· RustDesk Team · 安全  · 18 分鐘閱讀

遠端桌面資料主權與 GDPR:自行架設伺服器

自行架設伺服器如何讓受監管產業的團隊掌控配對、中繼與裝置資料——以及還有哪些 GDPR 與合規問題需要自行解決。

遠端桌面資料主權與 GDPR:自行架設伺服器

如果貴組織受 GDPR、醫療隱私法規,或公部門「資料必須留在自有基礎設施」的規範所約束,那麼有一個問題將決定哪些遠端桌面工具能進入你的候選名單:工作階段資料究竟流向何處?

對大多數主流遠端存取產品而言,答案是「透過供應商的雲端」。你的技術人員發起連線、你的端點裝置連線,而流量則由你並不擁有、甚至可能不受你管轄的伺服器居中轉送。對許多買家來說這沒什麼問題,但對受監管的團隊而言,在畫面都還沒分享出去之前,這就已經是個合規問題了。

本文將探討遠端桌面資料主權:它的意義是什麼、為何對受監管產業與歐盟買家如此重要,以及自行架設伺服器能讓你掌控遠端存取部署中的哪些環節。我們將以 RustDesk 作為實例說明。

「資料主權」對遠端存取來說代表什麼

資料主權(data sovereignty)是指資料須受其實際儲存與處理所在國家法律管轄的原則。就遠端支援而言,敏感資料不僅是你所傳輸的檔案——工作階段本身就是敏感資料:畫面上顯示的內容、你所管理的裝置清單、連線中繼資料(metadata),往往還包括即時畫面像素的路由方式。

核心問題在於:哪些系統儲存中繼資料、哪些系統轉送流量,而兩端的端點又分別位於何處? 自行架設伺服器可以將供應商營運的配對(rendezvous)或中繼(relay)服務從路徑中移除,但無法保證位於不同國家的兩個端點之間的工作階段,會完全留在單一管轄權之內。

核心差異:供應商雲端 vs. 你自己的基礎設施

這裡,真正決定結果的是架構,而不是行銷話術。

RustDesk Server Pro 採自行架設(self-hosted)方式運作。 ID/配對伺服器、中繼伺服器、網頁控制台,以及受管理裝置的資料,都運行在你自行選擇的基礎設施上。RustDesk 會先嘗試透過打洞(hole punching)建立直接的點對點連線;若失敗,工作階段流量便會改用你所設定的中繼伺服器。這讓你得以掌控配對/中繼層與所儲存的裝置資料,但端點本身及其網路路由,仍會決定直接流量實際傳輸的路徑。

供應商雲端工具自架版 RustDesk
工作階段的協調位置供應商的雲端你自己的 ID/配對伺服器
工作階段流量的走向由供應商決定的路由方式盡可能採端點間直接連線;否則透過你的中繼伺服器
誰掌控資料落地位置供應商你可自行選擇伺服器端位置與中繼政策;端點位置仍然重要
用戶端的可稽核性通常為閉源開放原始碼(AGPL)——自行閱讀原始碼並建置
誰負責維運伺服器供應商你的團隊

許多評估自行架設方案的團隊,都會提到能夠自行選擇配對、中繼與管理系統所在位置及營運者這一點。這是一項具有實質意義的控制措施,但仍必須連同端點位置與路由行為一併記錄下來。

優勢一:你能掌控伺服器端的資料所在位置

將 ID、中繼與管理服務部署在德國的資料中心,能讓你明確記載這些服務及其儲存資料的所在位置。如果兩端的端點也都位於所要求的邊界之內,且政策強制流量必須經過你核准的中繼伺服器,你便能設計出限制更嚴謹的路由。但若缺少這些額外的控制措施,光憑伺服器的擺放位置,並不足以確保所有工作階段流量都留在德國境內。

優勢二:開放原始碼讓你能夠證明,而不只是信任

資料主權不只關乎地理位置,更關乎你是否清楚知道軟體實際在做什麼。RustDesk 的核心採用AGPL 授權的開放原始碼。你(或你的資安團隊)可以直接閱讀原始碼、確切稽核用戶端的一舉一動、自行建置程式,並無限期執行免費的社群版伺服器。這種可稽核性對遠端存取而言比平常更為重要:由於軟體被賦予了完全控制一台機器的信任,受監管產業的買家愈來愈希望親自驗證用戶端究竟做了什麼,而不是單憑供應商的一面之詞。能夠親自檢視用戶端程式碼,正是回答「我們怎麼知道?」這個問題最具體的答案。

優勢三:掌握主權,不必額外付出授權成本

RustDesk 標準方案的授權方式是依登入使用者數加上受管理裝置數計費,並包含無限制的同時連線數;Customized V2 方案則改為對同時連線數進行限制與計費。當需求改變時,你可以升級授權。購買前請務必先確認目前的方案比較表。

此架構也能隨著你的裝置規模一併擴充:針對評估更大型部署的團隊,RustDesk 提供大規模裝置部署規劃指南。若需要每位使用者的存取控制,自行架設的部署方案包含網頁控制台、自訂品牌用戶端產生器、附共用通訊錄的裝置群組,以及從 Basic 方案起即可使用的 LDAP/SSO(OIDC)。

RustDesk 如何符合 ISO 27001、SOC 2 或 HIPAA 的要求

企業採購與醫療團隊幾乎都會問,遠端存取工具要如何對應到 ISO 27001、SOC 2 或 HIPAA 的要求。使用雲端產品時,你所繼承——並且必須仰賴——的,是供應商對其自身基礎設施所取得的認證。RustDesk 的模式則不同,而對受監管團隊來說,這項差異通常對你有利:因為你採自行架設,遠端存取運行在你原本就已掌控與稽核的環境之中,因此它屬於你自己的 ISO 27001 或 HIPAA 範疇,適用你自己的既有控制措施,而非第三方的控制措施。你可以將 ID、中繼與控制台部署在你的合規計畫本就涵蓋的基礎設施上,而且——因為 RustDesk 是開放原始碼——你的資安團隊能在評估過程中親自閱讀並驗證它究竟做了什麼,而不必盲目信任一個封閉的二進位檔案。

以下是幾點實務上的補充說明:

  • 自行架設能讓敏感系統——配對、中繼、控制台與裝置資料——全都留在你所擁有的硬體上,而這正是資料落地或 HIPAA 控制措施通常想要保證的事。本文稍後的部署檢核清單,會協助你把這一點落實為有紀錄可查的控制措施。
  • 若貴公司的採購流程明確要求供應商方提供 SOC 2 報告、已簽署的業務夥伴合約(Business Associate Agreement,BAA)、資料處理協議(DPA),或完成安全問卷調查,請直接聯繫 RustDesk 團隊([email protected]),詢問目前針對你的情境有哪些可用選項。
  • 由於 RustDesk 是開放原始碼,「我們怎麼知道它做了什麼?」這個問題的答案來自於實際檢視程式碼,而不是一張必須全憑信任接受的證書。

簡而言之,自行架設能讓你把遠端存取直接納入你原本就在執行的合規計畫之中——對受監管團隊來說,這通常比租用一個「已認證的黑盒子」更為有利。

支援自架式 GDPR 合規計畫的控制措施

自行架設是基礎,而在此基礎之上,RustDesk 還提供了具體的控制措施,讓自架團隊得以在實務上落實 GDPR 合規:

  • 遙測資料傳送到你自己的伺服器,而不是 RustDesk。 RustDesk 隱私權政策中所描述的使用資料——應用程式啟動紀錄、IP 位址、基本裝置資訊、工作階段時間,以及 RustDesk ID——是 RustDesk 公開託管服務所處理的資料;但當你自行架設 ID/配對伺服器與中繼伺服器時,這些資料會改為留在你自己的基礎設施上。除了 Server Pro 的授權檢查之外,幾乎不需要再與 rustdesk.com 有其他連線——請針對你所部署的用戶端建置版本與設定,確認確切的對外連線內容。這讓工作階段與使用資料預設就留在你所掌控的基礎設施上,是相當強健的資料最小化作法。
  • 內建稽核記錄輪替與保存機制。 Server Pro 的稽核記錄分為四大類——連線、檔案傳輸、警示與控制台操作——並具備內建的記錄輪替機制,確保稽核資料不會被無限期保留(即儲存限制原則),你也可以透過網頁控制台或 REST API 匯出這些記錄,作為你處理活動紀錄的依據。
  • 細緻且範圍明確的存取控制。 個別使用者指派、裝置群組、跨群組規則,以及控制角色(Control Role,用於規範技術人員在工作階段中可執行的操作,例如鍵盤/滑鼠、剪貼簿、檔案傳輸、音訊、攝影機、終端機、列印、錄影等),共同落實最小權限與目的限制原則,並由 SSO/LDAP 與受控裝置雙重驗證(2FA)提供進一步支援。
  • 隱私模式與逐次連線同意確認。 被控端可以要求對每一次連入連線進行確認,也可以在工作階段期間將畫面變黑(隱私模式,支援 Windows 與 macOS),藉此降低螢幕上個人資料意外外洩的風險。
  • 依你自己的方式刪除資料。 由於資料存放在你自己的伺服器上,你可以停用或移除使用者、刪除裝置與相關記錄(包括透過 REST API 進行),並直接受理刪除權與保存期限相關的請求。
  • 在地、自營的基礎設施。 ID/配對、中繼、控制台與儲存的資料,都運行在你所部署的位置,並運作於你所掌控的硬體之上。
  • 即使是自訂用戶端建置,也不會留下任何資料。 產生自訂品牌用戶端,是唯一會用到 RustDesk 建置服務的步驟,而這個步驟被刻意設計成暫時性的:你所提交的建置設定不會保留在 RustDesk 的建置伺服器上(建置完成後即會刪除),產生的安裝程式也會在大約一天後自動移除,因此你需要自行下載並妥善保存。

這些都是 GDPR 合規計畫真正能夠運用的槓桿:你仍然需要自行記錄與執行這些措施,但不必再枯等供應商替你處理資料主體的請求。

看得見、指得出的主權

自行架設配對、中繼、控制台與儲存資料,能為合規計畫帶來一項具體的基礎:由你部署、營運與稽核的基礎設施。這是起點,而非終點,卻是其他一切措施得以立足的根基。

GDPR 與資料主權部署檢核清單

自行架設賦予你選擇的空間;而部署工作,則要把這些選擇轉化為實際的控制措施:

  • 記錄 ID 伺服器、中繼伺服器、控制台、備份、記錄檔與管理人員各自所在的位置。
  • 將直接點對點路由與經中繼的路由分別繪製記錄。伺服器設在德國,並不代表德國與其他國家之間的直接連線工作階段就會被限制在德國境內。
  • 判斷在哪些情況下必須強制使用中繼連線,因為讓流量經過受控位置的重要性,有時高於點對點連線的效能表現。
  • 記錄裝置、帳戶、稽核與連線中繼資料各自的處理目的、保存期限與存取政策。
  • 套用最小權限原則的裝置群組、在可行之處啟用 MFA/SSO,並針對技術人員建立完整的到職、調職、離職(joiner-mover-leaver)管理流程。
  • 讓網頁控制台透過 HTTPS 存取、限制管理端的網路存取權限,並定期測試備份還原作業。
  • 依你的使用情境完成適當的法律評估——例如處理活動紀錄、處理者審查、跨境傳輸評估,以及資料保護影響評估(DPIA)。

RustDesk 能夠支援資料主權架構的建置,但架構本身及其法律依據的責任,仍由資料控制者(controller)承擔。

在你自己的防護邊界內親自評估

你可以完全按照自己的條件進行評估。現在就自行架設免費的開放原始碼社群版伺服器,或透過電子郵件聯繫 [email protected],了解 Pro 功能目前的評估方案。如需查看目前的方案與詳細功能,請造訪 rustdesk.com/pricing。想先看過再決定嗎?RustDesk YouTube 頻道上有完整的影片實機演示。

Frequently asked questions

RustDesk 符合 ISO 27001、SOC 2 或 HIPAA 規範嗎?

RustDesk 採自行架設方式運作,因此合規的核心在於你自己的環境:遠端存取運行在你自己的 ISO 27001 或 HIPAA 範疇與既有控制措施之內,而這套開放原始碼軟體也能直接接受稽核,而不必單憑信任。若你確實需要供應商提供的 SOC 2 報告、已簽署的 BAA、DPA,或完成安全問卷調查,請洽詢 [email protected],了解針對你的情境有哪些可用選項。

自行架設 RustDesk 對 GDPR 合規有幫助嗎?

有幫助——它能給你 GDPR 通常真正在意的那種控制權:你可以自行選擇 ID/配對、中繼、控制台與裝置資料的儲存位置,並將它們留在你所營運、位於指定地區內的基礎設施上。但這只是一個穩固的基礎,而不是自動達成合規的保證,因為 GDPR 本質上是一套持續運作的計畫——法律依據、控制者/處理者角色、資料保存期限、存取控制、端點位置,以及事件應變機制,仍然需要由你自行定義,而且責任始終由資料控制者(controller)承擔。

RustDesk 的工作階段資料究竟會流向何處?

RustDesk 會先嘗試建立直接的點對點連線;若失敗,流量便會改用你所設定的中繼伺服器。自行架設能將供應商營運的配對與中繼服務從路徑中移除,但位於不同國家的端點之間所建立的工作階段,仍會經過那些網路——光憑伺服器的擺放位置,並無法將所有流量限制在單一管轄權之內。

使用 RustDesk 能將遠端桌面資料保留在歐盟境內嗎?

你可以將 ID/配對、中繼、控制台與所儲存的裝置資料,都部署在歐盟的資料中心。若還想連工作階段流量也一併限制在境內,兩端的端點都必須位於該邊界之內,且政策必須強制流量經過你核准的中繼伺服器;請將端點位置與路由方式,連同伺服器擺放位置一起記錄下來。

RustDesk 有哪些功能有助於符合 GDPR 要求?

自行架設能讓資料留在你所掌控的基礎設施上:因為原本會由 RustDesk 託管服務處理的使用遙測資料,在你自行架設後會改為留在你自己的伺服器上,而且除了 Server Pro 的授權檢查之外,幾乎不需要再與 rustdesk.com 有其他連線。Server Pro 還新增了內建具備記錄輪替功能的稽核記錄、細緻的存取控制與控制角色(Control Role)、SSO/LDAP 與受控裝置雙重驗證(2FA)、隱私模式與逐次連線同意確認,以及可直接刪除使用者、裝置與相關記錄(包括透過 REST API)以因應刪除權與保存期限相關請求的功能。

返回部落格