中國最早的中文打字機、第一艘核潛艇、第一枚運載火箭、第一顆人造衛星……在中國近現代發展史上的諸多“第一”里，都有上海交通大學（以下簡稱“上海交大”）的身影。在建校125周年之際，上海交大又一次在國內高校率先落地了“零信任”架構解決校內資源安全訪問問題。

遠程訪問常態化，傳統VPN面臨新挑戰

提起VPN（虛擬專用網絡）很多人并不陌生。后疫情時代，遠程辦公成為常態，VPN作為遠程辦公最主要的安全方案再次受到關注。然而云計算等新技術的崛起，云端應用變得廣泛和復雜，傳統VPN技術面臨新的挑戰：

1. 高校智慧校園應用廣泛使用，IT架構從“有邊界”向“無邊界”轉變，校內校外的遠程接入方式和需求發生重大變化，師生越來越習慣隨時隨地地接入和訪問智慧校園應用，校外訪問需求呈現明顯的上升趨勢。

2. 疫情的影響進一步驅動了高校師生遠程訪問需求，VPN系統架構需要具備支撐高并發、高性能的安全接入能力。

3. 遠程接入規模大，用戶體驗要求高，傳統方案難以應對，且維護工作量大。

4. 為了提升接入訪問體驗，安全接入平臺需要與現有平臺對接，實現統一身份認證和單點登錄。

5. 教育部發布了《高等學校數字校園建設規范（試行）》，對安全提出更高要求，對系統及應用安全加強了身份鑒別、訪問控制、通信、傳輸等安全要求。

擁抱“零信任”，讓訪問更安全更簡單

鑒于校園安全接入面臨的諸多挑戰，上海交大把目光投入到更加適合新環境的安全訪問方案——“零信任”，并最終選擇與深信服合作，采用全新的SDP（軟件定義邊界）架構產品來取代原有的開源VPN。

零信任架構：SDP作為實現零信任理念的主流技術架構之一，以控制平面和數據平面分離的方式實現業務的安全訪問，控制平面作為策略和信任評估中心，負責師生認證、授權、動態訪問控制和應用安全評估、多源信任評估；而作為數據平面的安全網關，則主要負責數據轉發和策略執行，實現上海交大遠程訪問數據的加密、代理轉發及訪問控制。

無感知接入：零信任平臺與上海交大現有的統一身份認證平臺對接整合，實現用戶身份的統一管理，滿足了全校師生無感知登錄和訪問校園應用的需求。

高性能平臺：通過零信任方案的部署，上海交大VPN接入能力獲得全面提升，能夠支撐全校數萬師生的訪問需求和接入流量。

運維更簡單：在保證師生訪問順暢性的同時，還有效地降低了用戶配置和使用過程的復雜度，讓師生遠程接入更方便，IT運維更簡單：

1. 自動完成訪問配置地址：滿足無插件或客戶端直接撥號訪問校內Web資源的場景。無論是電腦端還是手機端，師生安裝下載客戶端后，即可自動完成訪問配置地址等步驟，幫助師生快捷登錄。

2. 支持多身份對接：支持OAuth2、標準LDAP、標準RADIUS等身份對接方式，支持統一認證、無感知認證和單點登錄。上海交大建立了多終端、多系統均可兼容的安全訪問通道，滿足了大學生常用設備訪問學校業務系統、登錄知網等基本訴求。也為后續打通其智慧校園整體業務提供了拓展性，為師生使用VPN訪問校園業務帶來便利性。

3. 身份、應用發布控制與資源權限控制：上海交大初步建立了“零信任”框架，對師生進行統一的身份認證和應用發布控制，并根據用戶身份進行資源權限控制。

在移動化和云化的大趨勢下，上海交大在國內高校中率先落地“零信任”理念。在保障安全性的前提下，有效地提升了師生訪問校園網絡的便利性，走出了一條精細化用戶授權、管理的可行性道路。這不僅是新一代網絡安全架構的全新嘗試，也是上海交大又一次敢為人先的創新實踐。