Introduksjon
En organisasjons integritet og sikkerhet for bedrifts- og kundedata er av største betydning på grunn av spredningen av hackingangrep og de regulatoriske kravene for systemtilgangskontroller som USAs Sarbanes-Oxley Act (SOX) og Health Insurance Portability and Accountability Act (HIPAA), og EUs personvernforordning (GDPR). GO-Global® utnytter de beste tilgjengelige sikkerhetsteknologiene for å gi kundene sine et flerlags sikkerhetssystem som sikrer datasikkerhet og kundenes personvern. GO-Globals integrerte sikkerhetsfunksjoner og tilleggsfunksjoner er beskrevet nedenfor.
GO-Global sesjonsprotokoll
GraphOn® var en tidlig innovatør innen teknologi for fjerntilgang for klienter. Grunnlaget for GO-Global er en proprietær protokoll med lav båndbredde for tilkobling over serielle linjer kalt RapidX Protocol (RXP). RXP er adaptiv, bruker flere lag med komprimering og er optimalisert for å sikre lavest mulig båndbreddeutnyttelse. Fordi RXP er lukket kildekode, tilbyr den ekstra forsvar mot angripere, sammenlignet med protokoller med åpen kildekode som Microsoft® RDP, hvor sikkerhetssvakheter har blitt funnet og utnyttet.
Grunnleggende installasjon og standardinnstillinger
GO-Global installeres enkelt ved hjelp av en enkelt kjørbar installasjonsfil på verten som enten installerer eller oppgraderer GO-Global-programvaren. Når installasjonen er fullført, må verten startes på nytt for å initialisere registerinnstillingene og aktivere GO-Global-programvaren og driverne.
Alle konfigurasjonsalternativer som muliggjør deling av server- eller klientressurser er utformet og deaktivert. I tillegg publiserer ingen standardapplikasjoner i GO-Global. GO-Global Host-konfigurasjon, administrasjon og sikkerhetsrelaterte funksjoner er tilgjengelige via administrasjonskonsollen under menyen Vertsalternativer. Administratorer kan publisere applikasjoner, overvåke bruker- og vertsaktivitet og aktivere funksjoner som klientutskrift, klientutklippstavle, kryptering og autentisering ved hjelp av denne menyen.
Kryptering av klientøkt
Som standard krypterer GO-Global økter ved hjelp av DES (Data Encryption Standard) med 56-bits nøkkelstyrke for alle klientøkttilkoblinger for å beskytte mot grunnleggende pakkesniffere og klienter som avlytter rådatakommunikasjon. Det er raskt, pålitelig og tilbyr et umiddelbart sikkerhetsnivå for LAN-baserte tilkoblinger via GO-Global.
For internettkommunikasjon og sikkerhetsbevisste miljøer tilbyr GO-Global TLS-basert transport med følgende krypteringsalgoritmer: 128-bit RC4, 168-bit 3DES og 256-bit AES. Disse høyere krypteringsalgoritmene krever at administratoren bruker et signert TLS-sertifikat på verten, som kan genereres ved hjelp av en hvilken som helst standard sertifiseringsinstans. Administratorer kan også generere klarerte TLS-sertifikater for GO-Global-verter via fanen Sikkerhet i dialogboksen Vertsalternativer i administrasjonskonsollen, der GO-Global-verten har en offentlig registrert DNS-adresse. Dette lar administratorer aktivere sterk kryptering og TLS-sikkerhet uten å kjøpe et sertifikat fra en tredjeparts sertifiseringsinstans.
Bruk av VPN med GO-Global
Administratorer som bruker GO-Global kan bruke tredjeparts VPN-programvare (Virtual Private Networking) for å opprette en sikker, kryptert tunnel fra klientenheten til GO-Global Hosts. Den eksterne sluttbrukeren kan starte GO-Global-økter gjennom VPN-tunnelen. Når du bruker et VPN, trenger ikke GO-Globals proprietære RXP å krypteres direkte, selv om det kan være for et ekstra sikkerhetsnivå. Når du reiser gjennom et VPN, krypteres RXP av VPN-programvaren.
Proxy-servertunneling
GO-Global støtter Proxy Server Tunneling, også kjent som HTTP Connect. Dette lar en bruker som har tilgang til internett via en web-proxyserver koble seg til GO-Global Hosts på internett. Når du bruker en proxy-server, må du huske at all trafikk som standard nektes på alle vertsporter, så GO-Global Host bør konfigureres til å bare godta tilkoblinger på port 443.
Applikasjonssikkerhet og brukerautentisering
Et program er bare så sikkert som operativsystemet det er installert på. GO-Global installerer eller vedlikeholder ikke sin egen bruker- eller programdatabase. I stedet arver det alle aspekter av bruker- og datasikkerhet fra operativsystemet Windows Server®. Sikkerhetsinnstillinger for brukeren og programmet konfigureres på Windows® OS-nivå og sendes til GO-Global under påloggingsprosessen.
I tillegg respekteres Windows-filer, mapper, delinger, skrivere og registertillatelser av GO-Global, og de er sentrale for sikkerheten til ethvert Windows-system. Med mindre sluttbrukere får administratorrettigheter eller forhøyede rettigheter, vil de ikke kunne få tilgang til systemmapper, ødelegge eller ødelegge serveren eller på annen måte forårsake sikkerhetstrusler.
GraphOn anbefaler å bruke Windows-gruppepolicyer for alle sikkerhetsinnstillinger på systemsiden, spesielt i en belastningsbalansert serverfarm, for å sikre konsistens på tvers av alle verter.
Støtte for enkel pålogging
Enkel pålogging (SSO) er et brukergodkjenningsverktøy som lar brukere logge på og få tilgang til flere applikasjoner, nettsteder, data og arbeidsstasjoner ved hjelp av ett sentralt administrert sett med påloggingsinformasjon – et brukernavn og passord. Totalt sett har enkel pålogging gjort det betydelig enklere for organisasjoner å sikre identitetstilgang og flytte til skyen. I tillegg reduserer enkel pålogging antall brukerstøtteanrop for å hente tapte eller glemte passord, som ifølge Gartner utgjør 30 til 50 % av alle brukerstøtteanrop.
SSO har historisk sett bare vært tilgjengelig for webapplikasjoner. Autentiseringshendelser i Windows OS skjer via Winlogon, Windows-autentiseringsmodulen som utfører interaktive pålogginger for en økt – der en bruker logger seg direkte på operativsystemet med et brukernavn og et passord. Fordi Windows krever et brukernavn og passord for å logge på, kan ikke IT inkludere Windows-applikasjoner i skyimplementeringer ved hjelp av enkel pålogging uten en tilpasset legitimasjonsleverandør.
GO-Global eliminerer dette kravet med Single Sign-On Support for OpenID® Connect (OIDC), som gjør det mulig for organisasjoner å bruke OIDC-identitetsleverandører som Okta® og Microsoft® Active Directory Federated Services (ADFS) for enkel pålogging til GO-Global Windows-verter. Med GO-Global kan brukere som logger seg på en bedriftsnettapplikasjon eller -portal ved hjelp av en identitetsleverandør som Okta eller ADFS, få tilgang til GO-Global Hosts fra nettleserne sine uten å måtte oppgi legitimasjonen sin på nytt, noe som håndhever organisasjonens autentiseringspolicyer og reduserer antall henvendelser til brukerstøtten om tapte og glemte passord.
Når en bruker har autentisert seg via OIDC, gir GO-Global administratorer flere alternativer for å autentisere brukeren automatisk på Windows. Hvis for eksempel identifikasjonsleverandøren er integrert med organisasjonens Active Directory, kan GO-Global automatisk logge brukeren på brukerens domenekonto. Alternativt, hvis Active Directory-integrasjon ikke er nødvendig eller ønsket, kan GO-Global automatisk opprette en lokal Windows-konto for brukeren.
Tofaktorautentisering
Tofaktorautentisering (2FA), også kjent som flerfaktorautentisering (MFA), gir et ekstra sikkerhetslag ved å kreve at sluttbrukere oppgir en 6-sifret kode fra en tidsbasert engangspassord (TOTP)-autentiseringsapp på en enhet (smarttelefon, PC osv.) i tillegg til brukernavn og passord. Dette reduserer risikoen for brute force- og ordbokangrep betydelig, noe som er spesielt viktig ettersom flere sluttbrukere får tilgang til bedriftsdatamaskiner mens de jobber fra usikre hjemmenettverk. GO-Globals innebygde 2FA-funksjon krever ingen eksterne tjenester. Den krever at alle brukere har en enhet med en autentiseringsapp som Google Authenticator eller Authy, eller en passordbehandler som Bitwarden installert.
Integrert Windows-autentisering
Administratorer kan forbedre nettverkssikkerheten til GO-Global-sluttbrukere ved å deaktivere standardautentisering (spør om brukernavn og passord) og aktivere integrert Windows-autentisering i fanen Autentisering i dialogboksen Vertsalternativer i administrasjonskonsollen. Med denne konfigurasjonen nektes alle ikke-Windows-klienter tilgang til GO-Global Hosts, så GO-Global-sluttbrukere må logge på sine Windows-klientoperativsystemer med en Active Directory-konto som GO-Global Host stoler på. I tillegg har ikke brukerkontoer som er lokale for GO-Global Host tilgang. Brukeren autentiseres som medlem av NETTVERKSgruppen, og tilgangen til nettverksressurser fra GO-Global Host er begrenset.
Hvis en sluttbruker trenger ubegrenset nettverkstilgang fra GO-Global Host, er et mindre sikkert alternativ å aktivere hurtigbufferpassordet på vertsinnstillingen. Dette vil be GO-Global Host om å spørre brukeren om et gyldig brukernavn og passord. Passord krypteres med brukerens sikkerhetskontekst og lagres i brukerens profil på GO-Global Host. Ved påfølgende tilkoblinger til GO-Global blir sluttbrukeren automatisk logget inn, lagt til i vertens INTERAKTIVE gruppe og får de samme tilgangsrettighetene som om vedkommende hadde logget seg på vertskonsollen.
Applikasjonssandkassering
GO-Global publiserer applikasjoner individuelt, men noen applikasjoner kan starte andre og få tilgang til filer og registernøkler. Administratorer som ønsker å forhindre denne oppførselen på grunn av sikkerhets-, lisensierings- eller ytelsesproblemer, kan gjøre det ved å bruke GO-Globals sandkassefunksjon, som lar dem begrense brukertilgang til filer og programmer på en GO-Global-vert. Disse restriksjonene gjelder kun for sluttbrukere, ikke for administratorer eller medlemmer av administratorgruppen.
GO-Globals sandkasse lar administratoren begrense prosessatferd strengt og levere en låst applikasjon til sluttbrukeren.
GO-Global klienttilkobling og portnumre
I TCP/IP-nettverk er en port en mekanisme som lar en datamaskin støtte flere kommunikasjonsøkter med datamaskiner og programmer på nettverket samtidig. En port sender forespørselen til en bestemt tjeneste på den IP-adressen. Pakkens destinasjon kan defineres ytterligere ved å bruke et unikt portnummer. Portnummeret bestemmes når forbindelsen er opprettet.
Internet Assigned Numbers Authority (IANA) definerer de unike parameterne og protokollverdiene som er nødvendige for drift av Internett og dets fremtidige utvikling. For ytterligere referanse, se http://www.iana.org/assignments/port-numbers.