|
| Region główny | GCP europe-central2 (Warszawa) — główny i jedyny | UE |
| Replikacja międzyregionalna | Żadnej poza UE | BRAK |
| Poświadczenia w spoczynku | AES-256-GCM, klucze przechowywane i rotowane oddzielnie | AES-256-GCM |
| Ruch w tranzycie | TLS 1.3 dla sesji; RDP, SSH i bazy przez szyfrowane tunele | TLS 1.3 |
| Nagrania sesji | Szyfrowanie na poziomie obiektu w GCS (europe-central2) | Szyfrowane |
| Transfery do krajów trzecich | GDPR/RODO art. 44 — żadnych | BRAK |
Gdzie jesteś na zegarze NIS2.
| Data | Kamień milowy | Status |
|---|---|---|
| Paź 2024 | Termin transpozycji NIS2 dla państw członkowskich | Minął |
| Sty 2025 | Dyrektywa NIS2 obowiązuje w całej UE | Obowiązuje |
| Paź 2025 | Termin rejestracji podmiotów kluczowych z Aneksu I | Minął |
| Dziś | Egzekwowanie trwa — gdzie jesteś w tej chwili | Teraz |