· RustDesk Team · 安全 · 18 分钟阅读
远程桌面数据主权与 GDPR:自托管方案
自托管如何让受监管团队掌控协商服务器、中继服务器与设备数据——以及哪些 GDPR 与合规问题仍需自行解决。

如果您的组织受 GDPR、医疗隐私法规的约束,或需要满足公共部门”数据必须留在自有基础设施上”这类强制要求,那么有一个问题将决定您能否把某款远程桌面工具纳入候选名单:会话数据究竟流向何处?
对大多数主流远程访问产品而言,答案是”要经过供应商的云端”。技术人员发起连接,终端设备接受连接,而流量则由您并不拥有、也可能无法掌控其所在司法辖区的服务器进行中转。对许多买家来说,这完全没问题;但对受监管的团队来说,在任何人共享屏幕之前,这就已经是一个合规问题了。
本指南要讨论的是远程桌面数据主权:它意味着什么、为何对受监管行业及欧盟买家至关重要,以及自托管能让您掌控远程访问部署中的哪些环节。我们将以 RustDesk 作为具体案例来说明。
“数据主权”对远程访问意味着什么
数据主权是指数据受其物理存储和处理所在国家/地区法律管辖的原则。对远程支持而言,敏感数据不仅仅是您传输的文件——会话本身就是敏感数据:屏幕上显示的内容、您所管理的设备列表、连接元数据,以及像素数据实时传输所经过的路由。
核心问题在于:哪些系统存储元数据、哪些系统中转流量,以及两端的终端设备分别位于何处? 自托管可以将供应商运营的协商(rendezvous)服务或中继服务从数据路径中剔除,但无法保证分处不同国家的两个终端设备之间的会话,始终留在同一司法辖区内。
核心差异:供应商云端与您自己的基础设施
在这一点上,决定结果的是架构本身,而非市场宣传。
RustDesk Server Pro 是自托管的。 ID/协商服务器、中继服务器、Web 控制台以及受管设备数据,都运行在您自己选择的基础设施上。RustDesk 会先尝试通过打洞(hole punching)建立直接的点对点连接;如果失败,会话流量则会通过您所配置的中继服务器传输。这让您能够掌控协商/中继这一层以及存储的设备数据,但终端设备本身及其网络路由,仍然决定了直连流量的实际走向。
| 供应商云端工具 | 自托管 RustDesk | |
|---|---|---|
| 会话协商发生在哪里 | 供应商的云端 | 您自己的 ID/协商服务器 |
| 会话流量如何流动 | 由供应商定义的路由 | 尽可能在终端设备之间直连;否则通过您的中继服务器 |
| 谁掌控数据驻留位置 | 供应商 | 您自行选择服务器端位置和中继策略;终端设备的位置依然重要 |
| 客户端的可审计性 | 通常为闭源 | 开源(AGPL)——您可以自行阅读代码并编译构建 |
| 谁来运行服务器 | 供应商 | 您自己的团队 |
评估自托管方案的团队通常会提到,他们看重的正是可以自行选择协商、中继和管理系统的所在位置及运营方。这是一项切实有效的控制手段,但必须与终端位置及路由行为一并记录在案。
优势一:您可以掌控服务器端的数据位置
将 ID 服务、中继服务和管理服务部署在德国的数据中心,能让您明确记录这些服务及其存储数据的具体位置。如果两端的终端设备也都位于所要求的边界范围内,并且策略强制流量必须经过您所批准的中继服务器,您就可以设计出一条约束性更强的路由路径。如果缺少这些额外的控制措施,仅凭服务器的部署位置,并不能确保所有会话流量都留在德国境内。
优势二:开源意味着您可以自行验证,而不必仅凭信任
数据主权不仅关乎位置,更关乎您是否清楚软件到底在做什么。RustDesk 的核心部分基于 AGPL 协议开源。您(或您的安全团队)可以阅读源代码,精确审计客户端的具体行为,自行编译构建,并且可以无限期地运行免费的社区版服务器。对远程访问而言,这种可审计性比通常更为重要:由于软件被赋予了完全控制一台机器的信任,受监管行业的买家越来越希望自行核实客户端究竟做了什么,而不是仅凭供应商的一面之词。能够亲自检查客户端代码,正是对”我们凭什么知道?“这一问题最实实在在的回答。
优势三:无需为主权支付额外的授权费用
RustDesk 标准方案按登录用户数加受管设备数计费,并包含无限并发连接数;而 Customized V2 方案则会对并发连接数进行限制并单独计费。随着需求变化,您可以升级许可证。购买前请务必查看当前的方案对比表。
该架构同样能够随您的设备规模灵活扩展:针对评估更大规模部署的团队,RustDesk 发布了大规模部署规划指南。在按用户分配访问权限方面,自托管部署包含 Web 控制台、自定义品牌客户端生成器、带共享通讯录的设备组,以及从 Basic 方案起即可使用的 LDAP/SSO(OIDC)。
RustDesk 如何契合 ISO 27001、SOC 2 或 HIPAA 的要求
企业采购部门和医疗团队几乎总会问:一款远程访问工具如何对应 ISO 27001、SOC 2 或 HIPAA 的要求?使用云端产品时,您所继承的——也是您所依赖的——正是供应商对 其自身 基础设施的认证。RustDesk 的模式则有所不同,对受监管团队来说,这种差异通常对您有利:由于您采用自托管方式,远程访问运行在您已经掌控并审计的环境之中,因此它属于 您自己的 ISO 27001 或 HIPAA 合规范围,受 您自己的 现有控制措施约束,而非第三方的控制措施。您将 ID 服务器、中继服务器和控制台部署在您的合规计划已经覆盖的基础设施上,而且——因为 RustDesk 是开源的——您的安全团队可以在评估过程中亲自阅读并核实它的具体行为,而不必信任一个封闭的二进制文件。
以下是一些实践层面的说明:
- 自托管让敏感系统——协商服务器、中继服务器、控制台和设备数据——始终运行在您自己拥有的硬件上,这恰恰是数据驻留或 HIPAA 控制措施通常想要保证的目标。本文后面的部署清单会将这一点落实为具体的、可记录的控制措施。
- 如果您的采购流程明确要求供应商方面出具 SOC 2 报告、签署商业伙伴协议(BAA)、数据处理协议(DPA),或填写完整的安全调查问卷,请通过 [email protected] 联系 RustDesk 团队,了解目前针对您所处场景可以提供哪些资料。
- 因为 RustDesk 是开源的,“我们凭什么知道它做了什么?“这个问题的答案来自亲自检查,而不是一张只能凭信任接受的证书。
简而言之,自托管让您能够把远程访问纳入您已经在运行的合规体系之中——对受监管团队来说,这往往比租用一个已获认证的”黑盒”产品更为有利。
支撑自托管 GDPR 合规方案的控制措施
自托管是基础,在此基础之上,RustDesk 还提供了一系列具体的控制措施,供自托管团队在实践中用以满足 GDPR 的要求:
- 遥测数据发送到您自己的服务器,而非 RustDesk。 RustDesk 隐私政策中所描述的使用数据——应用启动记录、IP 地址、基本设备统计信息、会话时长以及 RustDesk ID——是由 RustDesk 的公共托管服务所处理的数据;而当您运行自己的 ID/协商服务器和中继服务器时,这些数据则会保留在您自己的基础设施上。除了 Server Pro 的许可证校验之外,几乎不再需要与 rustdesk.com 通信——具体的出站连接情况,请以您所部署的客户端构建版本和配置为准进行确认。这使得会话数据和使用数据默认就保留在您所掌控的基础设施上,体现出很强的数据最小化姿态。
- 内置的审计日志轮转与保留机制。 Server Pro 的审计日志分为四类——连接、文件传输、告警和控制台操作——并具备内置的日志轮转功能,因此审计数据不会被无限期保留(存储限制原则),您还可以通过 Web 控制台或 REST API 将其导出,用作处理活动记录。
- 精细化、有边界的访问控制。 按用户分配权限、设备组、跨组规则,以及控制角色(Control Role,用于限定技术人员在会话中可执行的操作,如键盘/鼠标、剪贴板、文件传输、音频、摄像头、终端、打印、录制等)共同实现了最小权限原则和目的限制原则,并由 SSO/LDAP 与受控设备双因素认证(2FA)提供支撑。
- 隐私模式与逐次连接同意确认。 被控端可以要求对每次接入连接进行确认,并可以在会话期间将屏幕变黑(隐私模式,支持 Windows 和 macOS),从而减少屏幕上个人数据被意外暴露的风险。
- 由您自主决定的数据删除。 由于数据存放在您自己的服务器上,您可以禁用或移除用户、删除设备及相关记录——包括通过 REST API 操作——并直接处理数据擦除和保留期限相关的请求。
- 区域内自主运营的基础设施。 ID/协商服务器、中继服务器、控制台以及存储的数据,都运行在您所选定的位置、您所掌控的硬件之上。
- 即便是自定义客户端构建也不会留下数据痕迹。 生成品牌定制客户端是唯一会用到 RustDesk 构建服务的环节,且该服务的设计初衷就是短暂、临时的:您提交的构建配置不会保留在 RustDesk 的构建服务器上(构建完成后即被删除),生成的安装程序也会在大约一天后自动删除,因此您需要自行下载并妥善保存。
这些都是 GDPR 合规项目能够切实运用的手段:您仍然需要自行记录和执行这些措施,但无需等待供应商来响应数据主体的请求。
看得见、摸得着的主权
自行托管协商服务器、中继服务器、控制台以及存储数据,能为合规项目提供切实可见的支撑:由您部署、运营和审计的基础设施。这是一个起点,而非终点,但却是其他一切工作赖以建立的根基。
GDPR 与数据主权部署清单
自托管为您提供了选择的自由;而具体的部署工作,则需要把这些选择转化为切实的控制措施:
- 记录 ID 服务器、中继服务器、控制台、备份、日志以及管理员分别位于何处。
- 分别梳理点对点直连路由和经中继转发的路由。位于德国的服务器,并不能使德国与另一国之间的直连会话始终留在德国境内。
- 明确在哪些情况下必须强制启用中继——即当流量必须经过受控位置比点对点连接性能更重要时。
- 记录设备、账户、审计和连接元数据各自的处理目的、保留期限和访问策略。
- 对设备组应用最小权限原则,在条件允许的情况下启用 MFA/SSO,并为技术人员建立入职-调岗-离职(joiner-mover-leaver)流程。
- 将 Web 控制台置于 HTTPS 之后,限制管理网络的访问权限,并测试备份恢复流程。
- 根据您自身的使用场景,完成相应的法律评估工作,例如处理活动记录、处理者审查、数据传输评估以及数据保护影响评估(DPIA)。
RustDesk 可以为主权架构提供支撑,但架构本身及其法律依据的责任,始终由数据控制者承担。
在您自己的边界内进行评估
您可以按照自己的节奏进行评估。现在就可以自行部署免费的开源社区版服务器,或发送邮件至 [email protected] 了解 Pro 功能当前的评估条款。如需查看最新的方案与具体功能,请访问 rustdesk.com/pricing。想先看看效果再决定?欢迎在 RustDesk YouTube 频道观看完整的视频演示。
Frequently asked questions
RustDesk 是否符合 ISO 27001、SOC 2 或 HIPAA 标准?
RustDesk 是自托管的,因此合规工作的重心在于您自己的环境:远程访问运行在您自己的 ISO 27001 或 HIPAA 合规范围及现有控制措施之内,而且开源软件可以被直接审计,而不必仅凭信任。如果您确实需要供应商出具的 SOC 2 报告、已签署的 BAA、DPA,或填写完整的安全调查问卷,请联系 [email protected],了解针对您场景可提供的资料。
自托管 RustDesk 是否有助于满足 GDPR 合规要求?
是的——它能为您提供 GDPR 通常所关注的那种控制权:您可以自行选择 ID/协商服务器、中继服务器、控制台以及设备数据的存放位置,并将它们保留在您自己运营的区域内基础设施上。但这只是一个坚实的基础,而非自动获得的保证,因为 GDPR 本质上是一整套合规体系——合法依据、控制者/处理者角色、保留期限、访问控制、终端位置以及事件响应,这些仍然需要由您自行定义,责任始终由数据控制者承担。
RustDesk 的会话数据究竟流向何处?
RustDesk 会首先尝试建立直接的点对点连接;如果失败,流量会转而使用您所配置的中继服务器。自托管可以将供应商运营的协商服务器和中继服务器从数据路径中剔除,但分处不同国家的两个终端设备之间的会话,仍然会经过这些终端所在的网络——仅凭服务器的部署位置,并不能将所有流量都限制在同一司法辖区之内。
使用 RustDesk 能否将远程桌面数据保留在欧盟境内?
您可以将 ID/协商服务器、中继服务器、控制台以及存储的设备数据部署在欧盟境内的数据中心。若要同时约束会话流量本身,则两端的终端设备都必须位于该边界范围内,并且策略必须强制流量经过您所批准的中继服务器;请将终端位置和路由情况与服务器部署位置一并记录存档。
RustDesk 的哪些功能有助于满足 GDPR 要求?
自托管能让数据始终保留在您所掌控的基础设施上:因为在自托管模式下,原本会由托管版 RustDesk 服务处理的使用遥测数据,会转而留存在您自己的服务器上,除了 Server Pro 的许可证校验之外,几乎不再需要与 rustdesk.com 通信。Server Pro 还进一步提供了内置日志轮转的审计日志、精细化的访问控制与控制角色(Control Role)、SSO/LDAP 与受控设备双因素认证(2FA)、隐私模式与逐次连接同意确认,以及可直接删除用户、设备和记录(包括通过 REST API 操作)以处理数据擦除和保留请求的能力。



