Introduktion
En organisations virksomheds- og kundedataintegritet og -sikkerhed er af afgørende betydning på grund af udbredelsen af hackerangreb og de lovgivningsmæssige krav til systemadgangskontrol som USA's Sarbanes-Oxley Act (SOX) og Health Insurance Portability and Accountability Act (HIPAA) og EU's General Data Protection Regulation (GDPR). GO-Global® udnytter de bedste tilgængelige sikkerhedsteknologier til at give sine kunder et sikkerhedssystem med flere lag, der sikrer datasikkerhed og kundernes privatliv. GO-Globals integrerede sikkerhedsfunktioner og yderligere muligheder er beskrevet nedenfor.
GO-Global sessionsprotokol
GraphOn® var en af de tidlige innovatører inden for fjernadgangsteknologi til klienter. Grundlaget for GO-Global er en proprietær protokol med lav båndbredde til forbindelse over serielle linjer kaldet RapidX Protocol (RXP). RXP er adaptiv, bruger flere lag af komprimering og er optimeret til at sikre den lavest mulige udnyttelse af båndbredden. Fordi RXP er closed source, giver den et ekstra forsvar mod angribere sammenlignet med open source-protokoller som Microsoft® RDP, hvor der er fundet og udnyttet svagheder i sikkerheden.
Grundlæggende installation og standardindstillinger
GO-Global installeres nemt ved hjælp af et enkelt installationsprogram på værten, som enten installerer eller opgraderer GO-Global-softwaren. Når installationen er færdig, skal værten genstartes for at initialisere indstillingerne i registreringsdatabasen og for at aktivere GO-Global-softwaren og -driverne.
Alle konfigurationsmuligheder, der muliggør deling af server- eller klientressourcer, er deaktiveret. Derudover udgiver GO-Global ingen standardprogrammer. Der er adgang til GO-Global Host-konfiguration, -administration og -sikkerhedsrelaterede funktioner via administratorpanelet under menuen Host Options. Administratorer kan udgive programmer, overvåge bruger- og værtsaktivitet og aktivere funktioner som klientudskrivning, klientudklipsholder, kryptering og godkendelse ved hjælp af denne menu.
Kryptering af klientsessioner
Som standard krypterer GO-Global sessioner ved hjælp af DES (Data Encryption Standard) med 56-bit nøglestyrke for alle klientsessionsforbindelser for at beskytte mod basale pakkesniffere og klienter, der opsnapper rå datakommunikation. Det er hurtigt, pålideligt og giver et øjeblikkeligt sikkerhedsniveau for LAN-baserede forbindelser via GO-Global.
Til internetkommunikation og sikkerhedsbevidste miljøer tilbyder GO-Global TLS-baseret transport med følgende krypteringsalgoritmer: 128-bit RC4, 168-bit 3DES og 256-bit AES. Disse højere krypteringsalgoritmer kræver, at administratoren anvender et signeret TLS-certifikat på værten, som kan genereres ved hjælp af en standard certifikatmyndighed. Administratorer kan også generere pålidelige TLS-certifikater til GO-Global-værter via fanen Sikkerhed i dialogboksen Værtsindstillinger i administratorpanelet, hvor GO-Global-værten har en offentligt registreret DNS-adresse. Dette giver administratorer mulighed for at aktivere stærk kryptering og TLS-sikkerhed uden at købe et certifikat fra en tredjepartscertifikatudsteder.
Brug af VPN med GO-Global
Administratorer, der bruger GO-Global, kan anvende tredjeparts VPN-software (Virtual Private Networking) til at oprette en sikker, krypteret tunnel fra klientenheden til GO-Global-værter. Den eksterne slutbruger kan starte GO-Global-sessioner gennem VPN-tunnelen. Når man bruger en VPN, behøver GO-Globals proprietære RXP ikke at blive krypteret direkte, selvom den kan blive det for at opnå et ekstra sikkerhedsniveau. Når den rejser gennem en VPN, krypteres RXP af VPN-softwaren.
Proxyserver-tunnelering
GO-Global understøtter Proxy Server Tunneling, også kendt som HTTP Connect. Dette gør det muligt for en bruger, der har adgang til internettet via en webproxyserver, at oprette forbindelse til GO-Global-værter på internettet. Når du bruger en proxyserver, skal du huske, at al trafik som standard afvises på alle værtsporte, så GO-Global-værten skal konfigureres til kun at acceptere forbindelser på port 443.
Applikationssikkerhed og brugergodkendelse
En softwareapplikation er kun så sikker som det operativsystem, den er installeret på. GO-Global installerer eller vedligeholder ikke sin egen bruger- eller programdatabase. I stedet arver den alle aspekter af bruger- og datasikkerhed fra Windows Server®-operativsystemet. Sikkerhedsindstillingerne for brugeren og programmet konfigureres på Windows® OS-niveau og sendes til GO-Global under logon-processen.
Derudover respekterer GO-Global alle Windows-fil-, mappe-, share-, printer- og registreringsdatabasetilladelser, som er centrale for sikkerheden i ethvert Windows-system. Medmindre slutbrugere får administratorrettigheder eller udvidede rettigheder, kan de ikke få adgang til systemmapper, ødelægge eller ødelægge serveren eller på anden måde forårsage sikkerhedstrusler.
GraphOn anbefaler at bruge Windows-gruppepolitikker til alle sikkerhedsindstillinger på systemsiden, især i en belastningsbalanceret serverfarm, for at sikre konsistens på tværs af alle værter.
Understøttelse af single sign-on
Single Sign-On (SSO) er et brugergodkendelsesværktøj, der giver brugerne mulighed for at logge ind på og få adgang til flere applikationer, websites, data og arbejdsstationer ved hjælp af ét centralt administreret sæt legitimationsoplysninger - et brugernavn og en adgangskode. Samlet set har single sign-on gjort det betydeligt lettere for organisationer at sikre identitetsadgang og flytte til skyen. Derudover reducerer single sign-on helpdesk-opkald for at hente mistede eller glemte adgangskoder, som ifølge Gartner udgør 30 til 50 % af alle helpdesk-opkald.
SSO har historisk set kun været tilgængelig for webapplikationer. Godkendelseshændelser i Windows OS sker gennem Winlogon, Windows-godkendelsesmodulet, der udfører interaktive logons for en session - hvor en bruger logger direkte på operativsystemet med et brugernavn og en adgangskode. Da Windows kræver et brugernavn og en adgangskode for at logge på, kan IT ikke inkludere Windows-applikationer i cloud-implementeringer med single sign-on uden en tilpasset Credential Provider.
GO-Global eliminerer dette krav med Single Sign-On Support for OpenID® Connect (OIDC), som gør det muligt for organisationer at bruge OIDC-identitetsudbydere som Okta® og Microsoft® Active Directory Federated Services (ADFS) til single sign-on på GO-Global Windows-værter. Med GO-Global kan brugere, der logger på en virksomheds webapplikation eller portal ved hjælp af en identitetsudbyder som Okta eller ADFS, få adgang til GO-Global-værter fra deres browsere uden at skulle indtaste deres legitimationsoplysninger igen, hvilket håndhæver organisationens godkendelsespolitikker og reducerer antallet af opkald til helpdesk om mistede og glemte adgangskoder.
Når en bruger er blevet godkendt via OIDC, giver GO-Global administratorer flere muligheder for at godkende brugeren automatisk på Windows. Hvis identifikationsudbyderen f.eks. er integreret med organisationens Active Directory, kan GO-Global automatisk logge brugeren ind på brugerens domænekonto. Alternativt, hvis Active Directory-integration ikke er påkrævet eller ønsket, kan GO-Global automatisk oprette en lokal Windows-konto til brugeren.
To-faktor-autentificering
To-faktor-autentificering (2FA), også kendt som multifaktor-autentificering (MFA), giver et ekstra lag af sikkerhed ved at kræve, at slutbrugerne indtaster en 6-cifret kode fra en tidsbaseret TOTP-app (one-time password) på en enhed (smartphone, pc osv.) i tillæg til deres brugernavn og adgangskode. Dette reducerer risikoen for brute force- og ordbogsangreb betydeligt, hvilket er særligt vigtigt, da flere slutbrugere får adgang til virksomhedens computere, mens de arbejder fra usikre hjemmenetværk. GO-Globals indbyggede 2FA-funktion kræver ingen eksterne tjenester. Det kræver, at alle brugere har en enhed med en autentificeringsapp som Google Authenticator eller Authy eller en adgangskodeadministrator som Bitwarden installeret.
Integreret Windows-godkendelse
Administratorer kan forbedre GO-Global-slutbrugernes netværkssikkerhed ved at deaktivere standardgodkendelse (bede om brugernavn og adgangskode) og aktivere integreret Windows-godkendelse på fanen Godkendelse i dialogboksen Værtsindstillinger i administratorpanelet. Med denne konfiguration nægtes alle ikke-Windows-klienter adgang til GO-Global-værter, så GO-Global-slutbrugere skal logge på deres Windows-klientoperativsystemer med en Active Directory-konto, som GO-Global-værten har tillid til. Derudover har lokale brugerkonti på GO-Global-værten ikke adgang. Brugeren godkendes som medlem af NETWORK-gruppen, og adgangen til netværksressourcer fra GO-Global Host er begrænset.
Hvis en slutbruger har brug for ubegrænset netværksadgang fra GO-Global Host, er det en mindre sikker løsning at aktivere Cache-adgangskode på værtsindstillingen. Dette vil få GO-Global Host til at spørge brugeren om et gyldigt brugernavn og en gyldig adgangskode. Adgangskoder krypteres med brugerens sikkerhedskontekst og gemmes i brugerens profil på GO-Global Host. Ved efterfølgende forbindelser til GO-Global bliver slutbrugeren automatisk logget ind, føjet til værtens INTERAKTIVE-gruppe og får de samme adgangsrettigheder, som hvis han havde logget ind på værtskonsollen.
Sandboxing af applikationer
GO-Global udgiver programmer individuelt, men nogle programmer kan starte andre og få adgang til filer og registreringsdatabasenøgler. Administratorer, der ønsker at forhindre denne adfærd af hensyn til sikkerhed, licenser eller ydeevne, kan gøre det ved hjælp af GO-Globals sandkassefunktion, som giver dem mulighed for at begrænse brugernes adgang til filer og programmer på en GO-Global-vært. Disse begrænsninger gælder kun for slutbrugere, ikke for administratorer eller medlemmer af administratorgruppen.
GO-Globals sandkasse gør det muligt for administratoren at begrænse procesadfærden og levere en låst applikation til slutbrugeren.
GO-Global-klientforbindelser og portnumre
I TCP/IP-netværk er en port en mekanisme, der gør det muligt for en computer at understøtte flere kommunikationssessioner med computere og programmer på netværket på samme tid. En port leder forespørgslen til en bestemt tjeneste på den pågældende IP-adresse. Pakkens destination kan defineres yderligere ved hjælp af et unikt portnummer. Portnummeret bestemmes, når forbindelsen etableres.
Internet Assigned Numbers Authority (IANA) definerer de unikke parametre og protokolværdier, der er nødvendige for driften af internettet og dets fremtidige udvikling. For yderligere reference, se http://www.iana.org/assignments/port-numbers.