基于云访问安全代理的智慧校园统一登录平台的设计
摘要: 智慧校园指的是以物联网为基础的智慧化的校园工作、学习和生活一体化环境,这个一体化环境以各种应用服务系统为载体,将教学、科研、管理和校园生活进行充分融合。2010年,在信息化“十二五”规划中,浙江大学提出建设一个“令人激动”的“智慧校园”。这幅蓝图描绘的是:无处不在的网络学习、融合创新的网络科研、透明高效的校务治理、丰富多彩的校园文化、方便周到的校园生活。简而言之,“要做一个安全、稳定、环保、节能的校园。”2018年6月7日,国家标准《智慧校园总体框架》。目前,智慧校园平台存在加密措施不全、内外网分离、无法统一管理等问题。基于云访问安全代理技术,建设与身份认证系统对接的智慧校园统一登录平台,使用户从安全可控的业务入口登录智慧校园平台,有效提升智慧校园平台的登录便捷性与认证安全,消除信息安全隐患。
关键词:云访问安全代理;认证安全;智慧校园;统一登录平台
引言
校园网作为高校最大的实验教学网络,已经成为高校重要的信息基础设施、互联网研究平台和人才培养基地,是衡量高校教学科研发展水平的重要指标之一。随着智慧校园建设的蓬勃发展,传统的建立内外网连接隧道来访问校内资源的方案已经难以满足现阶段高校对于安全和便利的双重要求。如何保证师生能够随时随地访问学校的信息化建设成果,且最大限度地降低可能出现的业务安全风险,成为高校信息化建设亟待解决的问题。Gartner于2012年提出云访问安全代理 ( Cloud Access Security Broker,云访问安全代理)概念,随后国内外许多安全公司对云访问安全代理进行了研究和探索。已经并且连续几年占据Gartner TOP10信息安全技术榜首,可谓是风光无二。一个技术或者产品的诞生必然有其痛点,CASB主要针对的问题就是公有云带来的数据管控问题,以及其衍生出的影子IT(Shadow IT)和BYOD(Bring your own device)问题。用户在使用公有云的基础设施,接口服务或者云应用的过程中,数据必然会进入服务运营商的系统中,但数据只是托管,所有权还是用户的,但数据在第三方驻留必然会导致信任问题,这个 问题即使服务运营商拍胸脯,签协议也无法完美解决,这是CASB诞生的契机。至于影子IT和BYOD,就是企业用户使用了哪些云服务和用什么设
备访问这些云服务都不受企业管控,从而引发数据泄露等安全问题。
云安全问题分为两种,第一种是云本身的安全问题,云本质上还是软件,传统的软件受到的威胁不会少(越权,注入等),同时云作为新的形态引入了更多的安全问题,比如虚拟机逃逸,数据隔离等问题,这些问题应当是云服务商做好,责任也应当在云服务商。还有第二种是使用云的安全问题,这个问题不只是云服务商能够解决,责任也应当是云用户和云服务商共担,云服务商需要承诺不查看,使用,泄露用户的数据,同时用户自己也要保证自己正确安全的使用云服务,这里面有些行业(金融,医疗)可能直接上公有云就是不合规。首先CASB是一个安全策略的执行点,部署形式可以为本地形态或者云形态,位置在云服务使用者和云服务提供者之间。安全策略执行点,可以认为是一个用户可以配置安全策略的软件平台,用户可以在上面查看云服务的行为,并设置策略进行管控。位置在两者之间,我们可以知道CASB是一个独立的点,即不是类似于客户端的安全解决方案,也不是服务端的安全补丁方案,更多是一个纵向的中间件(网关)。CASB作为一个策略执行点可以执行很多的安全策略,比如认证,单点登录,加密,令牌化,审计,报警,恶意软件检测等等。
CASB技术原理图
CASB从服务模式看有两种形态。代理模式:客户端到云服务的所有的流量都先经过CASB,该模式的好处是能够使用几乎所有的策略,并且不受云服务厂
基于云访问安全代理的智慧校园统一登录平台的设计
