收藏本站 设为首页

探索|上海交通大学在国内高校中率先落地“零信任”架构

编辑:admin 日期:2022-01-22 17:49 分类:长城宽带好不好 点击:
简介:中国最早的中文打字机、第一艘核潜艇、第一枚运载火箭、第一颗人造卫星在中国近现代发展史上的诸多第一里,都有上海交通大学(以下简称上海交大)的身影。在建校125周年之际,上海交大又一次在国内高校率先落地了零信任架构解决校内资源安全访问问题。 提起VPN

  中国最早的中文打字机、第一艘核潜艇、第一枚运载火箭、第一颗人造卫星……在中国近现代发展史上的诸多“第一”里,都有上海交通大学(以下简称“上海交大”)的身影。在建校125周年之际,上海交大又一次在国内高校率先落地了“零信任”架构解决校内资源安全访问问题。

  提起VPN(虚拟专用网络)很多人并不陌生。后疫情时代,远程办公成为常态,VPN作为远程办公最主要的安全方案再次受到关注。然而云计算等新技术的崛起,云端应用变得广泛和复杂,传统VPN技术面临新的挑战:

  1.高校智慧校园应用广泛使用,IT架构从“有边界”向“无边界”转变,校内校外的远程接入方式和需求发生重大变化,师生越来越习惯随时随地地接入和访问智慧校园应用,校外访问需求呈现明显的上升趋势。

  2.疫情的影响进一步驱动了高校师生远程访问需求,VPN系统架构需要具备支撑高并发、高性能的安全接入能力。

  4.为了提升接入访问体验,安全接入平台需要与现有平台对接,实现统一身份认证和单点登录。

  5.教育部发布了《高等学校数字校园建设规范(试行)》,对安全提出更高要求,对系统及应用安全加强了身份鉴别、访问控制、通信、传输等安全要求。

  鉴于校园安全接入面临的诸多挑战,上海交大把目光投入到更加适合新环境的安全访问方案——“零信任”,并最终选择与深信服合作,采用全新的SDP(软件定义边界)架构产品来取代原有的开源VPN。

  零信任架构:SDP作为实现零信任理念的主流技术架构之一,以控制平面和数据平面分离的方式实现业务的安全访问,控制平面作为策略和信任评估中心,负责师生认证、授权、动态访问控制和应用安全评估、多源信任评估;而作为数据平面的安全网关,则主要负责数据转发和策略执行,实现上海交大远程访问数据的加密、代理转发及访问控制。

  无感知接入:零信任平台与上海交大现有的统一身份认证平台对接整合,实现用户身份的统一管理,满足了全校师生无感知登录和访问校园应用的需求。

  高性能平台:通过零信任方案的部署,上海交大VPN接入能力获得全面提升,能够支撑全校数万师生的访问需求和接入流量。

  运维更简单:在保证师生访问顺畅性的同时,还有效地降低了用户配置和使用过程的复杂度,让师生远程接入更方便,IT运维更简单:

  1.自动完成访问配置地址:满足无插件或客户端直接拨号访问校内Web资源的场景。无论是电脑端还是手机端,师生安装下载客户端后,即可自动完成访问配置地址等步骤,帮助师生快捷登录。

  2.支持多身份对接:支持OAuth2、标准LDAP、标准RADIUS等身份对接方式,支持统一认证、无感知认证和单点登录。上海交大建立了多终端、多系统均可兼容的安全访问通道,满足了大学生常用设备访问学校业务系统、登录知网等基本诉求。也为后续打通其智慧校园整体业务提供了拓展性,为师生使用VPN访问校园业务带来便利性。

  3.身份、应用发布控制与资源权限控制:上海交大初步建立了“零信任”框架,对师生进行统一的身份认证和应用发布控制,并根据用户身份进行资源权限控制。

  在移动化和云化的大趋势下,上海交大在国内高校中率先落地“零信任”理念。在保障安全性的前提下,有效地提升了师生访问校园网络的便利性,走出了一条精细化用户授权、管理的可行性道路。这不仅是新一代网络安全架构的全新尝试,也是上海交大又一次敢为人先的创新实践。