Project

Een veilige breedbandinternettoegang garanderen voor 25.000 scholen

Een nationaal onderwijs netwerkproject in Polen

Het Poolse nationale onderwijsnetwerkproject (OSE) heeft zich gewijd aan het creëren van veilige breedbandinternettoegang voor meer dan 25.000 scholen op 19.500 locaties in Polen. In 2017 had slechts 10 procent van de Poolse scholen toegang tot het internet binnen de parameters die het mogelijk maakten om het te gebruiken voor het onderwijs. Andere instellingen waren niet of slechts in zeer beperkte mate in staat om gebruik te maken van netwerkmiddelen.

Het OSE-project werd opgezet om de toegang tot online leermiddelen te vergroten en gebieden van digitale uitsluiting te verhelpen. Het programma is ontworpen door het Ministerie van Digitale Zaken in samenwerking met het Ministerie van Onderwijs in het kader van de Nationale Onderwijsnetwerkwet. In de wet is ook de NASK (Nationaal Onderzoeksinstituut) aangewezen als de OSE-operator, d.w.z. het bestuursorgaan.

Het waarborgen van de veiligheid van een dergelijk groot netwerk was een bijzonder complex project. Het OSE was bedoeld als een openbaar telecommunicatienetwerk op basis van de bestaande breedbandinfrastructuur, ontwikkeld als onderdeel van een commerciële investering en gesubsidieerd met overheidsgeld. Het netwerk moest toegang bieden tot hogesnelheidsinternet voor docenten en studenten van meer dan 80 procent van de Poolse scholen. Dit zou een hoge verkeersdichtheid van miljoenen endpoints met zich meebrengen.

De uitdaging

Tijdens de ontwerpfase zijn verschillende scenario's voor de levering van security-diensten aan het OSE-netwerk geanalyseerd. Ze begonnen met een model waarbij alle security functies worden uitgevoerd op de endpoints met levering via CPE, naar een scenario waarbij het verkeer wordt geanalyseerd in een van de 16 nodes die zich in heel Polen bevinden. Na marktconsultaties en maanden van analyse werd het laatste model geselecteerd en werd het aangevuld met 3 extra backbone-nodes ter ondersteuning van de diensten die door het OSE-netwerk aan het internet worden aangeboden. De selectie van dit model heeft het noodzakelijk gemaakt de security systemen op te schalen naar een niveau dat verkeer van meer dan 1 Tbps mogelijk maakt. Tijdens de technische analyse zijn verschillende opties voor het onderhoud van dit verkeer in overweging genomen. Veel leveranciers waren echter niet in staat om te voldoen aan de eisen die worden gesteld aan de hoge kwaliteit van de beveiligingsdiensten, wat een van de prioriteiten van dit project is. Desondanks is consequent gezocht naar oplossingen om kwalitatief hoogwaardige diensten te combineren met de omvang van het project.

Parallel aan de ontwerpwerkzaamheden is een pilot-programma uitgevoerd om de kenmerken van het netwerkverkeer dat door de onderwijsinstellingen wordt gegenereerd in kaart te brengen. Volgens de prognoses van het architectenteam zou een aanzienlijk deel van het webverkeer bestaan uit webgebaseerde communicatie die wordt ondersteund door HTTP / HTTPS-protocollen. Op basis van de verzamelde statistieken kon worden vastgesteld dat het aandeel van het versleutelde verkeer over het geprojecteerde netwerk meer dan 80 procent van het totale verwerkte verkeer zou uitmaken.

Testresultaten toonden aan dat, vanwege het grote aandeel van gecodeerd verkeer over het voorgestelde netwerk, SSL/TLS-verkeer onderschept zou moeten worden. Dit is een voorwaarde voor het opsporen van bedreigingen en voor een goede filtering van de inhoud bij het betreden van het internet. En op die manier wordt de hoge kwaliteit van de veiligheidsdiensten die aan de schoolnetwerken worden geleverd, gewaarborgd. De decodering wordt uitgevoerd op het verkeer dat in beide richtingen wordt verstuurd, waardoor vragen en inhoud die via het netwerk worden verstuurd, kunnen worden geanalyseerd. De implementatie van het decoderingsproces via het netwerk van de exploitant is gepaard gegaan met tal van technische en organisatorische uitdagingen. De grootste organisatorische uitdaging was de verdeling van de certificaten over alle apparaten die op het OSE-netwerk zijn aangesloten.

Onderwijs project in Polen

Grootste technische uitdaging

De grootste technische uitdaging was de omvang van het verkeer dat zou worden gedecodeerd, evenals de differentiatie van de inhoud die niet moet worden geanalyseerd; bijvoorbeeld het verkeer naar bancaire, medische en andere portalen. Het geschatte volume van het OSE-verkeer dat moest worden geanalyseerd, bedroeg meer dan 1 Tbps. De basisuitrusting binnen het netwerkbeveiligingssysteem bestond uit een Next Generation Firewall (NGFW) systeem en een Secure Web Gateway (SWG). Er is echter geen apparatuur van dit type op de markt die onafhankelijk van elkaar zo'n grote bandbreedte zou kunnen aanpakken wanneer alle noodzakelijke beveiligingsmechanismen worden gebruikt. Dit wijst erop dat een groot aantal NGFW's en SWG's nodig zal zijn voor een goede decodering, analyse en hercodering van het verkeer. Dit zou de complexiteit van het beveiligingssysteem verhogen, evenals de kosten voor de aanschaf en het onderhoud ervan.

Om deze uitdaging aan te gaan, werden twee methoden overwogen om de belasting van de beveiligingsinfrastructuurapparatuur in evenwicht te brengen. De eerste methode was het gebruik van een ECMP-protocol dat draait op routers die zich op het gehele OSE-netwerk bevinden. Helaas hebben leveranciers van netwerkapparatuur tijdens gesprekken met de industrie aanzienlijke verschillen in de implementatie van dit protocol gesignaleerd. Sommige daarvan, zoals het ontbreken van een verbinding tussen inkomend en uitgaand verkeer naar/van een bepaalde gebruiker van een specifiek apparaat dat SSL/TLS-verkeersdecryptie uitvoert (geen volledige zichtbaarheid van TCP-sessies), verhinderden de levering van alle beveiligingsdiensten op het OSE-netwerk. Het gegeven voorbeeld zorgt ervoor dat het aangegeven apparaat niet in staat is om de SSL/TLS-verkeersinterceptie uit te voeren, wat een van de principes was van het hierboven beschreven project.

De feitelijke eis om het SSL/TLS-traffic-interceptieproces over te dragen van SWG- en NGFW-klassesystemen naar externe apparaten werd bepaald door de wens om het gebruik van de hardwaremiddelen in de beveiligingssystemen te optimaliseren. Bovendien is het bij gebruik van NGFW- en SWG-sets verplicht om de gegevensstroom naar elk apparaat te controleren, met andere woorden om het verkeer te delen. Om de controle effectief te laten zijn, is het noodzakelijk om de huidige belasting van elk apparaat te kennen en de routers waren niet in staat om deze kennis te consumeren.

Vanwege bovenstaande overwegingen is het gebruik van het ECMP-protocol verlaten. Het tweede model ging uit van de introductie van ADC-klasse apparaten (Application Delivery Controller) in het OSE-netwerk. Na het uitvoeren van een soortgelijke analyse als de vorige werd beoordeeld of alle toonaangevende producten in deze klasse in staat waren om te voldoen aan de architectonische en functionele doelstellingen van het OSE-netwerkproject. Bovendien bieden de ADC-producten flexibiliteit in de engineering van het netwerkverkeer, wat een extra voordeel was. Het ADC deelt al het inkomende verkeer op intelligente wijze. Het is het eerste apparaat in het beveiligingssysteem en regelt de verdere distributie van de gegevensstroom. De bovenstaande argumenten waren doorslaggevend bij de keuze van dit model.

Het volgende is de uiteindelijke vorm van de nodes die de Application Delivery Controller, SSL Orchestrator, NGFW en SWG producten bevatten.

NASK klantcase Polen

De oplossing

Het hierboven gepresenteerde concept heeft geleid tot de specificatie van de functionele eisen voor elk van de componenten van de OSE. En later tot een aanbesteding voor een beveiligingsinfrastructuur die ADC, SSLO, NGFW en DNS Firewall systemen omvat. Na selectie van de gunstigste offerte in de aanbestedingsprocedure werd gekozen voor ADC- en SSLO-oplossingen op basis van F5-technologie. Dit werd gedicteerd door de volgende uitgangspunten:

  • De beste verhouding van SSL-transacties per seconde (verkeersdecryptie en re-encryptieprestaties) met betrekking tot de fysieke afmetingen van de apparaten en dus hun totale aantal. De nodes van het OSE-netwerk hadden vooraf gedefinieerde maximale vermogenswaarden (kW) en rekruimte in de kast.
  • De vereiste prestaties van de Application Delivery Controllers en de mogelijkheid om het verkeer te controleren voor een bandbreedte van meer dan 200 Gbps in regionale nodes.
  • De vereiste flexibiliteit van de Application Delivery Controllers bij het regelen van zowel gedecodeerd als niet-gecodeerd verkeer, inclusief de implementatie van uitsluitingen van decodering die voortvloeien uit de regelgeving voor de bescherming van persoonsgegevens of uit een besluit van het geautoriseerde personeel.
  • Uitgebreide bescherming van OSE-netwerkapplicaties tegen externe aanvallen door het gebruik van een Web Application Firewall-systeem.
  • Veilige toegang op afstand mogelijk maken voor OSE-netwerkbeheerders of externe samenwerkende bedrijven met behulp van SSL- en VPN-technologieën.
  • De vereiste integratie in de onderhoudsomgeving.

"Het gebruik van de Application Delivery Controller en de SSL Orchestrators heeft de eenvoud van het gehele OSE-beveiligingssysteem en de efficiëntie ervan vergroot", aldus Krzysztof Chwedorczuk, hoofd van het NASK Security Services Team. "F5-oplossingen integreren goed met de andere beveiligingselementen en vormen een van de basisbouwstenen voor het succes van het Poolse nationale onderwijsnetwerk. De implementatie van de F5-technologie heeft 5 maanden geduurd, wat, gezien de complexiteit van het project, een prachtig resultaat is". Krzysztof Chwedorczuk toegevoegd. "Het OSE is voortdurend in ontwikkeling, maar tot nu toe hebben we nog geen problemen gehad, en verwachten we ook geen problemen met de load balancing binnen de knooppunten of met de verkeersanalyse".

Samenvatting

Industrie

  • Onderwijs

Zakelijke uitdaging:

  • Het bieden van toegang tot veilig breedbandinternet voor meer dan 25.000 scholen op 19.500 locaties in heel Polen.

Technology solution:

  • F5 Local Traffic Manager
  • F5 Application Security Manager
  • F5 Access Policy Manager
  • F5 SSL Orchestrator
  • F5 VIPRION Series Platforms

Resultaat:

  • Beveiligde toegang op afstand voor OSE-netwerkbeheerders of externe samenwerkende bedrijven met behulp van SSL- en VPN-technologieën
  • Uitgebreide bescherming van OSE-netwerkapplicaties tegen aanvallen van buitenaf door middel van een Web Application Firewall-systeem.

Contact met een expert

Neem contact op met één van onze experts uit de branche. Bel ons of laat een bericht achter. Ons team staat voor je klaar.

Hulp nodig bij jouw project?

Neem contact met ons op

Bel ons of laat een bericht achter en we bellen je terug. Ons team staat klaar om je te helpen.

Bericht sturen Direct bellen

Pagina delen:

Deze website maakt gebruik van cookies. Door verder te gaan op de site ga je akkoord met ons gebruik van cookies. Lees meer