Introdução
A integridade e a segurança dos dados corporativos e dos clientes de uma organização são de suma importância devido à proliferação de ataques de hackers e aos requisitos regulamentares para controles de acesso ao sistema, como a Lei Sarbanes-Oxley (SOX) e a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) dos Estados Unidos e o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. A GO-Global® utiliza as melhores tecnologias de segurança disponíveis para oferecer a seus clientes um sistema de segurança em várias camadas que garante a segurança dos dados e a privacidade do cliente. Os recursos de segurança integrados e as capacidades adicionais da GO-Global estão detalhados abaixo.
GO - Protocolo de sessão global
O GraphOn® foi um dos primeiros inovadores da tecnologia de acesso remoto ao cliente. A base do GO-Global é um protocolo proprietário de baixa largura de banda para conectividade em linhas seriais chamado RapidX Protocol (RXP). O RXP é adaptável, usa várias camadas de compactação e é otimizado para garantir a menor utilização possível da largura de banda. Como o RXP é de código fechado, ele oferece uma defesa adicional contra invasores, em comparação com protocolos de código aberto, como o Microsoft® RDP, em que os pontos fracos de segurança foram encontrados e explorados.
Instalação básica e configurações padrão
A GO-Global é facilmente instalada usando um único instalador executável no host que instalará ou atualizará o software GO-Global. Quando a instalação for concluída, o host deverá ser reiniciado para inicializar as configurações do registro e habilitar o software e os drivers GO-Global.
Por padrão, todas as opções de configuração que permitem o compartilhamento de recursos do servidor ou do cliente estão desativadas. Além disso, a GO-Global não publica aplicativos padrão. As funções relacionadas à configuração, ao gerenciamento e à segurança do GO-Global Host são acessadas por meio do Admin Console no menu Host Options. Os administradores podem publicar aplicativos, monitorar a atividade do usuário e do host e ativar recursos como impressão do cliente, área de transferência do cliente, criptografia e autenticação usando esse menu.
Criptografia de sessão do cliente
Por padrão, o GO-Global criptografa sessões usando DES (Data Encryption Standard) com força de chave de 56 bits para todas as conexões de sessão de cliente para proteger contra sniffers de pacotes básicos e clientes que interceptam comunicações de dados brutos. É rápido, confiável e oferece um nível imediato de segurança para conexões baseadas em LAN via GO-Global.
Para comunicações pela Internet e ambientes preocupados com a segurança, a GO-Global oferece transporte baseado em TLS com os seguintes algoritmos de criptografia: RC4 de 128 bits, 3DES de 168 bits e AES de 256 bits. Esses algoritmos de criptografia mais altos exigem que o administrador aplique um certificado TLS assinado no host, que pode ser gerado usando qualquer autoridade de certificação padrão. Os administradores também podem gerar certificados TLS confiáveis para Hosts GO-Global por meio da guia Segurança da caixa de diálogo Opções de Host no Admin Console, onde o Host GO-Global tem um endereço DNS registrado publicamente. Isso permite que os administradores ativem a criptografia forte e a segurança TLS sem comprar um certificado de uma Autoridade de Certificação de terceiros.
Usando uma VPN com a GO-Global
Os administradores que usam o GO-Global podem empregar um software de rede privada virtual (VPN) de terceiros para criar um túnel seguro e criptografado do dispositivo cliente para os hosts GO-Global. O usuário final remoto pode iniciar sessões GO-Global por meio do túnel VPN. Ao usar uma VPN, o RXP proprietário da GO-Global não precisa ser criptografado diretamente, embora possa ser para um nível extra de segurança. Ao viajar por uma VPN, o RXP é criptografado pelo software da VPN.
Tunelamento de servidor proxy
A GO-Global suporta o Tunelamento de Servidor Proxy, também conhecido como HTTP Connect. Isso permite que um usuário que acessa a Internet por meio de um servidor proxy da Web se conecte aos hosts GO-Global na Internet. Ao usar um servidor proxy, lembre-se de que, por padrão, todo o tráfego é negado em todas as portas do host, portanto, o GO-Global Host deve ser configurado para aceitar conexões somente na porta 443.
Segurança de aplicativos e autenticação de usuários
Um aplicativo de software é tão seguro quanto o sistema operacional no qual está instalado. A GO-Global não instala nem mantém seu próprio banco de dados de usuários ou aplicativos. Em vez disso, ele herda todos os aspectos da segurança do usuário e dos dados do sistema operacional Windows Server®. As configurações de segurança para o usuário e o aplicativo são definidas no nível do sistema operacional Windows® e são passadas para o GO-Global durante o processo de logon.
Além disso, as permissões de arquivo, pasta, compartilhamento, impressora e registro do Windows são respeitadas pela GO-Global e são fundamentais para a segurança de qualquer sistema Windows. A menos que os usuários finais recebam privilégios de administrador ou privilégios elevados, eles não poderão acessar as pastas do sistema, corromper ou quebrar o servidor ou causar ameaças à segurança.
O GraphOn recomenda o uso das Políticas de Grupo do Windows para todas as configurações de segurança do lado do sistema, especialmente em um farm de servidores com balanceamento de carga, para garantir a consistência em todos os hosts.
Suporte a logon único
O logon único (SSO) é uma ferramenta de autenticação de usuário que permite que os usuários façam login e acessem vários aplicativos, sites, dados e estações de trabalho usando um conjunto de credenciais gerenciado centralmente: um nome de usuário e uma senha. De modo geral, o logon único tornou a proteção do acesso à identidade e a migração para a nuvem muito mais fáceis para as organizações. Além disso, o logon único reduz as chamadas ao helpdesk para recuperar senhas perdidas ou esquecidas, o que, de acordo com a Gartner, representa de 30 a 50% de todas as chamadas ao helpdesk.
Historicamente, o SSO só está disponível para aplicativos da Web. Os eventos de autenticação no sistema operacional Windows ocorrem por meio do Winlogon, o módulo de autenticação do Windows que executa logons interativos para uma sessão - quando um usuário faz logon diretamente no sistema operacional com um nome de usuário e uma senha. Como o Windows exige um nome de usuário e uma senha para fazer logon, a TI não pode incluir aplicativos Windows em implementações de nuvem usando o logon único sem um provedor de credenciais personalizado.
A GO-Global elimina esse requisito com o suporte de logon único para OpenID® Connect (OIDC), que permite que as organizações usem provedores de identidade OIDC como Okta® e Microsoft® Active Directory Federated Services (ADFS) para logon único nos hosts Windows da GO-Global. Com a GO-Global, os usuários que fazem login em um aplicativo ou portal da Web corporativo usando um provedor de identidade como o Okta ou o ADFS podem acessar os hosts da GO-Global a partir de seus navegadores sem precisar digitar novamente suas credenciais, aplicando as políticas de autenticação da organização e reduzindo as chamadas de senhas perdidas e esquecidas para o helpdesk.
Depois que um usuário é autenticado via OIDC, o GO-Global oferece aos administradores várias opções para autenticar o usuário automaticamente no Windows. Por exemplo, se o provedor de identificação estiver integrado ao Active Directory da organização, o GO-Global poderá conectar automaticamente o usuário à conta de domínio do usuário. Como alternativa, se a integração com o Active Directory não for necessária ou desejada, o GO-Global pode criar automaticamente uma conta local do Windows para o usuário.
Autenticação de dois fatores
A autenticação de dois fatores (2FA), também conhecida como autenticação multifatorial (MFA), oferece uma camada extra de segurança ao exigir que os usuários finais insiram um código de 6 dígitos de um aplicativo autenticador de senha única baseada em tempo (TOTP) em um dispositivo (smartphone, PC etc.), além do nome de usuário e da senha. Isso reduz significativamente o risco de ataques de força bruta e de dicionário, o que é especialmente importante à medida que mais usuários finais acessam computadores corporativos enquanto trabalham em redes domésticas inseguras. O recurso 2FA nativo da GO-Global não requer nenhum serviço externo. Ele exige que todos os usuários tenham um dispositivo com um aplicativo autenticador, como o Google Authenticator ou o Authy, ou um gerenciador de senhas, como o Bitwarden, instalado.
Autenticação integrada do Windows
Os administradores podem aumentar a segurança da rede dos usuários finais da GO-Global desativando a autenticação padrão (solicitação de nome de usuário e senha) e ativando a autenticação integrada do Windows na guia Autenticação da caixa de diálogo Opções do host no Admin Console. Com essa configuração, todos os clientes que não são do Windows têm acesso negado aos Hosts GO-Global, de modo que os usuários finais da GO-Global devem fazer logon em seus sistemas operacionais Windows com uma conta do Active Directory na qual o Host GO-Global confia. Além disso, as contas de usuário locais do GO-Global Host não têm acesso permitido. O usuário é autenticado como membro do grupo NETWORK e o acesso aos recursos de rede do GO-Global Host é restrito.
Se um usuário final precisar de acesso irrestrito à rede a partir do GO-Global Host, uma opção menos segura é ativar a senha do cache na configuração do host. Isso solicitará que o GO-Global Host consulte o usuário para obter um nome de usuário e uma senha válidos. As senhas são criptografadas com o contexto de segurança do usuário e armazenadas no perfil do usuário no GO-Global Host. Nas conexões subsequentes com a GO-Global, o usuário final é automaticamente conectado, adicionado ao grupo INTERACTIVE do host e recebe os mesmos direitos de acesso que teria se estivesse conectado ao console do host.
Sandboxing de aplicativos
A GO-Global publica aplicativos individualmente, mas alguns aplicativos podem iniciar outros e acessar arquivos e chaves de registro. Os administradores que desejam impedir esse comportamento devido a questões de segurança, licenciamento ou desempenho podem fazê-lo usando o recurso sandbox da GO-Global, que permite restringir o acesso do usuário a arquivos e programas em um GO-Global Host. Essas restrições se aplicam apenas aos usuários finais, não aos administradores ou membros do Grupo de Administradores.
O sandbox da GO-Global permite que o administrador restrinja rigidamente o comportamento do processo e forneça um aplicativo bloqueado ao usuário final.
Conectividade do cliente GO-Global e números de porta
Na rede TCP/IP, uma porta é um mecanismo que permite que um computador suporte simultaneamente várias sessões de comunicação com computadores e programas na rede. Uma porta direciona a solicitação para um serviço específico naquele endereço IP. O destino do pacote pode ser definido ainda mais com o uso de um número de porta exclusivo. O número da porta é determinado quando a conexão é estabelecida.
A IANA (Internet Assigned Numbers Authority) define os parâmetros exclusivos e os valores de protocolo necessários para a operação da Internet e seu desenvolvimento futuro. Para obter mais referências, consulte http://www.iana.org/assignments/port-numbers.