Inledning
En organisations integritet och säkerhet när det gäller företags- och kunddata är av största vikt på grund av det ökande antalet hackerattacker och de lagstadgade kraven på systemåtkomstkontroller, t.ex. USA:s Sarbanes-Oxley Act (SOX) och Health Insurance Portability and Accountability Act (HIPAA) samt EU:s allmänna dataskyddsförordning (GDPR). GO-Global® utnyttjar bästa tillgängliga säkerhetsteknik för att förse sina kunder med ett säkerhetssystem i flera lager som säkerställer datasäkerhet och kundintegritet. GO-Globals integrerade säkerhetsfunktioner och ytterligare funktioner beskrivs nedan.
GO-Globalt sessionsprotokoll
GraphOn® var en tidig innovatör av teknik för fjärråtkomst till klienter. Grunden för GO-Global är ett egenutvecklat protokoll med låg bandbredd för anslutning via seriella linjer, RapidX Protocol (RXP). RXP är adaptivt, använder flera lager av komprimering och är optimerat för att säkerställa lägsta möjliga bandbreddsutnyttjande. Eftersom RXP är en sluten källkod erbjuder det ytterligare skydd mot angripare, jämfört med protokoll med öppen källkod som Microsoft® RDP, där säkerhetsbrister har upptäckts och utnyttjats.
Grundläggande installation och standardinställningar
GO-Global installeras enkelt med hjälp av en enda körbar installationsprogramvara på värden som antingen installerar eller uppgraderar GO-Global-programvaran. När installationen är klar måste värden startas om för att initiera registerinställningarna och aktivera GO-Global-programvaran och drivrutinerna.
Alla konfigurationsalternativ som möjliggör delning av server- eller klientresurser är avaktiverade. Dessutom publicerar GO-Global inga standardprogram. Konfigurations-, hanterings- och säkerhetsrelaterade funktioner för GO-Global Host nås via Admin Console under menyn Host Options. Administratörer kan publicera program, övervaka användar- och värdaktivitet och aktivera funktioner som klientutskrift, klientens urklipp, kryptering och autentisering med hjälp av den här menyn.
Kryptering av klientsession
Som standard krypterar GO-Global sessioner med DES (Data Encryption Standard) med 56-bitars nyckelstyrka för alla klientsessionsanslutningar för att skydda mot grundläggande paketsniffare och klienter som snappar upp rådatakommunikation. Det är snabbt, tillförlitligt och ger en omedelbar säkerhetsnivå för LAN-baserade anslutningar via GO-Global.
För internetkommunikation och säkerhetsmedvetna miljöer erbjuder GO-Global TLS-baserad transport med följande krypteringsalgoritmer: 128-bitars RC4, 168-bitars 3DES och 256-bitars AES. Dessa högre krypteringsalgoritmer kräver att administratören tillämpar ett signerat TLS-certifikat på värden, vilket kan genereras med hjälp av en standardcertifikatutfärdare. Administratörer kan också generera betrodda TLS-certifikat för GO-Global-värdar via fliken Säkerhet i dialogrutan Värdalternativ i Admin Console, där GO-Global-värden har en offentligt registrerad DNS-adress. Detta gör att administratörer kan aktivera stark kryptering och TLS-säkerhet utan att köpa ett certifikat från en certifikatutfärdare från tredje part.
Använda ett VPN med GO-Global
Administratörer som använder GO-Global kan använda VPN-programvara (Virtual Private Networking) från tredje part för att skapa en säker, krypterad tunnel från klientenheten till GO-Global Hosts. Den avlägsna slutanvändaren kan starta GO-Global-sessioner genom VPN-tunneln. När du använder ett VPN behöver GO-Globals egenutvecklade RXP inte krypteras direkt, även om det kan göras för en extra säkerhetsnivå. När RXP färdas genom ett VPN krypteras den av VPN-programvaran.
Proxyserver-tunnling
GO-Global stöder Proxy Server Tunneling, även känd som HTTP Connect. Detta gör att en användare som kommer åt internet via en webbproxyserver kan ansluta till GO-Global-värdar på internet. När du använder en proxyserver ska du komma ihåg att all trafik som standard nekas på alla värdportar, så GO-Global-värden bör konfigureras så att den endast accepterar anslutningar på port 443.
Applikationssäkerhet och användarautentisering
En mjukvaruapplikation är inte säkrare än det operativsystem som den är installerad på. GO-Global varken installerar eller underhåller sin egen användar- eller applikationsdatabas. Istället ärvs alla aspekter av användar- och datasäkerhet från operativsystemet Windows Server®. Säkerhetsinställningar för användare och applikationer konfigureras på Windows® OS-nivå och överförs till GO-Global under inloggningsprocessen.
Dessutom respekteras Windows fil-, mapp-, delnings-, skrivar- och registerbehörigheter av GO-Global och är centrala för säkerheten i alla Windows-system. Om inte slutanvändare ges administratörsbehörighet eller utökade behörigheter kan de inte komma åt systemmappar, skada eller förstöra servern eller på annat sätt orsaka säkerhetshot.
GraphOn rekommenderar att Windows Group Policies används för alla säkerhetsinställningar på systemsidan, särskilt i en lastbalanserad serverpark, för att säkerställa enhetlighet mellan alla värdar.
Stöd för enkel inloggning
Single Sign-On (SSO) är ett verktyg för användarautentisering som gör det möjligt för användare att logga in på och få tillgång till flera applikationer, webbplatser, data och arbetsstationer med hjälp av en centralt hanterad uppsättning referenser - ett användarnamn och lösenord. Sammantaget har single sign-on gjort det betydligt enklare för organisationer att säkra identitetsåtkomst och flytta till molnet. Dessutom minskar single sign-on antalet helpdesk-samtal för att hämta borttappade eller glömda lösenord, vilket enligt Gartner utgör 30-50% av alla helpdesk-samtal.
SSO har historiskt sett endast varit tillgängligt för webbapplikationer. Autentiseringshändelser inom Windows OS sker genom Winlogon, Windows autentiseringsmodul som utför interaktiva inloggningar för en session - där en användare loggar in direkt på operativsystemet med ett användarnamn och ett lösenord. Eftersom Windows kräver ett användarnamn och lösenord för att logga in kan IT inte inkludera Windows-applikationer i molnimplementeringar som använder single sign-on utan en anpassad Credential Provider.
GO-Global eliminerar det kravet med Single Sign-On Support for OpenID® Connect (OIDC), som gör det möjligt för organisationer att använda OIDC-identitetsleverantörer som Okta® och Microsoft® Active Directory Federated Services (ADFS) för single sign-on till GO-Global Windows-värdar. Med GO-Global kan användare som loggar in på ett företags webbapplikation eller portal med hjälp av en identitetsleverantör som Okta eller ADFS komma åt GO-Global Hosts från sina webbläsare utan att behöva ange sina referenser på nytt, vilket upprätthåller organisationens autentiseringspolicy och minskar antalet samtal till helpdesk om borttappade och glömda lösenord.
När en användare har autentiserat sig via OIDC ger GO-Global administratörerna flera alternativ för att autentisera användaren automatiskt i Windows. Om identifieringsleverantören är integrerad med organisationens Active Directory kan GO-Global till exempel automatiskt logga in användaren på användarens domänkonto. Alternativt, om Active Directory-integration inte krävs eller önskas, kan GO-Global automatiskt skapa ett lokalt Windows-konto för användaren.
Tvåfaktorsautentisering
Tvåfaktorsautentisering (2FA), även känd som multifaktorsautentisering (MFA), ger ett extra säkerhetslager genom att slutanvändare måste ange en sexsiffrig kod från en tidsbaserad app för engångslösenord (TOTP) på en enhet (smart telefon, dator etc.) utöver sitt användarnamn och lösenord. Detta minskar avsevärt risken för brute force- och ordboksattacker, vilket är särskilt viktigt när allt fler slutanvändare får tillgång till företagets datorer från osäkra hemmanätverk. GO-Globals inbyggda 2FA-funktion kräver inga externa tjänster. Den kräver att alla användare har en enhet med en autentiseringsapp som Google Authenticator eller Authy, eller en lösenordshanterare som Bitwarden installerad.
Integrerad Windows-autentisering
Administratörer kan förbättra GO-Global-slutanvändarnas nätverkssäkerhet genom att inaktivera Standardautentisering (fråga efter användarnamn och lösenord) och aktivera Integrerad Windows-autentisering på fliken Autentisering i dialogrutan Värdalternativ i adminkonsolen. Med den här konfigurationen nekas alla icke-Windows-klienter åtkomst till GO-Global-värdar, så GO-Global-slutanvändare måste logga in på sina Windows-klientoperativsystem med ett Active Directory-konto som GO-Global-värden litar på. Dessutom får inte användarkonton som är lokala för GO-Global-värden åtkomst. Användaren autentiseras som medlem i gruppen NETWORK och åtkomsten till nätverksresurser från GO-Global Host begränsas.
Om en slutanvändare kräver obegränsad nätverksåtkomst från GO-Global Host, är ett mindre säkert alternativ att aktivera Cache-lösenordet på värdinställningen. Då kommer GO-Global Host att fråga användaren om ett giltigt användarnamn och lösenord. Lösenorden krypteras med användarens säkerhetskontext och lagras i användarens profil på GO-Global Host. Vid efterföljande anslutningar till GO-Global loggas slutanvändaren automatiskt in, läggs till i värdens INTERACTIVE-grupp och får samma åtkomsträttigheter som om han hade loggat in på värdkonsolen.
Sandboxning av applikationer
GO-Global publicerar program individuellt, men vissa program kan starta andra och komma åt filer och registernycklar. Administratörer som vill förhindra detta beteende av säkerhets-, licens- eller prestandaskäl kan göra det med hjälp av GO-Globals sandlådefunktion, som gör det möjligt för dem att begränsa användarnas åtkomst till filer och program på en GO-Global-värd. Dessa begränsningar gäller endast för slutanvändare, inte för administratörer eller medlemmar i administratörsgruppen.
GO-Globals sandlåda gör det möjligt för administratören att strikt begränsa processbeteendet och leverera en låst applikation till slutanvändaren.
GO-Global klientanslutning och portnummer
I TCP/IP-nätverk är en port en mekanism som gör det möjligt för en dator att samtidigt stödja flera kommunikationssessioner med datorer och program i nätverket. En port dirigerar begäran till en specifik tjänst på den IP-adressen. Paketets destination kan definieras ytterligare med hjälp av ett unikt portnummer. Portnumret bestäms när anslutningen upprättas.
Internet Assigned Numbers Authority (IANA) definierar de unika parametrar och protokollvärden som är nödvändiga för driften av Internet och dess framtida utveckling. För ytterligare referens, se http://www.iana.org/assignments/port-numbers.
