Узлы подключаются к серверу через одну стабильную защищенную публичную точку входа, что делает внешнюю поверхность предсказуемой и компактной.
Защита транспорта и сессий
StreamGate использует одну публичную точку входа ретранслятора и один защищенный внешний транспортный слой, при этом все равно выполняет аутентифицированное защищенное установление сессии на уровне приложения до переключения кадров данных.
После установления внешнего TLS-слоя StreamGate применяет собственное установление сессии и шифрованное кадрирование данных, чтобы сессии не переключались до установления доверия.
Маршруты остаются привязанными к идентификаторам узлов, экземпляры приложений адресуются по отдельности, а ключи доступа привязывают пользователей только к их собственным узлам, сессиям и маршрутам.
Версии клиента и сервера отслеживаются централизованно, чтобы операторы могли управлять обновлениями, отзывать доступ и аккуратнее ограничивать устаревшие развертывания, чем в сценариях со стихийными разовыми туннелями.
Эксплуатационная позиция по безопасности
Безопасность в StreamGate в первую очередь про минимизацию области доступа.
- Платформа спроектирована так, чтобы открывать один нужный сервисный путь, а не давать широкое сетевое присутствие.
- Ключи доступа можно блокировать, отзывать, перевыпускать, продлевать и ограничивать по количеству приложений.
- Операторы дашборда могут наблюдать узлы, сессии, маршруты и версии, не раскрывая пользователям видимость друг друга.
- Онбординг, поддержка и продление через почтовый ящик удерживают жизненный цикл доступа привязанным к реальной точке контакта.