深信服:以零信任理念構建高校安全統一訪問體系
深信服集20多年深厚的VPN技術積累,推出全新一代零信任訪問接入方案,并在全國近百所雙一流和雙高院校落地。為高校后疫情時代的泛在線教學、科研和辦公提供了統一的便捷、可信的訪問體系。
后疫情時代,遠程辦公、在線教學等高校應用的常態化進一步加速了校園云化數字轉型,廣大師生經常需要在校外訪問校內的各個應用系統,以完成科研、學習等各項任務,校園網絡安全邊界模糊加速,安全管控難度加大。此外,校園訪問接入需要滿足校內外高并發訪問和《網絡安全法》、《數據安全法》以及《個人信息保護法》等法律法規強監管要求。
01 基于邊界的傳統訪問體系捉襟見拙
當前,高校遠程訪問呈現出用戶量大、角色多樣、接入場景豐富、訪問體驗要求高等特點,傳統方案力不從心。
1. 安全風險大:一方面,接入訪問人員的類型、地點、終端設備以及時間等因素變得復雜多樣;另一方面,傳統邊界防護以及傳統VPN和Web VPN等方案存在靜態身份認證和權限管控、業務暴露面大、缺乏弱密碼管控等不足。在當前內外部高級攻擊常態化的情況下,不論是重保時期還是日常管理時,都伴有信息泄露風險。
2. 用戶體驗差:后疫情時代,高校師生接入訪問頻繁,期待接入速度快、登陸操作簡單、兼容性強以及無需安裝安全客戶端和插件的極簡訪問體驗。
3. 運維管理難:基于傳統靜態ACL規則的訪問控制,需要花費大量工作來實現用戶權限梳理和用戶信息變更;同時,在安全監管要求下,對密碼強度和密碼更換等的管理工作更是苦不堪言。
新環境下的傳統訪問體系捉襟見拙。那么,有沒有一種使用安全、操作簡單、管理輕松的訪問方案?基于“零信任”架構解決新型網絡安全訪問難題成為共識。
02 零信任:打造安全、便捷、高速接入的訪問新體驗
深信服以便捷訪問和極簡運維為基礎,以業務智能安全防護為核心,憑借SSL VPN領域近二十年的技術積累,基于零信任的理念和SDP架構,設計了一套全新的校園接入方案,即高校零信任統一接入方案。
深信服高校零信任統一接入方案
深信服高校零信任統一接入方案以身份為基石,采用控制面和數據面分離的方式,設計了兩個核心組件。其中,控制中心主要提供身份認證、信任評估、動態訪問控制和策略管理等功能;代理網關主要實現隧道加密、代理訪問、策略執行、日志審計等。
同時,方案依托“流量身份化”、“動態自適應訪問控制”等核心技術,可輕松滿足全校人員的接入訪問(目前最大落地可支持80萬人的訪問需求),為高校用戶帶來了優質的訪問和管理體驗。
1. 便捷的用戶訪問接入
不僅支持高校用戶通過手機、平板以及電腦等終端的瀏覽器和APP訪問接入,還可以根據訪問資源的敏感程度提供不同防護等級接入方案。如,師生教學場景中的校園在線課程、圖書館等B/S架構低敏資源可采用瀏覽器直接訪問的模式;針對遠程辦公,校園內OA等中等敏感資源采用客戶端建立專用隧道進行訪問;而財務和遠程運維等核心業務的敏感場景則支持雙域或獨立桌面云等方式接入。
2. 業務持續/動態安全防護
利用SPA單包授權的安全機制實現“網絡隱身”,隱藏關鍵業務,縮小暴露面;改變傳統基于網絡地址的靜態權限管控和身份認證,實現從終端、身份、權限、數據和行為等維度的全程動態持續校驗和安全防護。此外,結合校園業務訪問的實際需要也可實現雙因素認證和二次身份認證。
可信訪問體系
3. 智能/極簡運維管理
首先,利用智能權限工具,通過采集、試運行、正式運行三個階段輔助高校用戶實現基礎權限模型梳理,同時支持自助權限申請流程提升權限;其次,針對B/S業務,可提供免客戶端接入方案,免除客戶端運維;最后,提供如權限申請自服務工具、終端環境診斷工具、授信終端自助管理等工具,幫助高校用戶提高運維效率。
4. 全面開放與對接
支持對接CAS/LDAP等身份、認證平臺,實現企業微信、釘釘和校園網APP平臺掃描登陸,打造校園應用無感知訪問新體驗。支持與終端檢測響應平臺EDR、下一代防火墻AF、安全感知管理平臺SIP以及其他安全設備實現聯動,實現更全面的威脅分析和安全防護;支持校園業務通過IPv6的方式發布和用戶通過IPv6網絡訪問;支持通過組件擴展的方式實現API訪問和物聯網設備的接入的零信任架構改造。
與校園認證登錄平臺對接使用效果
目前,該方案完成了與聯奕、金智、康賽、樹維、太極、新開普等主流廠商CAS產品,學校自研CAS、oauth2認證平臺、釘釘和微信等APP終端的融合對接,并在中國社會科學院大學、上海交通大學、同濟大學、河北工業大學、福州大學、陜西師范大學、深圳信息職業技術學院、黃河水利職業技術學院等近百所高校落地,為廣大師生提供了安全、便捷、高速的接入訪問體驗。
在可預想的未來,深信服高校零信任統一接入方案有望成為越來越多高校用戶構筑新一代網絡安全體系的新選擇。深信服構筑智慧教育IT基石,護航教育信息化的使命依然任重而道遠。
