You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 6 Next »

Achtergrond

Tijdens een SURF relatiedag is SURFfirewall, door de leden, uitgeroepen tot een dienst die SURF zou moeten ontwikkelen. Vlak daarna is SURF begonnen met een behoeftepeiling om te begrijpen hoe zo’n dienst eruit zou moeten zien. Er zijn een aantal interviews gedaan en er bleek dat er behoefte was voor 2 varianten van een SURFfirewall dienst: Basic en Managed.

Een instelling die graag zo veel mogelijk uitbesteedt, heeft het liefst een Firewall waarbij de verantwoordelijkheid voor beheer, security-advies en een vertaling daarvan in uitvoering bij SURF ligt. Hier is er een behoefte aan een Managed Firewall.

Instellingen die open staan voor uitbesteding van hun firewall dienstverlening, maar niet per se een duidelijke strategie hiervoor hebben, bepalen meestal per geval of ze een dienst van SURF (of een marktpartij) afnemen. De Firewall-dienst moet dan voldoende toegevoegde waarde bieden en zou niet duurder moeten zijn dan hun huidige oplossing. De toegevoegde waarde zien ze in beheer en het flexibel kunnen opschalen van capaciteit en functionaliteit. Ook willen ze security-advies van SURF, maar wel zelf de regie houden op de security policies en de uitvoering daarvan.

Instellingen zeggen: “We krijgen veel securityadvies van marktpartijen maar weten niet of we ze kunnen vertrouwen”. Wat betreft policy willen deze instellingen zelf aan het roer staan, want er zitten veel afhankelijkheden met hun interne netwerk, diensten en applicaties waar SURF op dit moment geen rol in speelt. Een Basic Firewall, een ‘first line of defense’, kan hier een oplossing bieden. Een andere zinvol usecase, is de wens om een deel van de functionaliteit of capaciteit van een instellingsfirewall te offloaden naar een Firewall van SURF.

Kwantitatief onderzoek binnen de HBO en MBO sectoren ondersteunde de behoefte aan een Basic en Managed variant van een Firewall dienst. Hierna is een pilot uitgevoerd samen met een aantal instellingen om de technische werking van deze dienst te testen. Na de pilot is gebleken dat op dit moment de “Basic” firewall de meeste haalbare en kansrijke variant is. Daarom heeft SURF besloten om eerst deze SURFfirewall-Basic in productie te brengen.

Waarde Propositie

Met SURFfirewall hoeft de instelling zich geen zorgen meer te maken over de rechtmatigheid van de inkoop van hun firewall. De instelling hoeft geen aanschaf meer te doen die tot het einde van de afschrijftermijn gebruikt kan worden, wat inefficiëntie in de hand werkt. De SURFfirewall oplossing kan namelijk (binnen vastgestelde kaders) schalen aan de hand van de behoefte van de instelling. De instelling hoeft geen kennis meer te onderhouden van specifieke firewalltechnieken, maar kan zich focussen op het vaststellen van (security) beleid en andere zaken die hen onderscheiden.

SURFfirewall-Basic biedt de volgende voordelen voor de instellingen:

  • geen aanbestedingslast voor hardware, software/licenties en/of onderhoudscontracten
  • Geen on-premise apparatuur -> minder energie, minder housing
  • geen beheerslast voor hardware en/of software
  • geen configuratielast
  • minder kennis nodig in-house
  • flexibel opschalen in capaciteit en daardoor beter aansluiten met de actuele capaciteitsbehoefte
  • flexibel opschalen in functionaliteit (zoals Intrusion Detection en Intrusion Prevention)
  • mogelijk kostenvoordeel door betere match tussen gekochte en gebruikte functionaliteit/capaciteit en centrale inkoop
  • volledige integratie met SURFinternet

De dienst kan worden gezien als een uitbreiding van SURFinternet of als vervanging van hun externe /perimeter firewall. SURFfirewall-Basic is een aparte SURF-dienst met zijn eigen tariefmodel. Door SURFfirewall-Basic af te nemen kunnen instellingen zich beter focussen op de (security) beleid en andere zaken die hen onderscheiden.

Toekomstvisie

Tijdens de gesprekken met de instellingen zijn veel wensen naar voren gekomen. Op basis van deze wensen en technologische ontwikkelingen is een toekomstvisie en roadmap geformuleerd voor SURFfirewall.

Op de middellange termijn zal SURF een SURFfirewall-managed ontwikkelen en proactief advies leveren. Hiermee bestaat de mogelijkheid om in community verband samen met collega instellingen gestandaardiseerde security policies te ontwikkelen. Sommige instellingen hebben de wens uitgesproken om hun interne firewalls ook bij SURF neer te leggen. De SURFfirewall-Basic zal dan ook verder ontwikkeld worden om deze functionaliteit te bieden. Verder zal ook gewerkt worden aan integratie met SOC/SIEM die een nieuwe dienst in ontwikkeling is.

Op de lange termijn verwachten we dat door digitalisering er veel meer data gegenereerd zal worden voor onderwijs en onderzoek die naast op de campus ook in meerdere clouds en externe data-centers opgeslagen zal worden.  Dan hebben we het niet meer over 1 fysieke campus maar een virtuele campus die verspreid is omdat de data van de campus op veel plekken zich zal manifesteren. Deze data moet ook op alle plekken beveiligd worden. Daardoor zal een behoefte ontstaan voor Firewalls en security mechanismen op meerdere plekken die snel geregeld kunnen worden met een "Firewall-on-demand”, binnen uren/minuten. Daarnaast willen de instellingen het liefst betalen voor het echte gebruik "Pay-per-use" want als je de data verwijdert van een locatie wil je ook van de Firewall en andere security mechanismes op die locatie af. Verder wil een instelling het liefst de hele "virtual" campus en de bijbehorende firewalls en de data op verschillende locaties kunnen beheren via 1 ingang (bijv. een portaal).

Onze ambitie om te kunnen voldoen aan deze toekomstige behoeftes van de instellingen is ook de visie van deze dienst. Met uitbreiding van het SURF netwerk (op veel meer locaties en clouds), gebruik van virtualisatie-technologie en ontwikkelen van portalen kunnen we deze ambitie waarmaken en het businessmodel verder ontwikkelen in de toekomst.

Functionele beschrijving van SURFfirewall-Basic

Met de SURFfirewall-Basic dienst biedt SURF deelnemende instellingen de mogelijkheid om het de SURFinternet verbinding te beveiligen met een moderne next-generation Firewall. SURF zorgt voor beschikbaarheid en het functioneren van deze firewall. De instellingen hoeven zich alleen nog bezig te houden met de uitvoering van het beveiligingsbeleid (de firewallregels) en niet meer de inkoop, het onderhoud en schaling van hun firewall.

Met SURFfirewall-Basic kunnen deelnemende instellingen de inkoop- en beheerslast van een firewall bij SURF neerleggen. Instellingen nemen een Firewall op maat af, passend bij hun beveiligings- en verkeersbehoefte.


Inkoop

Hardware en licenties

Beheer

hardware

Inrichting en beheer software

Firewall

configuratie

Policies

SURFfirewall Basic

SURF

SURF

SURF

SURF

Instelling


De SURFfirewall-Basic zal geleverd worden met volledig gelicenseerde (UTM, Unified Threat Management) functionaliteit van een Fortigate, een firewall van Fortinet. Dit is de maximale belasting voor een firewall en daarom minimaal haalbare doorvoersnelheid. SURF voorziet in de inkoop van hardware, beheer, licenties en de integratie met SURFinternet. De instelling krijgt een interface om zelf firewall regels in te voeren en te beheren, het beheersportaal.

Technische inrichting van de dienst

Deze sectie beschrijft hoe de dienst technisch is ingericht.

Virtuele domeinen

Binnen het firewall cluster wordt voor iedere instelling een virtueel domein aangemaakt. Dit virtuele domein bevat de firewall en de beveiligingsregels en specifieke instellingen. Door gebruik te maken van virtuele domeinen is het zowel mogelijk om meerdere firewalls per instelling in te richten als meerdere instellingen aan een firewall te koppelen. 

Door het maximale verkeer wat door zo’n virtueel domein gaat te af te stemmen op wat de instelling afneemt, wordt bovendien het risico op overbelasting van de gehele dienst bij een eventuele aanval verminderd.

Integratie met SURFinternet


De SURFfirewall-Basic dient als ‘edge’ of ‘border’ firewall, en ontsluit de instelling op een of meerdere locaties aan SURFinternet. Voor de instelling is de SURFfirewall het nieuwe koppelpunt geworden met het SURF netwerk: In plaats van met de SURF routers koppel je met de SURFfirewall middels BGP of eventueel statische routering.

 De SURFfirewall dienst is redundant opgezet, waardoor je altijd meerdere firewalls hebt en meerdere netwerkpaden, om eventuele verstoringen op te vangen.

Beveiligd beheer

Alleen geautoriseerde beheerders van de instelling hebben toegang tot het beheerportaal.

Op het beheerportaal kun je inzicht krijgen in de huidige staat van de firewall, het firewall-beleid (de “rulebase”) veranderen en deze actief maken op de firewall.

De autorisatie voor het beheerportaal wordt gedaan door SURFconext. Zo zijn wij er zeker van dat alleen de gebruikers die vanuit de instelling toegang behoren te hebben, ook daadwerkelijk toegang krijgen.

Wij zullen bij het aanvragen van de eerste firewall bij een instelling contact opnemen met bij ons reeds bekende contactpersonen, om zo de eerste beheerder te bepalen. Hierbij nemen wij contact op met de ICP’s en SURFcert contactpersonen. Verdere beheerders worden door de eerste beheerder aangedragen. Mocht de eerste beheerder niet meer in dienst zijn, nemen wij weer contact op met de ICP’s en SURFcert contactpersonen.

Next Generation Firewall 

SURFfirewall wordt geleverd met volledig gelicenseerde (UTM, Unified Threat Management) functionaliteit. Onder “Unified Thread Management” vallen diverse Next Generation firewall functionaliteiten, zoals:

  • Antivirus
  • Botnet detection
  • IP/Domain Reputation
  • IPS
  • NGFW (Next Generation Firewall) Application Control
  • Virus Outbreak Protection
  • Web Filtering

Hiermee is het mogelijk om op basis van applicaties of zelfs inhoud van verkeer beveiligingsbeleid op te stellen en af te dwingen.

Opbouw van de connectiviteit

De dienst bestaat uit drie delen:

  1. Een reguliere, redundante, SURFinternet verbinding, met daarop de DDoS filters aangeschakeld op standaard waarden
  2. Een hoog-beschikbare firewall die middels BGP gekoppeld is aan de SURF routers
  3. Een L2VPN, waarin de firewall redundant is gekoppeld, samen met de aangewezen SURF poorten van de instelling, waarbij de dienst wordt geleverd als VLAN op deze poort.

Tariefmodel

SURFfirewall zal naar verwachting in Q1 2021 beschikbaar gesteld worden als een productie dienst.

Het tariefmodel bestaat uit eenmalige aansluitkosten en een basis bedrag incl. 1 Gbps firewall capaciteit en UTM/Next Gen features. Daarnaast kent de dienst een upgrade tarief voor elke extra afgenomen Gbps. 

Contact

Meer informatie over deze dienst en het tarief is beschikbaar via de account managers of de product manager (richa.malhotra@surf.nl).













  • No labels