فن آوران گیتی افروز
مدیریت رمز، کلید و گواهی PKI سازمانیمدیریت رمز، کلید و گواهی PKIپایدار

یک منبع امن برای تمام رمزها، کلیدها و گواهی‌های سازمان — بدون افشای کلید، بدون.env

پلتفرم بومی مدیریت Secrets و PKI — سازگار با HashiCorp Vault API، با موتور دینامیک، Transit Encryption و CA داخلی برای صدور گواهی کوتاه‌عمر در مقیاس Production.

FIPS 140-2 Modeسازگار با HashiCorp Vault APIAudit Trail غیرقابل دستکاری
درخواست جلسه فنی با معمار ارشدمشاهده معماری راهکار
مدیریت رمز، کلید و گواهی PKI
Vault
احراز هویت
Authentication
  • Single Sign-On
  • Passkeys & FIDO2
  • Adaptive MFA
  • Biometric
حاکمیت دسترسی
Authorization
  • RBAC / ABAC
  • PAM
  • Zero Trust
  • Just-in-Time
چرخه عمر
Lifecycle
  • Provisioning
  • Deprovisioning
  • Audit Trail
  • Compliance
یکپارچگی
Integration
  • SAML 2.0
  • OIDC / OAuth
  • SCIM 2.0
  • REST API

اعتماد ۱۲۰+ سازمان حساس ایرانی

۴ بانک و مؤسسه مالی۳ اپراتور تلکام۶ سازمان حاکمیتی۹ هلدینگ صنعتی و تولیدی
+۲٫۵ میلیاردعملیات رمزنگاری و صدور توکن در ماه
مسیر ارزش‌آفرینی

ما نه فقط دردهای شما را می‌فهمیم — برای رسیدن به آنچه که سازمان شما باید باشد، نقشه می‌سازیم.

GITA Vault یک پلتفرم بومی مدیریت Secret و PKI است که با API سازگار با HashiCorp Vault طراحی شده تا مهاجرت از ابزارهای موجود بدون بازنویسی کد ممکن باشد. موتور‌های دینامیک، Transit Encryption و CA داخلی، رمزنگاری در مقیاس Production را از یک پروژه چندساله به استقرار چندهفته‌ای تبدیل می‌کنند.

Before

وضعیت رایج امروز

  1. 01

    کلیدهای API و رمز پایگاه داده در فایل‌های.env و Git ذخیره می‌شوند

    هزینه پنهان: ریسک افشای کامل زیرساخت با یک نشت تصادفی

  2. 02

    گواهی‌های TLS سال‌ها بدون چرخش (Rotation) باقی می‌مانند

    هزینه پنهان: Outage ناگهانی هنگام انقضای گواهی در Production

  3. 03

    کلید رمزنگاری یکسان بین Dev و Production استفاده می‌شود

    هزینه پنهان: نقض الزامات PCI-DSS و افتا

  4. 04

    هیچ‌کس نمی‌داند کدام سرویس چه رمزی را چه زمانی استفاده کرده

    هزینه پنهان: ناتوانی در forensic بعد از حادثه امنیتی

After

با Vault

  1. 01

    تنها در Vault مرکزی، رمزنگاری‌شده در حال سکون

    قبلاً: رمزها در.env، Git و Wiki

  2. 02

    گواهی‌های ۲۴ ساعته با ACME خودکار

    قبلاً: گواهی‌های ۲ ساله TLS با صدور دستی

  3. 03

    Credential دینامیک با TTL ۱۵ دقیقه

    قبلاً: رمز پایگاه داده ثابت برای سال‌ها

  4. 04

    Transit Engine — رمزنگاری بدون افشای کلید

    قبلاً: کلید رمزنگاری در کد سرویس

معماری راهکار

معماری GITA Vault چگونه کار می‌کند — جریان داده زنده

هسته Vault بر پایه Storage رمزنگاری‌شده و Seal/Unseal با Shamir Secret Sharing بنا شده است. تمام موتورها (KV، Database، Transit، PKI، SSH) به‌صورت Plug-in بارگذاری می‌شوند و هر درخواست از مسیر Policy Engine و Audit Pipeline عبور می‌کند. استقرار High-Availability با Raft Consensus و Auto-Unseal از طریق HSM پشتیبانی می‌شود.

جریان داده
ورودی‌ها
Clients & Identities
L01
End Users
Web · Mobile
Employees
SSO Portal
Service Accounts
mTLS · API
هسته احراز
Gateway · Auth · Policy · Token
L02
Identity Gateway
Edge · TLS 1.3
Auth Engine
SSO · MFA · FIDO2
Policy Engine
RBAC · ABAC · ZTNA
Token Service
JWT · OAuth · OIDC
لایه داده
Identity Store · HSM · Directory
L03
Identity Store
PostgreSQL
HSM
PKCS#11
Directory Sync
AD / Workday
ممیزی و تله‌متری
Audit Pipeline · Kafka
L04
Audit Pipeline
Kafka stream
اپلیکیشن‌ها
Apps & Cloud
L05
Apps & Cloud
ERP · Email · Custom
درخواست احراز هویت
ارزیابی سیاست
صدور توکن
گزارش ممیزی
همگام‌سازی داده

روی برچسب‌های بالا کلیک کنید تا فقط یک نوع جریان داده فعال شود — یا روی هر نود حرکت کنید برای نمایش پررنگ‌تر.

قابلیت‌های محصول

قابلیت‌هایی که زیرساخت رمزنگاری شما را متحول می‌کنند

10 ماژول تخصصی یکپارچه و قابل توسعه — برای انتخاب هر قابلیت، روی آن کلیک کنید.

هسته اصلی

ذخیره امن رمز‌های ایستا با نسخه‌بندی، TTL و کنترل دسترسی دقیق.

موتور Key-Value نسخه ۲ امکان ذخیره رمز با versioning کامل، rollback به نسخه‌های قبلی و metadata غنی را فراهم می‌کند. هر path قابل کنترل با Policyهای HCL، CAS (Check-And-Set) برای جلوگیری از race condition و TTL مستقل برای هر Secret.

نکات کلیدی
  • Versioning کامل با rollback
  • TTL و انقضای خودکار
  • Soft-delete و Destroy جداگانه
  • API سازگار با Vault KV v2
برای شماحذف ۱۰۰٪ رمز از فایل‌های.env و Git
موارد استفاده صنعتی

راهکار متناسب با صنعت شما

بانک و مؤسسات مالی (PCI-DSS)

انطباق با الزامات PCI-DSS برای محافظت از کلیدهای رمزنگاری PIN و کارت — با HSM فیزیکی، Audit Trail دقیق و گزارش‌های آماده برای بازرسی بانک مرکزی.

فین‌تک و پرداخت

صدور Credential دینامیک برای ده‌ها میکروسرویس، Transit Encryption برای داده‌های حساس مشتری و گواهی‌های کوتاه‌عمر برای ارتباطات mTLS با شبکه شاپرک.

سازمان‌های دولتی و حاکمیتی

استقرار On-Premise Air-Gapped کامل، حالت FIPS 140-2 و انطباق با ابلاغیه‌های افتا — بدون هیچ‌گونه وابستگی به سرویس‌های ابری خارجی.

درمان و سلامت (HIPAA-like)

رمزنگاری انتها به انتها پرونده الکترونیک سلامت با Transit Engine، کنترل دسترسی نقش‌محور و Audit Trail کامل برای انطباق با الزامات حفاظت داده بیمار.

تولید و OT/ICS

مدیریت امن رمز PLC، HMI و SCADA — صدور گواهی برای دستگاه‌های صنعتی با CA داخلی و تفکیک کامل شبکه IT و OT با Vault Edge.

صنایع دفاعی

حالت Air-Gapped، Shamir Seal با ۷ سهم و آستانه ۵، HSM ملی و Audit Trail با امضای رمزنگاری شده برای محیط‌های Top-Secret.

تلکام و اپراتورها

صدور میلیون‌ها گواهی برای SIM، eSIM و IoT با CA توزیع‌شده، Rotation خودکار کلید HSS و یکپارچگی با شبکه‌های Core اپراتور.

زیرساخت AI و GPU

محافظت از Model Weight ها و API Key های موتورهای LLM، Transit Encryption برای داده‌های آموزشی حساس و Workload Identity برای خوشه‌های GPU.

یکپارچه‌سازی

با تمام اکوسیستم زیرساخت شما کار می‌کند

+۸۰ ادغام آماده، تأیید‌شده در محیط Production
Container و Orchestration
  • Kubernetes
  • OpenShift
  • Docker
  • Nomad
  • Rancher
CI/CD و DevOps
  • GitLab CI
  • Jenkins
  • GitHub Actions
  • ArgoCD
  • Terraform
پایگاه داده
  • PostgreSQL
  • MySQL
  • MongoDB
  • Oracle
  • MSSQL
  • Redis
HSM و Hardware
  • Thales Luna
  • Utimaco
  • YubiHSM
  • AWS CloudHSM
  • PKCS#11 generic
PKI و Cert Management
  • cert-manager
  • Caddy
  • Traefik
  • NGINX
  • ACME clients
Monitoring و SIEM
  • Splunk
  • Elastic
  • QRadar
  • GITA SIEM
  • Prometheus
  • Grafana
ادغام سفارشی نیاز دارید؟ با تیم فنی ما صحبت کنید
فرآیند پیاده‌سازی

از تماس اول تا Production در ۴ فاز

نقشه راه شفاف از اولین تماس تا عملیات دائمی — هر مرحله با خروجی قابل اندازه‌گیری.

PHASE 01۱–۲ هفته

ارزیابی فنی و Inventory Secret

جلسه با معمار ارشد، اسکن مخازن کد و زیرساخت برای کشف Secretهای فعلی و طراحی نقشه راه مهاجرت.

سند Secret Inventory + Architecture Plan
PHASE 02۲–۴ هفته

استقرار Vault و Pilot

استقرار خوشه HA با Raft، ادغام با HSM، فعال‌سازی Audit Pipeline و مهاجرت ۲ تا ۳ سرویس حیاتی.

خوشه Vault عملیاتی + Pilot موفق
PHASE 03۶–۱۰ هفته

مهاجرت سازمانی و فعال‌سازی PKI

مهاجرت تدریجی Secretها، فعال‌سازی Dynamic Engines، استقرار CA داخلی و ACME برای صدور خودکار گواهی.

پوشش کامل + حذف.env
PHASE 04دائمی

عملیات و بهبود مستمر

پشتیبانی ۲۴/۷، گزارش‌های ماهانه، تمرین Disaster Recovery و بهینه‌سازی Policyها بر اساس داده عملیاتی.

SLA ۹۹٫۹۹٪ تضمین‌شده
سوالات متداول فنی

سوالاتی که تیم فنی شما احتمالاً می‌پرسد

آیا با کلاینت‌ها و SDKهای HashiCorp Vault سازگار است؟+

بله، GITA Vault API را سازگار با HashiCorp Vault HTTP API نسخه v1 پیاده‌سازی کرده‌ایم. تمام کلاینت‌های رسمی (Go، Python، Node.js، Java،.NET) و ابزارهای اکوسیستم (cert-manager، Vault Agent، External Secrets Operator) بدون تغییر کد کار می‌کنند.

Dynamic Secrets برای پایگاه داده دقیقاً چگونه کار می‌کند؟+

Vault با اعتبار ادمین به پایگاه داده متصل می‌شود. هنگام درخواست سرویس، یک User موقت با Role تعریف‌شده می‌سازد و رمز آن را با TTL کوتاه (مثلاً ۱۵ دقیقه) بازمی‌گرداند. پس از انقضا یا revocation صریح، User از پایگاه داده DROP می‌شود. این فرآیند برای PostgreSQL، MySQL، MongoDB، Oracle و MSSQL پشتیبانی می‌شود.

اگر خوشه Vault کاملاً قطع شود، چه اتفاقی برای سرویس‌ها می‌افتد؟+

خوشه ما با Raft Consensus در ۵ نود مستقر می‌شود که حداقل ۲ نود می‌توانند از دست بروند. علاوه بر این، Vault Agent در سمت کلاینت می‌تواند Secret را cache کند تا در صورت قطعی موقتی، سرویس‌ها بدون وقفه ادامه دهند. سناریوی DR با Replication به Site دوم نیز پشتیبانی می‌شود.

تفاوت Transit Engine با ذخیره کلید در KV چیست؟+

در KV، کلید رمزنگاری از Vault خارج می‌شود و به سرویس داده می‌شود. در Transit، کلید هرگز خارج نمی‌شود — سرویس داده را به Vault می‌فرستد و خروجی رمزنگاری‌شده می‌گیرد. Transit برای رمزنگاری Encryption-as-a-Service طراحی شده و امکان Key Rotation بدون re-encrypt داده‌های قدیمی را فراهم می‌کند.

آیا گواهی‌های صادرشده توسط CA داخلی برای مرورگرها معتبر هستند؟+

برای ترافیک داخلی سازمان، Root CA شما باید در trust store مرورگرها و سیستم‌عامل‌ها نصب شود (که از طریق Group Policy یا MDM ساده است). برای گواهی Public-Facing، توصیه می‌کنیم از CA عمومی (مثل Let's Encrypt یا Sectigo) استفاده شود — GITA Vault نقش ACME Proxy را برای آن‌ها هم بازی می‌کند.

Seal/Unseal چیست و چگونه مدیریت می‌شود؟+

کلید Master که برای رمزنگاری Storage استفاده می‌شود، در حافظه Vault نگهداری می‌شود. هنگام راه‌اندازی، Vault در حالت Sealed است و باید Unseal شود. در حالت Shamir، ۵ سهم با آستانه ۳ ساخته می‌شود و ۳ نگه‌دارنده باید سهم خود را وارد کنند. در حالت HSM Auto-Unseal، فرآیند به‌صورت خودکار با کلید درون HSM انجام می‌شود.

حالت Air-Gapped و FIPS 140-2 چگونه فعال می‌شود؟+

تمام مولفه‌ها روی Kubernetes یا VM بدون هیچ‌گونه دسترسی اینترنت قابل اجرا هستند — همه به‌روزرسانی‌ها از طریق Bundle آفلاین انجام می‌شوند. حالت FIPS 140-2 با ماژول رمزنگاری گواهی‌شده فعال می‌شود و الگوریتم‌های غیرمجاز (مثل MD5) به‌صورت سخت‌گیرانه مسدود می‌شوند.

چگونه Pod های Kubernetes به Vault احراز می‌شوند؟+

از Kubernetes Auth Method استفاده می‌شود. هر Pod از طریق Service Account Token خود (JWT امضا‌شده توسط Kubernetes) به Vault احراز می‌شود. Vault توکن را با Kubernetes API اعتبارسنجی می‌کند و در صورت تطابق با Role تعریف‌شده، یک Vault Token صادر می‌کند. کل فرآیند توسط Vault Agent Injector به‌صورت شفاف انجام می‌شود.

Audit Trail چگونه از دستکاری محافظت می‌شود؟+

هر رکورد لاگ یک Hash از محتوای خود و Hash رکورد قبل را در خود دارد، که زنجیره‌ای غیرقابل دستکاری تشکیل می‌دهد. علاوه بر این، لاگ‌ها به‌صورت real-time به Append-Only Storage (مثل WORM) و SIEM ارسال می‌شوند تا حتی در صورت compromise شدن خود Vault، نسخه‌های مستقل قابل استناد باقی بمانند.

زمان معمول مهاجرت کامل برای سازمان ۳۰۰ نفره چقدر است؟+

بر اساس تجربه ما، یک سازمان ۳۰۰ نفره با حدود ۲۰۰ تا ۵۰۰ Secret و ۳۰ سرویس داخلی، در ۱۰ تا ۱۴ هفته به Production کامل می‌رسد. این شامل فاز Discovery و Inventory (۲ هفته)، استقرار و Pilot (۳ هفته)، مهاجرت تدریجی (۶ هفته) و تثبیت (۲ هفته) است.

تماس مستقیم با تیم فنی

جلسه فنی با معمار ارشد رزرو کنید

۳۰ دقیقه با معمار ارشد ما صحبت کنید. معماری Vault را برای زیرساخت شما تشریح می‌کنیم. رایگان، بدون پرزنتیشن فروش، بدون تعهد.

تلفن مستقیم
۰۲۱ ۹۱۰۱۷۸۰۳
ایمیل تخصصی
gityafrouz@gmail.com
ساعات کاری
شنبه تا چهارشنبه — ۹ تا ۱۸
فرم درخواست جلسه
مرحله ۱ از ۲

۳۰ ثانیه طول می‌کشد

معمار ارشد ما طی ۴ ساعت کاری با شما تماس می‌گیرد.

رایگان · بدون پرزنتیشن فروش · بدون تعهد