中国最早的中文打字机、第一艘核潜艇、第一枚运载火箭、第一颗人造卫星……在中国近现代发展史上的诸多“第一”里,都有上海交通大学(以下简称“上海交大”)的身影。在建校125周年之际,上海交大又一次在国内高校率先落地了“零信任”架构解决校内资源安全访问问题。
远程访问常态化,传统VPN面临新挑战
提起VPN(虚拟专用网络)很多人并不陌生。后疫情时代,远程办公成为常态,VPN作为远程办公最主要的安全方案再次受到关注。然而云计算等新技术的崛起,云端应用变得广泛和复杂,传统VPN技术面临新的挑战:
1. 高校智慧校园应用广泛使用,IT架构从“有边界”向“无边界”转变,校内校外的远程接入方式和需求发生重大变化,师生越来越习惯随时随地地接入和访问智慧校园应用,校外访问需求呈现明显的上升趋势。
2. 疫情的影响进一步驱动了高校师生远程访问需求,VPN系统架构需要具备支撑高并发、高性能的安全接入能力。
3. 远程接入规模大,用户体验要求高,传统方案难以应对,且维护工作量大。
4. 为了提升接入访问体验,安全接入平台需要与现有平台对接,实现统一身份认证和单点登录。
5. 教育部发布了《高等学校数字校园建设规范(试行)》,对安全提出更高要求,对系统及应用安全加强了身份鉴别、访问控制、通信、传输等安全要求。
拥抱“零信任”,让访问更安全更简单
鉴于校园安全接入面临的诸多挑战,上海交大把目光投入到更加适合新环境的安全访问方案——“零信任”,并最终选择与深信服合作,采用全新的SDP(软件定义边界)架构产品来取代原有的开源VPN。
零信任架构:SDP作为实现零信任理念的主流技术架构之一,以控制平面和数据平面分离的方式实现业务的安全访问,控制平面作为策略和信任评估中心,负责师生认证、授权、动态访问控制和应用安全评估、多源信任评估;而作为数据平面的安全网关,则主要负责数据转发和策略执行,实现上海交大远程访问数据的加密、代理转发及访问控制。
无感知接入:零信任平台与上海交大现有的统一身份认证平台对接整合,实现用户身份的统一管理,满足了全校师生无感知登录和访问校园应用的需求。
高性能平台:通过零信任方案的部署,上海交大VPN接入能力获得全面提升,能够支撑全校数万师生的访问需求和接入流量。
运维更简单:在保证师生访问顺畅性的同时,还有效地降低了用户配置和使用过程的复杂度,让师生远程接入更方便,IT运维更简单:
1. 自动完成访问配置地址:满足无插件或客户端直接拨号访问校内Web资源的场景。无论是电脑端还是手机端,师生安装下载客户端后,即可自动完成访问配置地址等步骤,帮助师生快捷登录。
2. 支持多身份对接:支持OAuth2、标准LDAP、标准RADIUS等身份对接方式,支持统一认证、无感知认证和单点登录。上海交大建立了多终端、多系统均可兼容的安全访问通道,满足了大学生常用设备访问学校业务系统、登录知网等基本诉求。也为后续打通其智慧校园整体业务提供了拓展性,为师生使用VPN访问校园业务带来便利性。
3. 身份、应用发布控制与资源权限控制:上海交大初步建立了“零信任”框架,对师生进行统一的身份认证和应用发布控制,并根据用户身份进行资源权限控制。
在移动化和云化的大趋势下,上海交大在国内高校中率先落地“零信任”理念。在保障安全性的前提下,有效地提升了师生访问校园网络的便利性,走出了一条精细化用户授权、管理的可行性道路。这不仅是新一代网络安全架构的全新尝试,也是上海交大又一次敢为人先的创新实践。