中国最早的中文打字机、第一艘核潜艇、第一枚运载火箭、第一颗人造卫星……在中国近现代发展史上的诸多“第一”里，都有上海交通大学（以下简称“上海交大”）的身影。在建校125周年之际，上海交大又一次在国内高校率先落地了“零信任”架构解决校内资源安全访问问题。

远程访问常态化，传统VPN面临新挑战

提起VPN（虚拟专用网络）很多人并不陌生。后疫情时代，远程办公成为常态，VPN作为远程办公最主要的安全方案再次受到关注。然而云计算等新技术的崛起，云端应用变得广泛和复杂，传统VPN技术面临新的挑战：

1. 高校智慧校园应用广泛使用，IT架构从“有边界”向“无边界”转变，校内校外的远程接入方式和需求发生重大变化，师生越来越习惯随时随地地接入和访问智慧校园应用，校外访问需求呈现明显的上升趋势。

2. 疫情的影响进一步驱动了高校师生远程访问需求，VPN系统架构需要具备支撑高并发、高性能的安全接入能力。

3. 远程接入规模大，用户体验要求高，传统方案难以应对，且维护工作量大。

4. 为了提升接入访问体验，安全接入平台需要与现有平台对接，实现统一身份认证和单点登录。

5. 教育部发布了《高等学校数字校园建设规范（试行）》，对安全提出更高要求，对系统及应用安全加强了身份鉴别、访问控制、通信、传输等安全要求。

拥抱“零信任”，让访问更安全更简单

鉴于校园安全接入面临的诸多挑战，上海交大把目光投入到更加适合新环境的安全访问方案——“零信任”，并最终选择与深信服合作，采用全新的SDP（软件定义边界）架构产品来取代原有的开源VPN。

零信任架构：SDP作为实现零信任理念的主流技术架构之一，以控制平面和数据平面分离的方式实现业务的安全访问，控制平面作为策略和信任评估中心，负责师生认证、授权、动态访问控制和应用安全评估、多源信任评估；而作为数据平面的安全网关，则主要负责数据转发和策略执行，实现上海交大远程访问数据的加密、代理转发及访问控制。

无感知接入：零信任平台与上海交大现有的统一身份认证平台对接整合，实现用户身份的统一管理，满足了全校师生无感知登录和访问校园应用的需求。

高性能平台：通过零信任方案的部署，上海交大VPN接入能力获得全面提升，能够支撑全校数万师生的访问需求和接入流量。

运维更简单：在保证师生访问顺畅性的同时，还有效地降低了用户配置和使用过程的复杂度，让师生远程接入更方便，IT运维更简单：

1. 自动完成访问配置地址：满足无插件或客户端直接拨号访问校内Web资源的场景。无论是电脑端还是手机端，师生安装下载客户端后，即可自动完成访问配置地址等步骤，帮助师生快捷登录。

2. 支持多身份对接：支持OAuth2、标准LDAP、标准RADIUS等身份对接方式，支持统一认证、无感知认证和单点登录。上海交大建立了多终端、多系统均可兼容的安全访问通道，满足了大学生常用设备访问学校业务系统、登录知网等基本诉求。也为后续打通其智慧校园整体业务提供了拓展性，为师生使用VPN访问校园业务带来便利性。

3. 身份、应用发布控制与资源权限控制：上海交大初步建立了“零信任”框架，对师生进行统一的身份认证和应用发布控制，并根据用户身份进行资源权限控制。

在移动化和云化的大趋势下，上海交大在国内高校中率先落地“零信任”理念。在保障安全性的前提下，有效地提升了师生访问校园网络的便利性，走出了一条精细化用户授权、管理的可行性道路。这不仅是新一代网络安全架构的全新尝试，也是上海交大又一次敢为人先的创新实践。