高校场景下的零信任安全访问体系建设探索

李国睿

关键词：零信任；网络安全；应用安全

1什么是零信任？

零信任（Zero Trust），从名称上就可以看出，零信任就是什么都不信任，实际上不是一个新鲜的概念，也不是一种具体的产品形态，而是一种实施网络安全的指导思想，来帮助组织更好地进行网络安全的保护。早在2010年，零信任一词就被正式地提出来，后来Google发表了Beyond Corp论文并将其进行了产品化。在Google之后，包括Gartner，Forrester等咨询厂商也开始提及零信任的概念，零信任网络的建设以及零信任网络安全理念的实施逐渐深入人心。零信任的定义如下。

（1）网络自始至终存在外部或内部的威胁。

（2）网络访问者位置不确定，网络的可信程度要求高。

（3）网络接入网络终端必须经过充分的（AAA）认证。

（4）网络访问的安全策略可以根据访问者身份角色自定义。

统一身份认证系统、网络接人认证系统、传统VPN等都可以划分在零信任整个框架内，那么对于校园网来说，落地零信任大致分为以下4个步骤。（1）身份管理与访问控制，高校的身份治理一直是很重要的话题，只有定义好人和资源的信任关系，才能够对零信任安全访问建立坚实的基础。（2）软件定义边界，此时可以逐步对网络业务进行更加精细的管理，利用反向代理、可信网关等产品，将部分业务的逻辑边界软件化，从而能够灵活地调整策略以及信任关系。（3）动态细粒度的授权，更加精准的属性定义、策略定义，配合动态决策引擎、风险评估引擎，以完成按时按需授权、符合最小授权的安全原则。（4）最终的状态，即对整个网络进行改造，包括路由策略的修改、IP网段树立等，根据用户的身份、信任授权等，精细化地控制用户的网络访问权限，以达到彻底的零信任状态。

2高校零信任基本需求

上海外国语大学贤达经济人文学院系教育部于2004年批准设立的上海首批全日制本科独立学院，2021年获得硕士学位授予单位。学校现有虹口、崇明2个校区，学校依托上海外国语大学雄厚的师资力量以及外语教学与科研等方面的优势，构建了以语言、商科类学科为核心，艺术学、教育学及法学等其他学科协调发展的学科专业体系，现有6大学科门类23个本科专业，全日制本科在校生近9000人。

对于校园网来说，传统网络基本上存在物理边界，校内自建数据中心，校内用户通过校园网访问各业务系统。而随着云计算、移动互联网等新兴IT技术的发展，校园网边界已经趋于模糊，如云教务、智慧图书馆、电子资源以及一些SaaS服务，往往不会部署在物理校园网中，从而导致传统网络的物理边界趋于模糊。从用户的角度来看，传统校园网的物理边界可以使用VPN跨越后访问，但是当前用户的访问形态多种多样，如由于疫情防控，居家研学时间的延长，以及利用移动门户进行办公等，都对传统网络的连接方法提出了更多的要求。因此，在这种趋势下，践行一些零信任的理念就更加必要。

本校（上海外国语大学贤达经济人文学院）经过多年的信息化建设，具备大量基于Web访问的业务系统，包括教务系统、财务系统、资产管理系统等。由于移动办公及疫情防控时教学的需要，迫切需要一套融合身份治理、访问控制、软件定义边界的一个整体化的零信任解决方案。

3零信任方案选型

经过多方方案比较，我校选择了“WebVPN+反向代理（基于Nginx）”组合零信任方案。WebVPN解决校外访问校内的资源访问问题，反代（基于Nginx）解决校内资源发布问题。两套系统对接校园统一身份认证系统，实现校内校外单点登录，以及实现基于身份的各种访问权限控制。

3.1WebVPN简介

用户在外网访问内网各类资源时，使用传统VPN需要根据不同的用户终端和不同的操作系统下载安装不同的客户端或插件，且VPN配置复杂烦琐，极易出错，并增加了用户在外网访问内网资源的成本，给用户带来极大的不便。用户在使用传统VPN访问内网资源时，访问流量是通过隧道从学校或企业的出口出去的，而由于传统VPN的配置，用户如果登录VPN后再访问诸如百度、新浪等外网资源时，这些访问流量也会从单位出口出去，因此，用户就拥有了一层学校或企业的用户身份，一旦有用户在网上进行恶意活动，就会给学校或企业带来麻烦和安全隐患。

WebVPN是一款基于浏览器的远程访问控制系统，它区别于其他传统的VPN，无须安装任何浏览器插件或客户端，即可实现内部系统资源的外网远程访问。WebVPN支持通过系统访问HTTP，HTTPS，WebSocket， RTMP， HLS， RDP， VNC， Telnet， SSH等协议的资源，无须在系统中通过域名或别名对资源进行预先定义或适配。用户可以通过WebVPN中导航块直接访问资源，支持通过WebVPN中的地址栏自定义其访问目标，支持用户通过IPv4或IPv6利用本系统访问IPv4和IPv6资源。

用户使用WebVPN系统工作节点服务器代理访问公共资源或内部资源，在代理服务器上开启认证访问策略，用户需经过认证才能访问内部资源。

3.2Nginx反向代理简介

Nginx作为Web服务器核心功能就是反向代理，用于管理从外部网络到内部网络的连接。反向代理系统的核心功能有：Web类资源的统一发布与管理，实现IPv4网络到IPv6网络过渡方案，HTTPS代理访问。用户只需在内网中部署Nginx服务器（代理服务器），代理服务器上各线路网卡设置公网IP，内网网卡设置内网IP，所需发布的Web资源均设置内网IP与Nginx服务器通信即可，支持HTTP，HTTPS，WebSocket， RDP， VNC， Telnet， SSH， RTMP， HLS等協议，有效节省公网IP，实现对Web资源的统一发布和管理。针对HTTPS类型资源系统提供证书管理功能，支持系统内自建证书，并支持合并多条证书链生成完整证书。同时，系统可基于会话和负载均衡调度资源服务器，以提升用户访问体验[1-2]。

使用反向代理技术可以支持IPv4与IPv6资源的相互转换，将IPv4/IPv6资源转为IPv6/IPv4为用户提供服务。使用反向代理软件是老业务系统支持IPv6访问的最简单方案。用户通过IPv6地址发出访问请求，直接通过Nginx反向代理软件转发给指定的不支持IPv6地址的服务器，网站对Nginx发过来的HTTP请求做出回应，回应数据到达Nginx代理服务器后，经过Nginx软件轉换并进行IPv6请求回复。其实现了代理功能，同时满足IPv6网络用户访问IPv4业务系统的需求，实现了二者的无感链接。如图1所示。

3.3组合方案的特点

“WebVPN+反向代理”（基于Nginx）组合方案不同于传统的VPN和Nginx方案，基于零信任的理念扩展成为6A，提供了更多的功能以及业务。从Account（账号即主体）、Application（应用即客体）、Authentication（认证）、Authorization（授权）、Access Control（访问控制）、Auditing（审计）六个方面来提供零信任安全防护措施。从维度上，通过一快一慢的方式组合完成业务的安全保障。快的方面是快连接、快判断，在存在恶意风险时快速做出处理，通过SSL加密，协议隔离、可信令牌授权、隐藏业务拓扑以及基于角色的网络路由来保障数据传输的安全性，并通过对用户的身份统一管理、设置细粒度的访问控制、对数据进行可靠备份、多因素认证等方式来保障用户的安全性。慢的方面是慢审计、深审计，事后对安全事件进行更加细致的审计分析可以对潜在的风险进行排查和清零，通过全量的访问日志、完整的操作录屏、传输文件，以及密码合规性进行审计，以找出对安全事件进行精细溯源，并通过对日志数据的风险账号分析、登录行为分析、恶意访问分析、访问终端分析，可以对潜在的风险进行排查以及清零[3]。

4“WebVPN+反代”（基于Nginx）组合方案的优势

通过部署实施“WebVPN+反代”（基于Nginx）组合零信任安全方案，不仅可以做到安全方面的保障，在易用性方面也会大幅提升用户的使用感受，其在部署后，和原有用户的操作逻辑完全一致，不会增加额外的复杂操作，从而使用户可以无感知地进行安全访问。对管理员来说，所有用户流量都可以进行信任评估。该方案不仅支持PC端对接统一身份认证系统的无感知访问，还支持既有统一身份认证，同时在使用企业微信等移动门户的无感知访问时，可以直接在企业微信的工作台上，点击具体业务系统，便可以直接进入业务系统，同时整个业务数据的流通都需要经过安全系统进行信任评估，以及应用授权后，才会对用户的访问进行放行。对于用户来说，在访问某个业务系统时，系统进行零信任的评估，若没有进行认证授权，则会通过资源访问控制系统发起单点认证，单点认证由统一身份认证系统处理账号和三方系统（如企业微信）数据互通后，由三方系统进行用户身份认证，认证完成后，通过资源访问控制系统来放行该用户资源的可信访问。同时，因为该用户是通过统～身份认证的，在访问业务系统时，可以做到一次认证并能够进行持续访问，由此表明用户的实际访问效果和原有方式是一致的，实现了用户无感知访问效果。

5结束语

通过部署实施“WebVPN+反代”（基于Nginx）组合零信任安全方案，既解决了本校师生访问校内资源的权限便捷安全问题，又解决了本校资源互联网发布控制问题，同时解决了校内资源IPV6发布、HTTPS等基础问题，该组合方案对于高校Web资源的发布、管理、访问、安全都能基本兼顾，具有一定的实际意义。