高校場景下的零信任安全訪問體系建設探索

李國睿

關鍵詞：零信任；網絡安全；應用安全

1什么是零信任？

零信任（Zero Trust），從名稱上就可以看出，零信任就是什么都不信任，實際上不是一個新鮮的概念，也不是一種具體的產品形態，而是一種實施網絡安全的指導思想，來幫助組織更好地進行網絡安全的保護。早在2010年，零信任一詞就被正式地提出來，后來Google發表了Beyond Corp論文并將其進行了產品化。在Google之后，包括Gartner，Forrester等咨詢廠商也開始提及零信任的概念，零信任網絡的建設以及零信任網絡安全理念的實施逐漸深入人心。零信任的定義如下。

（1）網絡自始至終存在外部或內部的威脅。

（2）網絡訪問者位置不確定，網絡的可信程度要求高。

（3）網絡接入網絡終端必須經過充分的（AAA）認證。

（4）網絡訪問的安全策略可以根據訪問者身份角色自定義。

統一身份認證系統、網絡接人認證系統、傳統VPN等都可以劃分在零信任整個框架內，那么對于校園網來說，落地零信任大致分為以下4個步驟。（1）身份管理與訪問控制，高校的身份治理一直是很重要的話題，只有定義好人和資源的信任關系，才能夠對零信任安全訪問建立堅實的基礎。（2）軟件定義邊界，此時可以逐步對網絡業務進行更加精細的管理，利用反向代理、可信網關等產品，將部分業務的邏輯邊界軟件化，從而能夠靈活地調整策略以及信任關系。（3）動態細粒度的授權，更加精準的屬性定義、策略定義，配合動態決策引擎、風險評估引擎，以完成按時按需授權、符合最小授權的安全原則。（4）最終的狀態，即對整個網絡進行改造，包括路由策略的修改、IP網段樹立等，根據用戶的身份、信任授權等，精細化地控制用戶的網絡訪問權限，以達到徹底的零信任狀態。

2高校零信任基本需求

上海外國語大學賢達經濟人文學院系教育部于2004年批準設立的上海首批全日制本科獨立學院，2021年獲得碩士學位授予單位。學?，F有虹口、崇明2個校區，學校依托上海外國語大學雄厚的師資力量以及外語教學與科研等方面的優勢，構建了以語言、商科類學科為核心，藝術學、教育學及法學等其他學科協調發展的學科專業體系，現有6大學科門類23個本科專業，全日制本科在校生近9000人。

對于校園網來說，傳統網絡基本上存在物理邊界，校內自建數據中心，校內用戶通過校園網訪問各業務系統。而隨著云計算、移動互聯網等新興IT技術的發展，校園網邊界已經趨于模糊，如云教務、智慧圖書館、電子資源以及一些SaaS服務，往往不會部署在物理校園網中，從而導致傳統網絡的物理邊界趨于模糊。從用戶的角度來看，傳統校園網的物理邊界可以使用VPN跨越后訪問，但是當前用戶的訪問形態多種多樣，如由于疫情防控，居家研學時間的延長，以及利用移動門戶進行辦公等，都對傳統網絡的連接方法提出了更多的要求。因此，在這種趨勢下，踐行一些零信任的理念就更加必要。

本校（上海外國語大學賢達經濟人文學院）經過多年的信息化建設，具備大量基于Web訪問的業務系統，包括教務系統、財務系統、資產管理系統等。由于移動辦公及疫情防控時教學的需要，迫切需要一套融合身份治理、訪問控制、軟件定義邊界的一個整體化的零信任解決方案。

3零信任方案選型

經過多方方案比較，我校選擇了“WebVPN+反向代理（基于Nginx）”組合零信任方案。WebVPN解決校外訪問校內的資源訪問問題，反代（基于Nginx）解決校內資源發布問題。兩套系統對接校園統一身份認證系統，實現校內校外單點登錄，以及實現基于身份的各種訪問權限控制。

3.1WebVPN簡介

用戶在外網訪問內網各類資源時，使用傳統VPN需要根據不同的用戶終端和不同的操作系統下載安裝不同的客戶端或插件，且VPN配置復雜煩瑣，極易出錯，并增加了用戶在外網訪問內網資源的成本，給用戶帶來極大的不便。用戶在使用傳統VPN訪問內網資源時，訪問流量是通過隧道從學?；蚱髽I的出口出去的，而由于傳統VPN的配置，用戶如果登錄VPN后再訪問諸如百度、新浪等外網資源時，這些訪問流量也會從單位出口出去，因此，用戶就擁有了一層學?；蚱髽I的用戶身份，一旦有用戶在網上進行惡意活動，就會給學?；蚱髽I帶來麻煩和安全隱患。

WebVPN是一款基于瀏覽器的遠程訪問控制系統，它區別于其他傳統的VPN，無須安裝任何瀏覽器插件或客戶端，即可實現內部系統資源的外網遠程訪問。WebVPN支持通過系統訪問HTTP，HTTPS，WebSocket， RTMP， HLS， RDP， VNC， Telnet， SSH等協議的資源，無須在系統中通過域名或別名對資源進行預先定義或適配。用戶可以通過WebVPN中導航塊直接訪問資源，支持通過WebVPN中的地址欄自定義其訪問目標，支持用戶通過IPv4或IPv6利用本系統訪問IPv4和IPv6資源。

用戶使用WebVPN系統工作節點服務器代理訪問公共資源或內部資源，在代理服務器上開啟認證訪問策略，用戶需經過認證才能訪問內部資源。

3.2Nginx反向代理簡介

Nginx作為Web服務器核心功能就是反向代理，用于管理從外部網絡到內部網絡的連接。反向代理系統的核心功能有：Web類資源的統一發布與管理，實現IPv4網絡到IPv6網絡過渡方案，HTTPS代理訪問。用戶只需在內網中部署Nginx服務器（代理服務器），代理服務器上各線路網卡設置公網IP，內網網卡設置內網IP，所需發布的Web資源均設置內網IP與Nginx服務器通信即可，支持HTTP，HTTPS，WebSocket， RDP， VNC， Telnet， SSH， RTMP， HLS等協議，有效節省公網IP，實現對Web資源的統一發布和管理。針對HTTPS類型資源系統提供證書管理功能，支持系統內自建證書，并支持合并多條證書鏈生成完整證書。同時，系統可基于會話和負載均衡調度資源服務器，以提升用戶訪問體驗[1-2]。

使用反向代理技術可以支持IPv4與IPv6資源的相互轉換，將IPv4/IPv6資源轉為IPv6/IPv4為用戶提供服務。使用反向代理軟件是老業務系統支持IPv6訪問的最簡單方案。用戶通過IPv6地址發出訪問請求，直接通過Nginx反向代理軟件轉發給指定的不支持IPv6地址的服務器，網站對Nginx發過來的HTTP請求做出回應，回應數據到達Nginx代理服務器后，經過Nginx軟件轉換并進行IPv6請求回復。其實現了代理功能，同時滿足IPv6網絡用戶訪問IPv4業務系統的需求，實現了二者的無感鏈接。如圖1所示。

3.3組合方案的特點

“WebVPN+反向代理”（基于Nginx）組合方案不同于傳統的VPN和Nginx方案，基于零信任的理念擴展成為6A，提供了更多的功能以及業務。從Account（賬號即主體）、Application（應用即客體）、Authentication（認證）、Authorization（授權）、Access Control（訪問控制）、Auditing（審計）六個方面來提供零信任安全防護措施。從維度上，通過一快一慢的方式組合完成業務的安全保障?？斓姆矫媸强爝B接、快判斷，在存在惡意風險時快速做出處理，通過SSL加密，協議隔離、可信令牌授權、隱藏業務拓撲以及基于角色的網絡路由來保障數據傳輸的安全性，并通過對用戶的身份統一管理、設置細粒度的訪問控制、對數據進行可靠備份、多因素認證等方式來保障用戶的安全性。慢的方面是慢審計、深審計，事后對安全事件進行更加細致的審計分析可以對潛在的風險進行排查和清零，通過全量的訪問日志、完整的操作錄屏、傳輸文件，以及密碼合規性進行審計，以找出對安全事件進行精細溯源，并通過對日志數據的風險賬號分析、登錄行為分析、惡意訪問分析、訪問終端分析，可以對潛在的風險進行排查以及清零[3]。

4“WebVPN+反代”（基于Nginx）組合方案的優勢

通過部署實施“WebVPN+反代”（基于Nginx）組合零信任安全方案，不僅可以做到安全方面的保障，在易用性方面也會大幅提升用戶的使用感受，其在部署后，和原有用戶的操作邏輯完全一致，不會增加額外的復雜操作，從而使用戶可以無感知地進行安全訪問。對管理員來說，所有用戶流量都可以進行信任評估。該方案不僅支持PC端對接統一身份認證系統的無感知訪問，還支持既有統一身份認證，同時在使用企業微信等移動門戶的無感知訪問時，可以直接在企業微信的工作臺上，點擊具體業務系統，便可以直接進入業務系統，同時整個業務數據的流通都需要經過安全系統進行信任評估，以及應用授權后，才會對用戶的訪問進行放行。對于用戶來說，在訪問某個業務系統時，系統進行零信任的評估，若沒有進行認證授權，則會通過資源訪問控制系統發起單點認證，單點認證由統一身份認證系統處理賬號和三方系統（如企業微信）數據互通后，由三方系統進行用戶身份認證，認證完成后，通過資源訪問控制系統來放行該用戶資源的可信訪問。同時，因為該用戶是通過統～身份認證的，在訪問業務系統時，可以做到一次認證并能夠進行持續訪問，由此表明用戶的實際訪問效果和原有方式是一致的，實現了用戶無感知訪問效果。

5結束語

通過部署實施“WebVPN+反代”（基于Nginx）組合零信任安全方案，既解決了本校師生訪問校內資源的權限便捷安全問題，又解決了本校資源互聯網發布控制問題，同時解決了校內資源IPV6發布、HTTPS等基礎問題，該組合方案對于高校Web資源的發布、管理、訪問、安全都能基本兼顧，具有一定的實際意義。