深信服:以零信任理念构建高校安全统一访问体系
深信服集20多年深厚的VPN技术积累,推出全新一代零信任访问接入方案,并在全国近百所双一流和双高院校落地。为高校后疫情时代的泛在线教学、科研和办公提供了统一的便捷、可信的访问体系。
后疫情时代,远程办公、在线教学等高校应用的常态化进一步加速了校园云化数字转型,广大师生经常需要在校外访问校内的各个应用系统,以完成科研、学习等各项任务,校园网络安全边界模糊加速,安全管控难度加大。此外,校园访问接入需要满足校内外高并发访问和《网络安全法》、《数据安全法》以及《个人信息保护法》等法律法规强监管要求。
01 基于边界的传统访问体系捉襟见拙
当前,高校远程访问呈现出用户量大、角色多样、接入场景丰富、访问体验要求高等特点,传统方案力不从心。
1. 安全风险大:一方面,接入访问人员的类型、地点、终端设备以及时间等因素变得复杂多样;另一方面,传统边界防护以及传统VPN和Web VPN等方案存在静态身份认证和权限管控、业务暴露面大、缺乏弱密码管控等不足。在当前内外部高级攻击常态化的情况下,不论是重保时期还是日常管理时,都伴有信息泄露风险。
2. 用户体验差:后疫情时代,高校师生接入访问频繁,期待接入速度快、登陆操作简单、兼容性强以及无需安装安全客户端和插件的极简访问体验。
3. 运维管理难:基于传统静态ACL规则的访问控制,需要花费大量工作来实现用户权限梳理和用户信息变更;同时,在安全监管要求下,对密码强度和密码更换等的管理工作更是苦不堪言。
新环境下的传统访问体系捉襟见拙。那么,有没有一种使用安全、操作简单、管理轻松的访问方案?基于“零信任”架构解决新型网络安全访问难题成为共识。
02 零信任:打造安全、便捷、高速接入的访问新体验
深信服以便捷访问和极简运维为基础,以业务智能安全防护为核心,凭借SSL VPN领域近二十年的技术积累,基于零信任的理念和SDP架构,设计了一套全新的校园接入方案,即高校零信任统一接入方案。
深信服高校零信任统一接入方案
深信服高校零信任统一接入方案以身份为基石,采用控制面和数据面分离的方式,设计了两个核心组件。其中,控制中心主要提供身份认证、信任评估、动态访问控制和策略管理等功能;代理网关主要实现隧道加密、代理访问、策略执行、日志审计等。
同时,方案依托“流量身份化”、“动态自适应访问控制”等核心技术,可轻松满足全校人员的接入访问(目前最大落地可支持80万人的访问需求),为高校用户带来了优质的访问和管理体验。
1. 便捷的用户访问接入
不仅支持高校用户通过手机、平板以及电脑等终端的浏览器和APP访问接入,还可以根据访问资源的敏感程度提供不同防护等级接入方案。如,师生教学场景中的校园在线课程、图书馆等B/S架构低敏资源可采用浏览器直接访问的模式;针对远程办公,校园内OA等中等敏感资源采用客户端建立专用隧道进行访问;而财务和远程运维等核心业务的敏感场景则支持双域或独立桌面云等方式接入。
2. 业务持续/动态安全防护
利用SPA单包授权的安全机制实现“网络隐身”,隐藏关键业务,缩小暴露面;改变传统基于网络地址的静态权限管控和身份认证,实现从终端、身份、权限、数据和行为等维度的全程动态持续校验和安全防护。此外,结合校园业务访问的实际需要也可实现双因素认证和二次身份认证。
可信访问体系
3. 智能/极简运维管理
首先,利用智能权限工具,通过采集、试运行、正式运行三个阶段辅助高校用户实现基础权限模型梳理,同时支持自助权限申请流程提升权限;其次,针对B/S业务,可提供免客户端接入方案,免除客户端运维;最后,提供如权限申请自服务工具、终端环境诊断工具、授信终端自助管理等工具,帮助高校用户提高运维效率。
4. 全面开放与对接
支持对接CAS/LDAP等身份、认证平台,实现企业微信、钉钉和校园网APP平台扫描登陆,打造校园应用无感知访问新体验。支持与终端检测响应平台EDR、下一代防火墙AF、安全感知管理平台SIP以及其他安全设备实现联动,实现更全面的威胁分析和安全防护;支持校园业务通过IPv6的方式发布和用户通过IPv6网络访问;支持通过组件扩展的方式实现API访问和物联网设备的接入的零信任架构改造。
与校园认证登录平台对接使用效果
目前,该方案完成了与联奕、金智、康赛、树维、太极、新开普等主流厂商CAS产品,学校自研CAS、oauth2认证平台、钉钉和微信等APP终端的融合对接,并在中国社会科学院大学、上海交通大学、同济大学、河北工业大学、福州大学、陕西师范大学、深圳信息职业技术学院、黄河水利职业技术学院等近百所高校落地,为广大师生提供了安全、便捷、高速的接入访问体验。
在可预想的未来,深信服高校零信任统一接入方案有望成为越来越多高校用户构筑新一代网络安全体系的新选择。深信服构筑智慧教育IT基石,护航教育信息化的使命依然任重而道远。
