مقدمة
تعتبر سلامة وأمن بيانات الشركات والعملاء في المؤسسة ذات أهمية قصوى بسبب انتشار هجمات القرصنة والمتطلبات التنظيمية لضوابط الوصول إلى النظام مثل قانون Sarbanes-Oxley في الولايات المتحدة (SOX) وقانون قابلية التأمين الصحي والمساءلة (HIPAA) ، واللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR). تستفيد GO-Global® من أفضل تقنيات الأمان المتاحة لتزويد عملائها بنظام أمان متعدد الطبقات يضمن أمن البيانات وخصوصية العملاء. فيما يلي تفاصيل ميزات الأمان المتكاملة والقدرات الإضافية من GO-Global.
بروتوكول جلسة GO-Global
كان GraphOn® مبتكرا مبكرا لتقنية الوصول عن بعد للعملاء. أساس GO-Global هو بروتوكول خاص بالنطاق الترددي المنخفض للاتصال عبر الخطوط التسلسلية يسمى بروتوكول RapidX (RXP). RXP قابل للتكيف ، ويستخدم طبقات متعددة من الضغط ، ويتم تحسينه لضمان أقل استخدام ممكن لعرض النطاق الترددي. نظرا لأن RXP مغلق المصدر ، فإنه يوفر دفاعا إضافيا ضد المهاجمين ، مقارنة بالبروتوكولات مفتوحة المصدر مثل Microsoft® RDP ، حيث تم العثور على نقاط ضعف أمنية واستغلالها.
التثبيت الأساسي والإعدادات الافتراضية
يتم تثبيت GO-Global بسهولة باستخدام مثبت واحد قابل للتنفيذ على المضيف الذي سيقوم إما بتثبيت أو ترقية برنامج GO-Global. عند اكتمال التثبيت ، يجب إعادة تشغيل المضيف لتهيئة إعدادات التسجيل وتمكين برنامج GO-Global وبرامج التشغيل.
حسب التصميم ، يتم تعطيل جميع خيارات التكوين التي تتيح مشاركة موارد الخادم أو العميل. بالإضافة إلى ذلك ، لا تنشر GO-Global أي تطبيقات افتراضية. يمكن الوصول إلى وظائف تهيئة وإدارة وإدارة أمان GO-Global Host من خلال وحدة تحكم المشرف ضمن قائمة خيارات المضيف. يمكن للمسؤولين نشر التطبيقات ومراقبة نشاط المستخدم والمضيف وتمكين ميزات مثل طباعة العميل وحافظة العميل والتشفير والمصادقة باستخدام هذه القائمة.
تشفير جلسة العميل
بشكل افتراضي ، تقوم GO-Global بتشفير الجلسات باستخدام DES (معيار تشفير البيانات) بقوة مفتاح 56 بت لجميع اتصالات جلسة العميل للحماية من متشممي الحزم الأساسية والعملاء الذين يعترضون اتصالات البيانات الأولية. إنه سريع وموثوق ويوفر مستوى فوريا من الأمان للاتصالات القائمة على الشبكة المحلية عبر GO-Global.
بالنسبة لاتصالات الإنترنت والبيئات الواعية بالأمان ، تقدم GO-Global النقل القائم على TLS مع خوارزميات التشفير التالية: RC4 128 بت و 3DES 168 بت و AES 256 بت. تتطلب خوارزميات التشفير الأعلى هذه أن يطبق المسؤول شهادة TLS موقعة على المضيف، والتي يمكن إنشاؤها باستخدام أي مرجع مصدق قياسي. يمكن للمشرفين أيضا إنشاء شهادات TLS موثوقة ل GO-Global Hosts من خلال علامة التبويب الأمان في مربع حوار خيارات المضيف في وحدة تحكم المشرف، حيث يكون لدى GO-Global Host عنوان DNS مسجل بشكل عام. يتيح ذلك للمسؤولين تمكين التشفير القوي وأمان TLS دون شراء شهادة من مرجع مصدق تابع لجهة خارجية.
استخدام VPN مع GO-Global
يمكن للمسؤولين الذين يستخدمون GO-Global استخدام برنامج الشبكات الافتراضية الخاصة (VPN) التابع لجهات خارجية لإنشاء نفق آمن ومشفر من جهاز العميل إلى GO-Global Hosts. يمكن للمستخدم النهائي البعيد تشغيل جلسات GO-Global من خلال نفق VPN. عند استخدام VPN ، لا يلزم تشفير RXP الخاص ب GO-Global مباشرة ، على الرغم من أنه يمكن أن يكون لمستوى إضافي من الأمان. عند السفر عبر VPN ، يتم تشفير RXP بواسطة برنامج VPN.
نفق الخادم الوكيل
تدعم GO-Global نفق الخادم الوكيل ، المعروف أيضا باسم HTTP Connect. يسمح هذا للمستخدم الذي يصل إلى الإنترنت عبر خادم وكيل الويب بالاتصال ب GO-Global Hosts على الإنترنت. عند استخدام خادم وكيل ، ضع في اعتبارك أنه ، افتراضيا ، يتم رفض كل حركة المرور على جميع المنافذ المضيفة ، لذلك يجب تكوين GO-Global Host لقبول الاتصالات على المنفذ 443 فقط.
أمان التطبيق ومصادقة المستخدم
يكون تطبيق البرنامج آمنا فقط مثل نظام التشغيل المثبت عليه. لا تقوم GO-Global بتثبيت أو صيانة قاعدة بيانات المستخدم أو التطبيقات الخاصة بها. بدلا من ذلك ، يرث جميع جوانب أمان المستخدم والبيانات من نظام التشغيل Windows Server®. يتم تكوين إعدادات الأمان للمستخدم والتطبيق على مستوى نظام التشغيل Windows® ويتم تمريرها إلى GO-Global أثناء عملية تسجيل الدخول.
بالإضافة إلى ذلك ، يتم احترام أذونات ملفات Windows والمجلد والمشاركة والطابعة والتسجيل من قبل GO-Global وهي أساسية لأمان أي نظام ويندوز. ما لم يتم منح المستخدمين النهائيين امتيازات المسؤول أو امتيازات مرتفعة، فلن يتمكنوا من الوصول إلى مجلدات النظام أو إتلاف الخادم أو كسره أو التسبب في تهديدات أمنية.
توصي GraphOn باستخدام نهج مجموعة Windows لجميع إعدادات الأمان من جانب النظام، خاصة في مزرعة خوادم متوازنة التحميل، لضمان الاتساق عبر جميع المضيفين.
دعم تسجيل الدخول الأحادي
تسجيل الدخول الأحادي (SSO) هو أداة مصادقة مستخدم تسمح للمستخدمين بتسجيل الدخول والوصول إلى العديد من التطبيقات ومواقع الويب والبيانات ومحطات العمل باستخدام مجموعة واحدة مدارة مركزيا من بيانات الاعتماد - اسم مستخدم وكلمة مرور. بشكل عام، جعل تسجيل الدخول الأحادي تأمين الوصول إلى الهوية والانتقال إلى السحابة أسهل بكثير للمؤسسات. بالإضافة إلى ذلك ، يقلل تسجيل الدخول الأحادي من مكالمات مكتب المساعدة لاسترداد كلمات المرور المفقودة أو المنسية ، والتي ، وفقا لشركة Gartner ، تشكل 30 إلى 50٪ من جميع مكالمات مكتب المساعدة.
كان الدخول الموحد (SSO) متاحا تاريخيا لتطبيقات الويب فقط. تحدث أحداث المصادقة داخل نظام التشغيل Windows من خلال Winlogon، وحدة مصادقة Windows التي تقوم بتنفيذ عمليات تسجيل دخول تفاعلية لجلسة عمل - حيث يقوم المستخدم بتسجيل الدخول مباشرة إلى نظام التشغيل باستخدام اسم مستخدم وكلمة مرور. نظرا لأن Windows يتطلب اسم مستخدم وكلمة مرور لتسجيل الدخول، لا يمكن لتكنولوجيا المعلومات تضمين تطبيقات Windows في تطبيقات السحابة باستخدام تسجيل الدخول الأحادي بدون موفر بيانات اعتماد مخصص.
تلغي GO-Global هذا المطلب من خلال دعم تسجيل الدخول الأحادي ل OpenID® Connect (OIDC) ، والذي يمكن المؤسسات من استخدام موفري هوية OIDC مثل Okta® و Microsoft® Active Directory Federated Services (ADFS) لتسجيل الدخول الأحادي إلى مضيفي GO-Global Windows. مع GO-Global ، يمكن للمستخدمين الذين يسجلون الدخول إلى تطبيق ويب أو بوابة ويب مؤسسية باستخدام موفر هوية مثل Okta أو ADFS الوصول إلى GO-Global Hosts من متصفحاتهم دون الحاجة إلى إعادة إدخال بيانات الاعتماد الخاصة بهم ، وفرض سياسات المصادقة الخاصة بالمؤسسة وتقليل مكالمات كلمة المرور المفقودة والمنسية إلى مكتب المساعدة.
بمجرد مصادقة المستخدم عبر OIDC ، تمنح GO-Global المسؤولين عدة خيارات لمصادقة المستخدم تلقائيا على Windows. على سبيل المثال، إذا تم دمج موفر التعريف مع Active Directory الخاص بالمؤسسة، يمكن ل GO-Global تسجيل دخول المستخدم تلقائيا إلى حساب مجال المستخدم. بدلا من ذلك ، إذا لم يكن تكامل Active Directory مطلوبا أو مطلوبا ، فيمكن ل GO-Global إنشاء حساب Windows محلي للمستخدم تلقائيا.
المصادقة الثنائية
تعد المصادقة الثنائية (2FA) من GO-Global (المعروفة أيضا باسم "التحقق بخطوتين") ميزة مصادقة متقدمة توفر طبقة إضافية من الأمان من خلال مطالبة المستخدمين اختياريا بإدخال رمز مكون من 6 أرقام من تطبيق المصادقة على الهاتف الذكي ، بالإضافة إلى اسم المستخدم وكلمة المرور الخاصة بهم. يضمن ذلك أنه حتى في حالة اختراق كلمة مرور المستخدم ، سيظل المهاجم غير قادر على الوصول إلى النظام المضيف دون الوصول إلى هاتف المستخدم غير المقفل. هذا يجعل القوة الغاشمة وعمليات البحث عن كلمات مرور القاموس عديمة الفائدة ، وهو أمر بالغ الأهمية بشكل خاص حيث تقوم المزيد من المؤسسات بتمكين العمل عن بعد مع عملاء سطح المكتب البعيد المعرضين للخطر. تقلل المصادقة الثنائية (2FA) أيضا من عبء فرض سياسة كلمة مرور معقدة.
تتطلب المصادقة الثنائية من GO-Global أن يكون لدى جميع المستخدمين هاتف ذكي مع تطبيق مصادقة مثل Google Authenticator™ أو Authy مثبتا.
مصادقة Windows المتكاملة
يمكن للمشرفين تحسين أمان شبكة مستخدمي GO-Global من خلال إيقاف المصادقة القياسية (المطالبة باسم المستخدم وكلمة المرور) وتفعيل مصادقة Windows المتكاملة في علامة التبويب المصادقة في مربع حوار خيارات المضيف في وحدة تحكم المشرف. باستخدام هذا التكوين ، يتم رفض وصول جميع العملاء غير التابعين ل Windows إلى GO-Global Hosts ، لذلك يجب على المستخدمين النهائيين ل GO-Global تسجيل الدخول إلى أنظمة تشغيل عميل Windows الخاصة بهم باستخدام حساب Active Directory الذي يثق به GO-Global Host. بالإضافة إلى ذلك، لا يسمح بالوصول إلى حسابات المستخدمين المحلية ل GO-Global Host. تتم مصادقة المستخدم كعضو في مجموعة الشبكة ويتم تقييد الوصول إلى موارد الشبكة من GO-Global Host.
إذا احتاج المستخدم النهائي إلى وصول غير مقيد إلى الشبكة من GO-Global Host ، فإن الخيار الأقل أمانا هو تمكين كلمة مرور ذاكرة التخزين المؤقت في إعداد المضيف. سيؤدي ذلك إلى مطالبة GO-Global Host بالاستعلام عن اسم مستخدم وكلمة مرور صالحين للمستخدم. يتم تشفير كلمات المرور مع سياق أمان المستخدم وتخزينها في ملف تعريف المستخدم على GO-Global Host. مع الاتصالات اللاحقة ب GO-Global ، يتم تسجيل دخول المستخدم النهائي تلقائيا ، وإضافته إلى مجموعة INTERACTIVE الخاصة بالمضيف ، ويتم منحه نفس حقوق الوصول إذا قام بتسجيل الدخول إلى وحدة التحكم المضيفة.
وضع الحماية للتطبيق
تنشر GO-Global التطبيقات بشكل فردي ، ولكن يمكن لبعض التطبيقات تشغيل تطبيقات أخرى والوصول إلى الملفات ومفاتيح التسجيل. يمكن للمسؤولين الذين يرغبون في منع هذا السلوك بسبب مخاوف تتعلق بالأمان أو الترخيص أو الأداء القيام بذلك باستخدام ميزة وضع الحماية في GO-Global ، والتي تسمح لهم بتقييد وصول المستخدم إلى الملفات والبرامج على GO-Global Host. تنطبق هذه القيود على المستخدمين النهائيين فقط، وليس على المسؤولين أو أعضاء مجموعة المسؤولين.
يسمح وضع الحماية الخاص ب GO-Global للمسؤول بتقييد سلوك العملية بإحكام وتقديم تطبيق مغلق للمستخدم النهائي.
اتصال GO-Global بالعميل وأرقام المنافذ
في شبكات TCP / IP ، المنفذ هو آلية تسمح للكمبيوتر بدعم جلسات اتصال متعددة مع أجهزة الكمبيوتر والبرامج الموجودة على الشبكة في وقت واحد. يوجه المنفذ الطلب إلى خدمة معينة على عنوان IP هذا. يمكن تحديد وجهة الحزمة بشكل أكبر باستخدام رقم منفذ فريد. يتم تحديد رقم المنفذ عند إنشاء الاتصال.
تحدد هيئة أرقام الإنترنت المخصصة (IANA) المعلمات الفريدة وقيم البروتوكول اللازمة لتشغيل الإنترنت وتطوره المستقبلي. لمزيد من المراجع، انظر http://www.iana.org/assignments/port-numbers.
