Introduction
L'intégrité et la sécurité des données des entreprises et des clients d'une organisation sont d'une importance capitale en raison de la prolifération des attaques de piratage et des exigences réglementaires en matière de contrôle d'accès aux systèmes, comme la loi Sarbanes-Oxley (SOX) et la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) des États-Unis, ainsi que le règlement général sur la protection des données (RGPD) de l'Union européenne. GO-Global® s'appuie sur les meilleures technologies de sécurité disponibles pour fournir à ses clients un système de sécurité multicouche qui garantit la sécurité des données et la confidentialité des clients. Les caractéristiques de sécurité intégrées de GO-Global et les capacités supplémentaires sont détaillées ci-dessous.
GO - Protocole de session global
GraphOn® a été l'un des premiers à innover en matière de technologie d'accès à distance des clients. GO-Global repose sur un protocole propriétaire à faible largeur de bande pour la connectivité sur les lignes série, appelé RapidX Protocol (RXP). RXP est adaptatif, utilise plusieurs couches de compression et est optimisé pour garantir une utilisation aussi faible que possible de la bande passante. Le RXP étant une source fermée, il offre une défense supplémentaire contre les attaquants, par rapport aux protocoles à source ouverte tels que Microsoft® RDP, où des faiblesses en matière de sécurité ont été trouvées et exploitées.
Installation de base et paramètres par défaut
GO-Global est facilement installé en utilisant un seul exécutable d'installation sur l'hôte qui installera ou mettra à jour le logiciel GO-Global. Une fois l'installation terminée, l'hôte doit être redémarré pour initialiser les paramètres du registre et activer le logiciel et les pilotes GO-Global.
Par conception, toutes les options de configuration qui permettent le partage des ressources du serveur ou du client sont désactivées. En outre, GO-Global ne publie aucune application par défaut. La configuration de l'hôte GO-Global, la gestion et les fonctions liées à la sécurité sont accessibles via la console d'administration sous le menu Options de l'hôte. Les administrateurs peuvent publier des applications, surveiller l'activité de l'utilisateur et de l'hôte, et activer des fonctions telles que l'impression du client, le presse-papiers du client, le cryptage et l'authentification à l'aide de ce menu.
Chiffrement de la session du client
Par défaut, GO-Global crypte les sessions en utilisant DES (Data Encryption Standard) avec une force de clé de 56 bits pour toutes les connexions de session client afin de se protéger contre les renifleurs de paquets de base et les clients interceptant les communications de données brutes. C'est rapide, fiable et offre un niveau immédiat de sécurité pour les connexions basées sur le réseau local via GO-Global.
Pour les communications Internet et les environnements soucieux de la sécurité, GO-Global offre un transport basé sur TLS avec les algorithmes de cryptage suivants : 128-bit RC4, 168-bit 3DES et 256-bit AES. Ces algorithmes de cryptage plus élevés nécessitent que l'administrateur applique un certificat TLS signé sur l'hôte, qui peut être généré en utilisant n'importe quelle autorité de certification standard. Les administrateurs peuvent également générer des certificats TLS de confiance pour les hôtes GO-Global via l'onglet Sécurité de la boîte de dialogue Options de l'hôte dans la console d'administration, où l'hôte GO-Global a une adresse DNS publiquement enregistrée. Cela permet aux administrateurs d'activer un cryptage fort et une sécurité TLS sans acheter un certificat auprès d'une autorité de certification tierce.
Utiliser un VPN avec GO-Global
Les administrateurs utilisant GO-Global peuvent utiliser un logiciel de réseau privé virtuel (VPN) tiers pour créer un tunnel sécurisé et crypté entre l'appareil client et les hôtes GO-Global. L'utilisateur distant peut lancer des sessions GO-Global à travers le tunnel VPN. Lors de l'utilisation d'un VPN, le RXP propriétaire de GO-Global n'a pas besoin d'être crypté directement, bien qu'il puisse l'être pour un niveau de sécurité supplémentaire. Lorsqu'il transite par un VPN, le RXP est crypté par le logiciel VPN.
Tunnels de serveurs proxy
GO-Global prend en charge le tunnelage du serveur proxy, également connu sous le nom de HTTP Connect. Cela permet à un utilisateur qui accède à l'internet via un serveur proxy de se connecter aux hôtes GO-Global sur l'internet. Lorsque vous utilisez un serveur proxy, gardez à l'esprit que, par défaut, tout le trafic est refusé sur tous les ports de l'hôte, de sorte que l'hôte GO-Global doit être configuré pour accepter les connexions sur le port 443 uniquement.
Sécurité des applications et authentification des utilisateurs
Une application logicielle n'est aussi sûre que le système d'exploitation sur lequel elle est installée. GO-Global n'installe ni ne maintient sa propre base de données d'utilisateurs ou d'applications. Au lieu de cela, il hérite de tous les aspects de la sécurité des utilisateurs et des données du système d'exploitation Windows Server®. Les paramètres de sécurité pour l'utilisateur et l'application sont configurés au niveau du système d'exploitation Windows® et sont transmis à GO-Global pendant le processus de connexion.
En outre, les autorisations de fichiers, dossiers, partages, imprimantes et registres de Windows sont toutes respectées par GO-Global et sont essentielles à la sécurité de tout système Windows. À moins que les utilisateurs finaux ne reçoivent des privilèges d'administrateur ou des privilèges élevés, ils ne seront pas en mesure d'accéder aux dossiers du système, de corrompre ou de briser le serveur, ou de causer d'autres menaces à la sécurité.
GraphOn recommande d'utiliser les stratégies de groupe Windows pour tous les paramètres de sécurité côté système, en particulier dans une ferme de serveurs à charge équilibrée, afin d'assurer la cohérence entre tous les hôtes.
Support de l'authentification unique
L'authentification unique (SSO) est un outil d'authentification des utilisateurs qui leur permet de se connecter et d'accéder à plusieurs applications, sites web, données et postes de travail à l'aide d'un seul ensemble d'informations d'identification géré de manière centralisée - un nom d'utilisateur et un mot de passe. Dans l'ensemble, l'authentification unique a considérablement facilité la sécurisation de l'accès à l'identité et le passage à l'informatique dématérialisée pour les entreprises. En outre, l'authentification unique réduit le nombre d'appels au service d'assistance pour récupérer des mots de passe perdus ou oubliés, ce qui, selon Gartner, représente 30 à 50 % de tous les appels au service d'assistance.
Historiquement, le SSO n'est disponible que pour les applications web. Les événements d'authentification au sein du système d'exploitation Windows se produisent via Winlogon, le module d'authentification Windows qui effectue des connexions interactives pour une session - lorsqu'un utilisateur se connecte directement au système d'exploitation avec un nom d'utilisateur et un mot de passe. Comme Windows exige un nom d'utilisateur et un mot de passe pour se connecter, les services informatiques ne peuvent pas inclure les applications Windows dans les implémentations en nuage utilisant l'authentification unique sans un fournisseur d'authentification personnalisé.
GO-Global élimine cette exigence grâce à la prise en charge de l'authentification unique pour OpenID® Connect (OIDC), qui permet aux organisations d'utiliser des fournisseurs d'identité OIDC comme Okta® et Microsoft® Active Directory Federated Services (ADFS) pour l'authentification unique dans les hôtes Windows de GO-Global. Avec GO-Global, les utilisateurs qui se connectent à une application web ou à un portail d'entreprise en utilisant un fournisseur d'identité tel que Okta ou ADFS peuvent accéder aux hôtes GO-Global à partir de leur navigateur sans avoir à saisir à nouveau leurs informations d'identification, ce qui permet d'appliquer les politiques d'authentification de l'organisation et de réduire les appels au service d'assistance en cas de perte ou d'oubli de mot de passe.
Une fois qu'un utilisateur s'est authentifié via OIDC, GO-Global offre aux administrateurs plusieurs options pour authentifier l'utilisateur automatiquement sur Windows. Par exemple, si le fournisseur d'identification est intégré à l'Active Directory de l'organisation, GO-Global peut automatiquement connecter l'utilisateur à son compte de domaine. Alternativement, si l'intégration Active Directory n'est pas nécessaire ou souhaitée, GO-Global peut créer automatiquement un compte Windows local pour l'utilisateur.
Authentification à deux facteurs
L'authentification à deux facteurs (2FA) de GO-Global (également connue sous le nom de "vérification en deux étapes") est une fonction d'authentification avancée qui fournit une couche supplémentaire de sécurité en demandant aux utilisateurs d'entrer un code à 6 chiffres à partir d'une application d'authentification sur un téléphone intelligent, en plus de leur nom d'utilisateur et de leur mot de passe. Ainsi, même si le mot de passe d'un utilisateur est compromis, l'attaquant ne pourra pas accéder au système hôte s'il n'a pas accès au téléphone déverrouillé de l'utilisateur. Cela rend inutiles les recherches de mots de passe par force brute et par dictionnaire, ce qui est d'autant plus critique que de plus en plus d'organisations permettent le travail à distance avec des clients de bureau à distance vulnérables. Le 2FA réduit également le fardeau que représente la mise en place d'une politique de mots de passe complexes.
L'authentification à deux facteurs de GO-Global exige que tous les utilisateurs disposent d'un téléphone intelligent sur lequel est installée une application d'authentification telle que Google Authenticator™ ou Authy.
Authentification Windows intégrée
Les administrateurs peuvent améliorer la sécurité du réseau des utilisateurs finaux de GO-Global en désactivant l'authentification standard (demande de nom d'utilisateur et de mot de passe) et en activant l'authentification Windows intégrée dans l'onglet Authentification de la boîte de dialogue Options de l'hôte dans la console d'administration. Avec cette configuration, tous les clients non-Windows se voient refuser l'accès aux hôtes GO-Global, de sorte que les utilisateurs finaux GO-Global doivent se connecter à leurs systèmes d'exploitation clients Windows avec un compte Active Directory auquel l'hôte GO-Global fait confiance. En outre, les comptes d'utilisateurs locaux de l'hôte de GO-Global ne sont pas autorisés à accéder. L'utilisateur est authentifié en tant que membre du groupe NETWORK et l'accès aux ressources du réseau à partir de l'hôte GO-Global est restreint.
Si un utilisateur final a besoin d'un accès illimité au réseau à partir de l'hôte GO-Global, une option moins sûre est d'activer le mot de passe Cache sur le paramètre de l'hôte. Cela invitera l'hôte GO-Global à demander à l'utilisateur un nom d'utilisateur et un mot de passe valides. Les mots de passe sont cryptés avec le contexte de sécurité de l'utilisateur et stockés dans le profil de l'utilisateur sur l'hôte GO-Global. Lors des connexions suivantes à GO-Global, l'utilisateur final est automatiquement connecté, ajouté au groupe INTERACTIF de l'hôte, et se voit accorder les mêmes droits d'accès que s'il s'était connecté à la console de l'hôte.
Application Sandboxing
GO-Global publie les applications individuellement, mais certaines applications peuvent en lancer d'autres et accéder aux fichiers et aux clés de registre. Les administrateurs qui veulent empêcher ce comportement pour des raisons de sécurité, de licence ou de performance peuvent le faire en utilisant la fonction de bac à sable de GO-Global, qui leur permet de restreindre l'accès des utilisateurs aux fichiers et aux programmes sur un hôte GO-Global. Ces restrictions s'appliquent uniquement aux utilisateurs finaux, et non aux administrateurs ou aux membres du groupe des administrateurs.
Le bac à sable de GO-Global permet à l'administrateur de restreindre étroitement le comportement du processus et de fournir une application verrouillée à l'utilisateur final.
Connectivité des clients de GO-Global et numéros de port
Dans les réseaux TCP/IP, un port est un mécanisme qui permet à un ordinateur de supporter simultanément plusieurs sessions de communication avec des ordinateurs et des programmes sur le réseau. Un port dirige la demande vers un service spécifique à cette adresse IP. La destination du paquet peut être définie plus précisément en utilisant un numéro de port unique. Le numéro de port est déterminé lors de l'établissement de la connexion.
L'IANA (Internet Assigned Numbers Authority) définit les paramètres uniques et les valeurs de protocole nécessaires au fonctionnement de l'internet et à son développement futur. Pour plus d'informations, voir http://www.iana.org/assignments/port-numbers.
