Skip to main content
VaultPAM
00 Wie es funktioniert

sehen sie genau, wie vaultpam funktioniert. keine schwarzen boxen.

Jede Verbindung läuft durch VaultPAM — authentifiziert, autorisiert, aufgezeichnet. Nichts erreicht Ihre Infrastruktur direkt.

01 Systemarchitektur

Drei Zonen. Ein Sicherheitsmodell.

Der gesamte Datenverkehr fließt durch VaultPAM — nichts erreicht Ihre Infrastruktur direkt.

01

Die Nutzerzone

Browser, native RDP- und SSH-Clients. Wer auch immer sich verbindet, von wo auch immer — jede Anfrage betritt dieselbe Eingangstür.

02

VaultPAM — der Broker

Hier finden Authentifizierung, Autorisierung und Aufzeichnung statt. Nichts erreicht Ihre Infrastruktur direkt; jeder Pfad wird vermittelt.

03

Ihre Infrastruktur

Server, Datenbanken, Jump-Hosts. Erreichbar nur über VaultPAM, nur mit injizierten Anmeldedaten, die der Nutzer nie sieht.

JEDER PFAD VERMITTELT BLOCKIERT — KEIN BROKER VAULT PAM BROWSER RDP SSH RDP-PROD SSH-BASTION DB-MASTER VAULTPAM DREI ZONEN ABB.01 EU-WAW · NIS2
Abb. 01 Nutzerzone → Broker → Infrastruktur. Kein Knoten erreicht die Infrastruktur direkt.
02 Zugriffsmethoden

Drei Verbindungswege. Ein Sicherheitsmodell.

Ob Ihr Team einen Browser, nativen RDP-Client oder SSH-Terminal verwendet — jede Sitzung durchläuft dieselbe Authentifizierungs-, Autorisierungs- und Aufzeichnungs-Pipeline.

2.1 · HTTPS

Browser

Browser öffnen. Kein Plugin, kein VPN, kein RDP-Client. Die vollständige Sitzung einschließlich Aufzeichnung läuft im Browser über HTTPS.

2.2 · RDP/TLS

Nativer RDP-Client

Beliebige Standard-RDP-Anwendung verwenden. VaultPAM vermittelt die Sitzung über sein Gateway — MFA, RBAC und Aufzeichnung gelten genauso wie im Browser.

2.3 · SSH/TLS

Nativer SSH-Client

Beliebigen Terminal-Emulator verwenden. Mit dem SSH-Gateway von VaultPAM verbinden, nicht direkt mit dem Ziel. Vollständiger Audit-Trail, gleiche Richtlinie.

03 Sicherheits-Pipeline

Was innerhalb von VaultPAM passiert.

Fünf Schritte — jedes Mal, für jede Sitzung, für jedes Protokoll.

01

WAF filtert jede Anfrage

OWASP Top 10, SQL-Injection, XSS — bevor irgendeine Anwendungslogik läuft.

02

MFA wird erzwungen

TOTP, Hardware-Schlüssel (YubiKey, Touch ID) oder Ihr vorhandener SSO-Anbieter. Keine Sitzung ohne MFA.

03

RBAC prüft den Zugriff

Die Rolle des Nutzers und die Zielberechtigungen werden verifiziert, bevor eine Sitzung geöffnet wird.

04

Anmeldedaten aus dem Tresor

Anmeldedaten werden aus dem verschlüsselten Tresor abgerufen und in die Sitzung injiziert — der Nutzer sieht das Passwort nie.

05

Sitzung durchgehend aufgezeichnet

Jede Sitzung wird vollständig aufgezeichnet — manipulationssicher, audit-tauglich, ausschließlich in der EU gespeichert.

04 Der Connector

Keine eingehenden Ports erforderlich.

Der VaultPAM-Connector läuft in Ihrem Netzwerk und initiiert einen ausschließlich ausgehenden verschlüsselten Tunnel zur VaultPAM Cloud. Ihre Firewall muss nie eine eingehende Regel öffnen.

Der gesamte Connector-Datenverkehr verwendet gegenseitiges TLS (mTLS) — beide Seiten präsentieren Zertifikate. Kurzlebige Zertifikate rotieren automatisch. Wenn eine Erneuerung fehlschlägt, schließt der Connector sicher: Er stoppt die Weiterleitung von Datenverkehr, anstatt auf eine nicht verifizierte Verbindung zurückzufallen.

Der Connector ist zustandslos und absturzsicher. Wenn er neu startet, authentifiziert und verbindet er sich automatisch neu — keine manuellen Eingriffe.

In 5 Minuten deployen

Docker-Container oder Kubernetes-Pod. Keine Firewall-Regeln zu öffnen. Image ziehen, Registrierungstoken setzen, starten. Erste Sitzung in unter 30 Minuten.

05 Sandbox

Noch nicht bereit, einen Connector zu deployen?

Die VaultPAM-Sandbox gibt Ihnen eine vollständig funktionierende Umgebung ohne Installation. VaultPAM deployt automatisch den Connector und drei Zielsysteme — RDP-Desktop, SSH-Terminal, VNC-Desktop — in einem isolierten Namespace, der ausschließlich Ihrer Organisation gehört.

Kein anderer Tenant kann Ihre Sandbox sehen oder darauf zugreifen. Anmeldedaten werden zum Aktivierungszeitpunkt eindeutig pro Organisation generiert. Aktivierung in unter 60 Sekunden. 14 Tage inklusive, zweimal verlängerbar.

Ihre Sandbox enthält14 Tage · keine Karte nötig
RessourceStatus
RDP-Desktop (Windows)Enthalten
SSH-Terminal (Linux)Enthalten
VNC-Desktop (Linux)Enthalten
Vorkonfigurierter Connector — automatisch deploytEnthalten
Eindeutige Anmeldedaten pro OrganisationEnthalten
Isolierter Namespace — privat für Ihre OrgEnthalten

14-Tage-Sandbox — keine Kreditkarte erforderlich

Bereit, es in
Aktion zu sehen?