Fortinet maakt de beveiliging van de campus van TU Delft toekomstvast

  1. 9 mei 2017
  2. 0 reacties

Met circa 6.000 medewerkers biedt de TU Delft 16 bacheloropleidingen en meer dan 30 masteropleidingen aan zo’n 22.000 studenten, verdeeld over 8 faculteiten in 34 gebouwen. Daarmee is de TU Delft niet alleen de oudste, maar ook de grootste technische universiteit van Nederland. “We hebben de omvang van een kleine stad”, vertelt Mehrdad Rowshanbin, hoofd netwerk & telefonie bij TU Delft. “De bewoners daarvan wisselen continu en lopen qua technologische kennis en eisen voorop. Studenten op de campus werken bij voorkeur met ICT-apparatuur van eigen keuze en er is een hoge mate van digitale samenwerking. In het datacenter hebben we enkele duizenden servers voor onderwijs- en onderzoekdoeleinden. Er is altijd een enorm dataverkeer tussen de gebruikers op de campus en de servers in het datacenter. Een optimale bescherming is essentieel en blijft een grote uitdaging.”

Firewall was de bottleneck

Door de enorme dynamiek en snelle technologische ontwikkelingen op securitygebied is het belangrijk voor de netwerkafdeling van de TU Delft om bij de keuze voor de firewall rekening te houden met alle mogelijke bedreigingen van nu en de toekomst. Rowshanbin: “De firewalls die we vijf jaar geleden installeerden boden aanvankelijk voldoende capaciteit voor de vereiste prestaties en functionaliteit. De machines konden de groei in apparaten, applicaties en gebruikers goed aan, maar liepen uiteindelijk toch aan tegen prestatieproblemen.”

TU-delft-5_615x307-615x307

Dat probleem werd merkbaar toen voor een bepaalde groep gebruikers de doorvoersnelheid van het netwerk, ondanks een capaciteit van 10 Gbps, op sommige momenten beperkt werd. “Er zat dus een bottleneck in het netwerk en na grondig onderzoek bleek deze veroorzaakt te worden door de firewall”, vertelt Rowshanbin. “We voorzagen dat dit steeds vaker voor zou komen en, hoewel de situatie nog werkbaar was, wilden we de firewall op tijd vervangen.”

Goede voorbereiding is het halve werk

Voordat de TU Delft overgaat tot de aanschaf van nieuwe ICT-oplossingen, doorloopt de ICT-afdeling altijd standaard een aantal stappen. Dit begint bij het maken van een high-level design (blauwdruk) op basis van een programma van eisen. “Voor de hardware keuze zijn we grondig te werk gegaan”, verzekert Rowshanbin. “We beoordeelden de oplossingen van alle bekende securityleveranciers en bekeken hoe zij scoorden volgens onafhankelijke onderzoeksbedrijven. Daarnaast namen we de testresultaten van NSS Labs in de beoordeling mee. Vervolgens toetsten we de aangeboden oplossingen van de leveranciers op basis van het door ons opgestelde pakket van eisen en high-level design. Tijdens de ontwerpfase hebben we bewust voor de firewalls van twee leveranciers gekozen: een voor de campusomgeving en een voor het datacenter. In ons ontwerp voor de campus stond de doorvoercapaciteit van de data centraal. De campus omvat de werkplekken van onze medewerkers, het netwerk voor de studenten en een deel van de servers van de onderzoekers. De hoeveelheid data die over het netwerk gaat is soms enorm. Daarnaast waren op de campus een aantal nieuwe functionaliteiten gewenst, zoals URL filtering, application control, user-based policy, et cetera. Daarom kozen we Fortinet voor het beveiligen van de campus. De Fortinet firewalls hebben niet alleen een goede prijs-kwaliteitverhouding, maar bieden ook ultrahoge doorvoersnelheden en beschikken over een geïntegreerde oplossing voor extra functionaliteiten.”

Fortinet firewalls zijn flexibel en voldoen aan de toekomstige eisen van het netwerk

Voor de campusomgeving selecteerde de TU Delft twee FortiGate 3000D-BDL firewalls in een redundante opstelling en de rapportages van FortiAnalyzer. De FortiGate 3000-serie levert de hoogste prestaties die momenteel beschikbaar zijn in de markt in een compact formaat. De firewall heeft een doorvoersnelheid van ruim 300 Gbps met minimale vertraging. De modellen in de FortiGate 3000-reeks zijn uitermate schaalbaar dankzij de ondersteuning van 40GbE- en 100GbE-verbindingen. “De FortiGates leveren indrukwekkende prestaties en zorgen voor de optimale beveiliging van het netwerk”, aldus Rowshanbin. “De FortiGate 3000-BDL firewalls zijn bovendien flexibel genoeg om te voldoen aan de toekomstige eisen van het netwerk.” FortiAnalyzer integreert logging, analyse en rapportage in één systeem. Hierdoor worden bedreigingen voor het netwerk snel ontdekt en kan men tijdig ingrijpen. Daarnaast verzamelt FortiAnalyzer informatie voor forensisch onderzoek en compliance.

Voorheen kon de universiteit het verkeer alleen controleren tot en met de netwerklaag. “We wilden dat uitbreiden tot en met laag 7, de applicatielaag. Firewalls zien ook op applicatieniveau wat er gebeurt, en vanwege extra inspectiemogelijkheden moeten de firewalls dan veel krachtiger zijn. De Fortigate NG firewall biedt de mogelijkheid om bij elk datapakketje een diepe inspectie uit te voeren. Dit gebeurt zonder een merkbare performance verlies.”

  • TU-delft-2_615x347-615x347 Mehrdad Rowshanbin, hoofd netwerk & telefonie bij TU Delft
  • De extra rekenkracht van de firewalls was voor de TU Delft een grote zorg. “We wilden vooraf zeker weten dat het product optimaal bleef presteren als we alle featuresets inschakelden”, zegt Rowshanbin. “Een testopstelling kan de werkelijkheid niet volledig nabootsen, dus we wilden de prestaties van de firewalls in de live-omgeving controleren. Fortinet staat achter zijn producten en twijfelt geen moment aan de prestaties daarvan. Het bedrijf was direct bereid om daaraan mee te werken.”

Voordelen nieuwe firewall direct zichtbaar

Voor het live testen werkten de technici van TU Delft nauw samen met Fortinet consultants en de specialisten van Fortinet-partner Axians. Rowshanbin: “Zo wisten we de doorlooptijd te verkorten en de kans op fouten te verminderen. Alle policies, regels en instellingen werden overgezet, geconfigureerd of vernieuwd. Deze aanpak bood onze eigen specialisten de mogelijkheid om in praktijk kennis te maken met de nieuwe firewall. Dankzij Fortinet en Axians verliep de implementatie probleemloos en in vrij korte tijd. Binnen de vooraf afgesproken drie maanden hebben we na goed resultaat besloten om van de praktijktest over te stappen naar daadwerkelijke vervanging van de firewall. Deze vervanging werd binnen enkele uren afgerond. Doordat we 80 procent van de tijd staken in de voorbereiding, was slechts 20 procent nodig voor de implementatie. Bij veel andere organisaties is dat andersom.”

Al direct na het overzetten van de oude naar de nieuwe firewall waren er zichtbare verbeteringen in de snelheden van het netwerk, vervolgt Rowshanbin. “Dat was niet alleen te zien op metertjes, maar echt merkbaar voor gebruikers. Dat was een van de belangrijkste redenen om de firewall te vervangen en het voldeed helemaal aan onze verwachtingen. Het project was voor ons en de consultants van Fortinet en Axians erg interessant. Het was een spannend traject, maar uiteindelijk keek iedereen met blije gezichten naar elkaar.”

De zoektocht naar flexibele firewalls kwam hiermee tot een mooi einde. Maar is de TU Delft ook goed beschermd tegen toekomstige bedreigingen? “De diensten van Fortinet zitten in de cloud en worden dus continu bijgewerkt”, aldus Rowshanbin. “Daarbij maakt Fortinet gebruik van de informatie die FortiGuard Labs vergaart over zero-day- en opkomende bedreigingen. Zo bieden de firewalls dus altijd de optimale beveiliging. Nu en in de toekomst.”