Introducción
La integridad y seguridad de los datos corporativos y de los clientes de una organización es de vital importancia debido a la proliferación de ataques de piratas informáticos y a los requisitos normativos para los controles de acceso a los sistemas, como la Ley Sarbanes-Oxley (SOX) y la Ley de Portabilidad y Responsabilidad de los Seguros Médicos (HIPAA) de Estados Unidos, y el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. GO-Global® aprovecha las mejores tecnologías de seguridad disponibles para ofrecer a sus clientes un sistema de seguridad multicapa que garantiza la seguridad de los datos y la privacidad de los clientes. A continuación se detallan las funciones de seguridad integradas y las capacidades adicionales de GO-Global.
GO-Protocolo de sesión global
GraphOn® fue uno de los primeros innovadores de la tecnología de acceso remoto de clientes. La base de GO-Global es un protocolo propio de bajo ancho de banda para la conectividad a través de líneas serie denominado RapidX Protocol (RXP). RXP es adaptativo, utiliza múltiples capas de compresión y está optimizado para garantizar la menor utilización posible del ancho de banda. Dado que RXP es de código cerrado, ofrece una defensa adicional contra los atacantes, en comparación con protocolos de código abierto como Microsoft® RDP, en los que se han encontrado y explotado debilidades de seguridad.
Instalación básica y configuración por defecto
GO-Global se instala fácilmente mediante un único instalador ejecutable en el host que instalará o actualizará el software GO-Global. Una vez finalizada la instalación, debe reiniciarse el host para inicializar la configuración del registro y habilitar el software y los controladores GO-Global.
Por diseño, todas las opciones de configuración que permiten compartir recursos del servidor o del cliente están deshabilitadas. Además, GO-Global no publica aplicaciones predeterminadas. Se accede a las funciones de configuración, gestión y seguridad del host GO-Global a través de Admin Console en el menú Host Options (Opciones de host). Mediante este menú, los administradores pueden publicar aplicaciones, supervisar la actividad de los usuarios y del host y activar funciones como la impresión del cliente, el portapapeles del cliente, el cifrado y la autenticación.
Cifrado de sesión de cliente
Por defecto, GO-Global encripta las sesiones utilizando DES (Data Encryption Standard) con una clave de 56 bits para todas las conexiones de sesión de cliente, con el fin de proteger contra los rastreadores de paquetes básicos y los clientes que interceptan las comunicaciones de datos sin procesar. Es rápido, fiable y ofrece un nivel inmediato de seguridad para las conexiones basadas en LAN a través de GO-Global.
Para comunicaciones por Internet y entornos preocupados por la seguridad, GO-Global ofrece transporte basado en TLS con los siguientes algoritmos de cifrado: RC4 de 128 bits, 3DES de 168 bits y AES de 256 bits. Estos algoritmos de cifrado superiores requieren que el administrador aplique un certificado TLS firmado en el host, que puede generarse utilizando cualquier autoridad de certificación estándar. Los administradores también pueden generar certificados TLS de confianza para los hosts GO-Global a través de la ficha Security (Seguridad) del cuadro de diálogo Host Options (Opciones de host) en Admin Console (Consola de administración), donde el host GO-Global tiene una dirección DNS registrada públicamente. Esto permite a los administradores habilitar un cifrado fuerte y seguridad TLS sin adquirir un certificado de una Autoridad de Certificación de terceros.
Utilizar una VPN con GO-Global
Los administradores que utilizan GO-Global pueden emplear software de red privada virtual (VPN) de terceros para crear un túnel seguro y cifrado desde el dispositivo cliente hasta los hosts GO-Global. El usuario final remoto puede iniciar sesiones GO-Global a través del túnel VPN. Cuando se utiliza una VPN, la RXP propietaria de GO-Global no necesita ser encriptada directamente, aunque puede serlo para un nivel extra de seguridad. Cuando se viaja a través de una VPN, la RXP es encriptada por el software VPN.
Túnel de servidor proxy
GO-Global admite Proxy Server Tunneling, también conocido como HTTP Connect. Esto permite a un usuario que accede a Internet a través de un servidor proxy web conectarse a los hosts GO-Global en Internet. Cuando utilice un servidor proxy, tenga en cuenta que, de forma predeterminada, todo el tráfico se deniega en todos los puertos del host, por lo que el host GO-Global debe configurarse para aceptar conexiones únicamente en el puerto 443.
Seguridad de las aplicaciones y autenticación de usuarios
Una aplicación de software es tan segura como el sistema operativo en el que está instalada. GO-Global no instala ni mantiene su propia base de datos de usuarios o aplicaciones. En su lugar, hereda todos los aspectos de seguridad de usuarios y datos del sistema operativo Windows Server®. Los parámetros de seguridad para el usuario y la aplicación se configuran a nivel del sistema operativo Windows® y se transmiten a GO-Global durante el proceso de inicio de sesión.
Además, GO-Global respeta los permisos de archivos, carpetas, recursos compartidos, impresoras y registros de Windows, que son fundamentales para la seguridad de cualquier sistema Windows. A menos que los usuarios finales dispongan de privilegios de administrador o elevados, no podrán acceder a las carpetas del sistema, corromper o romper el servidor, o causar amenazas a la seguridad.
GraphOn recomienda el uso de políticas de grupo de Windows para todas las configuraciones de seguridad del sistema, especialmente en una granja de servidores de carga equilibrada, para garantizar la coherencia en todos los hosts.
Soporte de inicio de sesión único
El inicio de sesión único (SSO) es una herramienta de autenticación de usuarios que permite a estos iniciar sesión y acceder a varias aplicaciones, sitios web, datos y estaciones de trabajo utilizando un conjunto de credenciales gestionado de forma centralizada: un nombre de usuario y una contraseña. En general, el inicio de sesión único ha facilitado considerablemente a las organizaciones la seguridad del acceso a la identidad y el paso a la nube. Además, el inicio de sesión único reduce las llamadas al servicio de asistencia para recuperar contraseñas perdidas u olvidadas, que, según Gartner, suponen entre el 30 y el 50% de todas las llamadas al servicio de asistencia.
Históricamente, SSO sólo ha estado disponible para aplicaciones web. Los eventos de autenticación dentro del sistema operativo Windows se producen a través de Winlogon, el módulo de autenticación de Windows que realiza inicios de sesión interactivos para una sesión, donde un usuario inicia sesión directamente en el sistema operativo con un nombre de usuario y una contraseña. Dado que Windows requiere un nombre de usuario y una contraseña para iniciar sesión, TI no puede incluir aplicaciones Windows en implementaciones en la nube que utilicen el inicio de sesión único sin un proveedor de credenciales personalizado.
GO-Global elimina ese requisito con el soporte de inicio de sesión único para OpenID® Connect (OIDC), que permite a las organizaciones utilizar proveedores de identidad OIDC como Okta® y Microsoft® Active Directory Federated Services (ADFS) para el inicio de sesión único en hosts Windows GO-Global. Con GO-Global, los usuarios que inician sesión en una aplicación o portal web de la empresa utilizando un proveedor de identidad como Okta o ADFS pueden acceder a los hosts GO-Global desde sus navegadores sin tener que volver a introducir sus credenciales, aplicando las políticas de autenticación de la organización y reduciendo las llamadas al servicio de asistencia por pérdida y olvido de contraseñas.
Una vez que un usuario se ha autenticado a través de OIDC, GO-Global ofrece a los administradores varias opciones para autenticar automáticamente al usuario en Windows. Por ejemplo, si el proveedor de identificación está integrado con el Directorio Activo de la organización, GO-Global puede iniciar sesión automáticamente en la cuenta de dominio del usuario. Alternativamente, si no se requiere o no se desea la integración con Active Directory, GO-Global puede crear automáticamente una cuenta local de Windows para el usuario.
Autenticación de dos factores
La autenticación de dos factores (2FA) de GO-Global (también conocida como "verificación en dos pasos") es una función de autenticación avanzada que proporciona una capa adicional de seguridad al solicitar opcionalmente a los usuarios que introduzcan un código de 6 dígitos desde una aplicación de autenticación en un teléfono inteligente, además de su nombre de usuario y contraseña. Esto garantiza que incluso si la contraseña de un usuario se ve comprometida, el atacante no podrá acceder al sistema host sin tener acceso al teléfono desbloqueado del usuario. Esto hace inútiles las búsquedas de contraseñas por fuerza bruta y diccionario, lo que es especialmente crítico a medida que más organizaciones permiten el trabajo remoto con clientes de escritorio remoto vulnerables. 2FA también reduce la carga de forzar una política de contraseñas complejas.
La autenticación de dos factores de GO-Global requiere que todos los usuarios tengan un teléfono inteligente con una aplicación de autenticación como Google Authenticator™ o Authy instalada.
Autenticación de Windows integrada
Los administradores pueden mejorar la seguridad de la red de los usuarios finales de GO-Global desactivando la autenticación estándar (solicitud de nombre de usuario y contraseña) y activando la autenticación integrada de Windows en la ficha Autenticación del cuadro de diálogo Opciones de host de Admin Console. Con esta configuración, se deniega el acceso a los hosts GO-Global a todos los clientes que no sean Windows, por lo que los usuarios finales de GO-Global deben iniciar sesión en sus sistemas operativos cliente Windows con una cuenta de Active Directory en la que confíe el host GO-Global. Además, no se permite el acceso a las cuentas de usuario locales del host GO-Global. El usuario se autentica como miembro del grupo NETWORK y se restringe el acceso a los recursos de red desde el host GO-Global.
Si un usuario final necesita acceso ilimitado a la red desde el host GO-Global, una opción menos segura es habilitar la configuración Contraseña de caché en el host. Esto hará que el host GO-Global solicite al usuario un nombre de usuario y una contraseña válidos. Las contraseñas se cifran con el contexto de seguridad del usuario y se almacenan en el perfil del usuario en el host GO-Global. Con las conexiones posteriores a GO-Global, el usuario final inicia sesión automáticamente, se añade al grupo INTERACTIVO del host y se le conceden los mismos derechos de acceso que si hubiera iniciado sesión en la consola del host.
Sandboxing de aplicaciones
GO-Global publica aplicaciones individualmente, pero algunas aplicaciones pueden lanzar otras y acceder a archivos y claves de registro. Los administradores que deseen evitar ese comportamiento por motivos de seguridad, licencias o rendimiento pueden hacerlo utilizando la función de sandbox de GO-Global, que les permite restringir el acceso de los usuarios a los archivos y programas de un host GO-Global. Estas restricciones se aplican únicamente a los usuarios finales, no a los administradores ni a los miembros del grupo de administradores.
El sandbox de GO-Global permite al administrador restringir estrictamente el comportamiento de los procesos y entregar una aplicación bloqueada al usuario final.
Conectividad de clientes GO-Global y números de puerto
En las redes TCP/IP, un puerto es un mecanismo que permite a un ordenador soportar simultáneamente varias sesiones de comunicación con ordenadores y programas de la red. Un puerto dirige la petición a un servicio específico en esa dirección IP. El destino del paquete puede definirse aún más utilizando un número de puerto único. El número de puerto se determina cuando se establece la conexión.
La Autoridad de Asignación de Números de Internet (IANA) define los parámetros únicos y los valores de protocolo necesarios para el funcionamiento de Internet y su futuro desarrollo. Para más información, consulte http://www.iana.org/assignments/port-numbers.
