Ca’ Foscari rinnova l’accesso remoto con eduVPN

L’Università Ca’ Foscari rinnova l’accesso remoto con eduVPN, migliorando sicurezza, semplicità d’uso e integrazione federata.

Negli ultimi anni, all’Università Ca’ Foscari ci siamo trovati di fronte alla necessità di ripensare il nostro servizio VPN (Virtual Private Network). La soluzione esistente, nata molti anni fa principalmente per consentire l’accesso alle risorse bibliografiche, nel tempo era diventata difficile da gestire. I profili utente si erano moltiplicati senza un controllo centralizzato, le configurazioni erano complesse e frammentate, e mancava un’integrazione efficace con l’autenticazione a più fattori.

Inoltre, la VPN si basava su dispositivi hardware dedicati, distribuiti su due data centre, una soluzione che risultava poco flessibile e onerosa in termini di gestione e manutenzione. Questa situazione rendeva l’infrastruttura poco adatta alle esigenze moderne di sicurezza, scalabilità e continuità dei servizi, generando difficoltà sia per gli utenti sia per il team tecnico. Il servizio doveva inoltre essere in grado di sostenere un'ampia platea di utenti: l’Ateneo conta circa 30.000 account attivi, tutti abilitati all’uso della VPN, con profili ed esigenze eterogenee.

A fine 2023 abbiamo intrapreso un’analisi approfondita dei profili di utilizzo realmente necessari, con l’obiettivo di individuare una soluzione completamente integrata con il nostro ecosistema digitale. La scelta è ricaduta su eduVPN Institute Access, un servizio sviluppato da SURF, la rete olandese dell’istruzione e della ricerca, coordinato a livello europeo da GÉANT e gestito in Italia da GARR.

Per noi è stato un elemento determinante: poter contare su un servizio pensato per la comunità globale della ricerca e supportato a livello nazionale all’interno della rete GARR ha rappresentato un valore aggiunto importante.

L’integrazione nativa con il Single Sign-On (nel nostro caso Shibboleth) ha permesso di ereditare automaticamente l’autenticazione a più fattori, l’accesso tramite SPID e CIE e la gestione dei profili basata sugli attributi degli utenti. Tutto questo avviene in maniera trasparente, senza richiedere agli utenti configurazioni complesse o interventi manuali. L’adozione di eduVPN ha quindi semplificato notevolmente la gestione interna, riducendo tempi e costi operativi e migliorando l’esperienza d’uso complessiva.

Un’esperienza semplice e immediata

Uno dei principali punti di forza di eduVPN è la facilità di utilizzo. I client sono disponibili sugli store ufficiali per tutte le piattaforme e non richiedono configurazioni manuali: basta selezionare il proprio istituto e il resto avviene automaticamente. Questa semplicità ha praticamente azzerato le richieste di assistenza per configurazioni errate, portando benefici immediati sia agli utenti sia al team di supporto IT.

Dal punto di vista tecnico, abbiamo adottato WireGuard, che garantisce alte performance e affidabilità anche in condizioni di rete non ottimali o soggette a restrizioni geografiche. In presenza di provider che limitano il traffico UDP, è possibile passare al protocollo TCP direttamente dal client, assicurando così continuità di servizio in qualsiasi situazione.

Un percorso di migrazione graduale

Il processo di adozione è stato pianificato e graduale. Per circa sei mesi abbiamo mantenuto attive sia la vecchia VPN sia eduVPN. Tutte le istruzioni che abbiamo pubblicato sul sito erano relative solamente alla nuova installazione e tutti i nuovi utenti si sono trovati direttamente a utilizzare eduVPN, facilitando così la migrazione. Questo approccio ha permesso una migrazione fluida e senza interruzioni, riducendo al minimo gli interventi manuali.

Abbiamo installato eduVPN su una singola macchina virtuale, integrandola nei normali processi di gestione delle VM dell’ateneo, inclusi aggiornamenti, backup, disaster recovery e logging. Questo ha eliminato la complessità dei vecchi apparati fisici e semplificato notevolmente la gestione del servizio, rendendolo più scalabile e facilmente estendibile a nuove esigenze future.

Il servizio è attualmente erogato da una macchina virtuale Ubuntu 24.04 LTS con 4 vCPU e 4 GB di RAM, una configurazione che si è dimostrata più che adeguata per sostenere il carico medio di circa 250 utenti simultanei giornalieri e garantire ampi margini di crescita. La soluzione è pensata per essere facilmente scalabile su più VM così da garantire alta affidabilità e migliori performance del servizio. L’efficienza della soluzione ha reso possibile una significativa riduzione delle risorse necessarie rispetto alla precedente soluzione basata su apparati dedicati.

Vantaggi concreti per l’utenza

Oggi eduVPN è l’unico sistema di accesso remoto alle risorse dell’ateneo e viene utilizzato da tutta la comunità istituzionale. Gli studenti lo utilizzano per accedere alle risorse bibliografiche, i docenti e i ricercatori per collegarsi a workstation, cluster e strumenti scientifici, mentre l’accesso di tecnici esterni o ai dispositivi IoT viene autorizzato tramite profili specifici attivati su richiesta. Il servizio ha portato numerosi vantaggi, tra cui una maggiore sicurezza e privacy, grazie all’accesso protetto e alla gestione centralizzata degli utenti con autenticazione a più fattori. Garantisce inoltre continuità dei servizi, permettendo di lavorare anche fuori dal campus, durante trasferte o esperienze internazionali come l’Erasmus. La gestione è diventata più semplice, riducendo la complessità grazie all’integrazione con l’infrastruttura digitale dell’ateneo.

L’adozione di eduVPN per Ca’ Foscari non è stata solo un aggiornamento tecnico, ma anche un cambiamento importante che ha reso l’accesso remoto più sicuro per tutta la comunità accademica. Grazie all’integrazione con i sistemi digitali dell’ateneo e al supporto della rete GARR, il servizio è oggi un elemento fondamentale per l’ammodernamento dell’infrastruttura IT.

Il risultato è un ambiente facile da gestire e pronto a evolversi, in cui studenti, ricercatori e personale interno possono contare su un’esperienza d’uso semplice e senza interruzioni.