Inleiding
De integriteit en beveiliging van bedrijfs- en klantgegevens van een organisatie is van het grootste belang vanwege de toename van hackaanvallen en de wettelijke vereisten voor toegangscontroles tot systemen, zoals de Amerikaanse Sarbanes-Oxley Act (SOX) en Health Insurance Portability and Accountability Act (HIPAA), en de General Data Protection Regulation (GDPR) van de Europese Unie. GO-Global® maakt gebruik van de best beschikbare beveiligingstechnologieën om haar klanten een meerlagig beveiligingssysteem te bieden dat gegevensbeveiliging en klantprivacy garandeert. De geïntegreerde beveiligingsfuncties en aanvullende mogelijkheden van GO-Global worden hieronder beschreven.
GO-Globaal Sessieprotocol
GraphOn® was een vroege vernieuwer van toegang op afstand voor clients. De basis voor GO-Global is een eigen protocol met lage bandbreedte voor connectiviteit via seriële lijnen, RapidX Protocol (RXP) genaamd. RXP is adaptief, gebruikt meerdere compressielagen en is geoptimaliseerd voor een zo laag mogelijk bandbreedtegebruik. Omdat RXP closed source is, biedt het extra verdediging tegen aanvallers, vergeleken met open-source protocollen zoals Microsoft® RDP, waar zwakke plekken in de beveiliging zijn gevonden en uitgebuit.
Basisinstallatie en standaardinstellingen
GO-Global wordt eenvoudig geïnstalleerd met één installatieprogramma op de host waarmee de GO-Global software wordt geïnstalleerd of geüpgraded. Wanneer de installatie is voltooid, moet de host opnieuw worden gestart om de registerinstellingen te initialiseren en de GO-Global software en stuurprogramma's in te schakelen.
Alle configuratieopties die het delen van server- of clientbronnen mogelijk maken, zijn uitgeschakeld. Bovendien publiceert GO-Global geen standaardtoepassingen. GO-Global Host configuratie-, beheer- en beveiligingsfuncties zijn toegankelijk via de beheerconsole onder het menu Host-opties. Beheerders kunnen via dit menu toepassingen publiceren, gebruikers- en hostactiviteiten bewaken en functies inschakelen zoals clientprinten, clientklembord, codering en verificatie.
Sessie-encryptie van de client
Standaard versleutelt GO-Global sessies met DES (Data Encryption Standard) met een sleutelsterkte van 56 bits voor alle clientsessieverbindingen om bescherming te bieden tegen basispakketsniffers en clients die ruwe datacommunicatie onderscheppen. Het is snel, betrouwbaar en biedt een direct beveiligingsniveau voor LAN-gebaseerde verbindingen via GO-Global.
Voor internetcommunicatie en beveiligingsbewuste omgevingen biedt GO-Global transport op basis van TLS met de volgende versleutelingsalgoritmen: 128-bits RC4, 168-bits 3DES en 256-bits AES. Voor deze hogere versleutelingsalgoritmen moet de beheerder een ondertekend TLS-certificaat toepassen op de host, dat kan worden gegenereerd met behulp van elke standaardcertificaatautoriteit. Beheerders kunnen ook vertrouwde TLS-certificaten genereren voor GO-Global Hosts via het tabblad Beveiliging van het dialoogvenster Hostopties in de beheerconsole, wanneer de GO-Global Host een openbaar geregistreerd DNS-adres heeft. Hierdoor kunnen beheerders sterke encryptie en TLS-beveiliging inschakelen zonder een certificaat aan te schaffen bij een certificeringsinstantie van derden.
Een VPN gebruiken met GO-Global
Beheerders die GO-Global gebruiken, kunnen VPN-software (Virtual Private Networking) van derden gebruiken om een veilige, versleutelde tunnel te creëren van het clientapparaat naar GO-Global hosts. De externe eindgebruiker kan GO-Global-sessies starten via de VPN-tunnel. Bij gebruik van een VPN hoeft GO-Global's eigen RXP niet direct te worden versleuteld, hoewel dit wel kan voor een extra beveiligingsniveau. Bij reizen via een VPN wordt RXP versleuteld door de VPN-software.
Proxy-server tunneling
GO-Global ondersteunt Proxy Server Tunneling, ook bekend als HTTP Connect. Hierdoor kan een gebruiker die het internet opgaat via een webproxyserver verbinding maken met GO-Global hosts op het internet. Houd er bij het gebruik van een proxyserver rekening mee dat standaard alle verkeer op alle hostpoorten wordt geweigerd, dus de GO-Global Host moet worden geconfigureerd om alleen verbindingen op poort 443 te accepteren.
Applicatiebeveiliging en gebruikersverificatie
Een softwaretoepassing is slechts zo veilig als het besturingssysteem waarop deze is geïnstalleerd. GO-Global installeert of onderhoudt geen eigen gebruikers- of toepassingsdatabase. In plaats daarvan erft het alle aspecten van gebruikers- en gegevensbeveiliging van het Windows Server®-besturingssysteem. De beveiligingsinstellingen voor gebruikers en toepassingen worden geconfigureerd op het niveau van het Windows® OS en worden tijdens het aanmeldingsproces doorgegeven aan GO-Global.
Bovendien worden Windows-machtigingen voor bestanden, mappen, delen, printers en het register allemaal gerespecteerd door GO-Global en zijn deze essentieel voor de beveiliging van elk Windows-systeem. Tenzij eindgebruikers beheerdersrechten of verhoogde rechten krijgen, kunnen ze geen toegang krijgen tot systeemmappen, de server beschadigen of verbreken of anderszins veiligheidsrisico's veroorzaken.
GraphOn raadt aan om Windows Group Policies te gebruiken voor alle beveiligingsinstellingen aan de systeemkant, vooral in een load balanced serverfarm, om consistentie op alle hosts te garanderen.
Ondersteuning voor eenmalige aanmelding
Single Sign-On (SSO) is een hulpmiddel voor gebruikersverificatie waarmee gebruikers zich kunnen aanmelden bij en toegang kunnen krijgen tot meerdere applicaties, websites, gegevens en werkstations met behulp van één centraal beheerde set referenties - een gebruikersnaam en wachtwoord. In het algemeen heeft single sign-on het beveiligen van identiteitstoegang en de overstap naar de cloud aanzienlijk eenvoudiger gemaakt voor organisaties. Daarnaast zorgt single sign-on voor minder telefoontjes naar de helpdesk om verloren of vergeten wachtwoorden op te vragen, die volgens Gartner 30 tot 50% van alle telefoontjes naar de helpdesk uitmaken.
SSO is van oudsher alleen beschikbaar voor webtoepassingen. Authenticatiegebeurtenissen binnen Windows OS vinden plaats via Winlogon, de Windows-verificatiemodule die interactieve aanmeldingen uitvoert voor een sessie, waarbij een gebruiker zich rechtstreeks aanmeldt op het besturingssysteem met een gebruikersnaam en een wachtwoord. Omdat Windows een gebruikersnaam en wachtwoord vereist om in te loggen, kan IT geen Windows-toepassingen opnemen in cloudimplementaties die gebruikmaken van eenmalige aanmelding zonder een aangepaste Credential Provider.
GO-Global elimineert die vereiste met Single Sign-On ondersteuning voor OpenID® Connect (OIDC), waardoor organisaties OIDC identiteitsproviders zoals Okta® en Microsoft® Active Directory Federated Services (ADFS) kunnen gebruiken voor eenmalige aanmelding bij GO-Global Windows hosts. Met GO-Global kunnen gebruikers die zich aanmelden bij een bedrijfswebtoepassing of portaal met behulp van een identiteitsprovider zoals Okta of ADFS toegang krijgen tot GO-Global hosts vanuit hun browser zonder dat ze hun referenties opnieuw hoeven in te voeren, waardoor het authenticatiebeleid van de organisatie wordt gehandhaafd en er minder vaak een beroep hoeft te worden gedaan op de helpdesk voor verloren of vergeten wachtwoorden.
Zodra een gebruiker zich heeft geverifieerd via OIDC, biedt GO-Global beheerders verschillende opties om de gebruiker automatisch te verifiëren op Windows. Als de identificatieprovider bijvoorbeeld is geïntegreerd met de Active Directory van de organisatie, kan GO-Global de gebruiker automatisch aanmelden bij de domeinaccount van de gebruiker. Als integratie met Active Directory niet vereist of gewenst is, kan GO-Global automatisch een lokale Windows-account voor de gebruiker aanmaken.
Authenticatie met twee factoren
Authenticatie met twee factoren (2FA), ook bekend als Multi-Factor Authenticatie (MFA), biedt een extra beveiligingslaag door eindgebruikers optioneel te verplichten om naast hun gebruikersnaam en wachtwoord een 6-cijferige code in te voeren van een op tijd gebaseerde authenticatie-app met eenmalig wachtwoord (TOTP) op een apparaat (smartphone, pc, enz.). Dit vermindert het risico op brute kracht en woordenboekaanvallen aanzienlijk, wat vooral belangrijk is omdat steeds meer eindgebruikers toegang krijgen tot bedrijfscomputers terwijl ze vanuit onveilige thuisnetwerken werken. De ingebouwde 2FA-functie van GO-Global vereist geen externe diensten. Het vereist dat alle gebruikers een apparaat hebben met een authenticatie-app zoals Google Authenticator of Authy, of een wachtwoordmanager zoals Bitwarden geïnstalleerd.
Geïntegreerde Windows-verificatie
Beheerders kunnen de netwerkbeveiliging van GO-Global eindgebruikers verbeteren door Standaardverificatie (vragen om gebruikersnaam en wachtwoord) uit te schakelen en Geïntegreerde Windows-verificatie in te schakelen op het tabblad Verificatie van het dialoogvenster Hostopties in de beheerconsole. Met deze configuratie wordt alle niet-Windows clients de toegang tot GO-Global hosts geweigerd, zodat GO-Global eindgebruikers zich moeten aanmelden bij hun Windows clientbesturingssystemen met een Active Directory account die de GO-Global host vertrouwt. Daarnaast krijgen gebruikersaccounts lokaal op de GO-Global Host geen toegang. De gebruiker wordt geverifieerd als lid van de NETWORK-groep en de toegang tot netwerkbronnen van de GO-Global Host is beperkt.
Als een eindgebruiker onbeperkte netwerktoegang tot de GO-Global Host nodig heeft, is het minder veilig om de instelling Cache-wachtwoord op de host in te schakelen. Hierdoor vraagt de GO-Global Host de gebruiker om een geldige gebruikersnaam en wachtwoord. Wachtwoorden worden gecodeerd met de beveiligingscontext van de gebruiker en opgeslagen in het profiel van de gebruiker op de GO-Global Host. Bij volgende verbindingen met GO-Global wordt de eindgebruiker automatisch aangemeld, toegevoegd aan de INTERACTIVE-groep van de host en krijgt hij dezelfde toegangsrechten als wanneer hij zich had aangemeld bij de hostconsole.
Sandboxing van toepassingen
GO-Global publiceert toepassingen afzonderlijk, maar sommige toepassingen kunnen andere starten en toegang krijgen tot bestanden en registersleutels. Beheerders die dat gedrag willen voorkomen vanwege beveiligings-, licentie- of prestatieproblemen, kunnen dat doen met de sandboxfunctie van GO-Global, waarmee ze de gebruikerstoegang tot bestanden en programma's op een GO-Global Host kunnen beperken. Deze beperkingen gelden alleen voor eindgebruikers, niet voor beheerders of leden van de beheerdersgroep.
Met de sandbox van GO-Global kan de beheerder het gedrag van processen strikt beperken en een vergrendelde applicatie leveren aan de eindgebruiker.
GO-Global Client-connectiviteit en poortnummers
In TCP/IP netwerken is een poort een mechanisme waarmee een computer tegelijkertijd meerdere communicatiesessies met computers en programma's op het netwerk kan ondersteunen. Een poort leidt het verzoek naar een specifieke dienst op dat IP-adres. De bestemming van het pakket kan verder gedefinieerd worden door een uniek poortnummer te gebruiken. Het poortnummer wordt bepaald wanneer de verbinding tot stand wordt gebracht.
De Internet Assigned Numbers Authority (IANA) definieert de unieke parameters en protocolwaarden die nodig zijn voor de werking van het internet en de toekomstige ontwikkeling ervan. Zie http://www.iana.org/assignments/port-numbers voor meer informatie .
