De versnipperde beveiliging van de ict-netwerken van de Nederlandse Spoorwegen ondergaat een volledige metamorfose. Om te kunnen meegroeien met nieuwe technologieën als gprs en draadloos lan is gekozen voor een centrale aanpak van het beveiligingsvraagstuk en uitbesteding van het beheer.
Project Bedrijf: Nederlandse Spoorwegen (NS) Soort project: beveiligingsinfrastructuur Grootte: Landelijk datanetwerk NS, met daarin onder andere de kaartverkoopautomaten, achtduizend werkplekken, honderden servers en het netwerk met de drukbezochte website ns.nl Producten: Aladdin (antivirus en content filtering), Blue Coat (proxy), Cisco (switches en routers), HP (servers), Lantronics (console switching), Netscreen (firewalls), Netilla (portaal voor thuiswerkers, ‘reversed proxy’ in combinatie met vpn over ssl), Radware (verdeling van de belasting en applicatieschakeling), en SPS Gensys (monitoring) Leverancier: Kahuna Network Solutions Start: oktober 2002 Oplevering: in de loop van 2004 NS is blij met: centraal beheer beveiligingsomgeving Kosten: geheim |
Stevige basis
Tot vorig jaar was de beveiliging van het landelijke NS-netwerk nog versnipperd. Het datanetwerk op meer dan driehonderd verschillende locaties werd op diverse plaatsen lokaal beveiligd. Onder andere de kaartverkoopautomaten, achtduizend werkplekken, honderden servers en bijvoorbeeld het netwerk waar de drukbezochte website ns.nl op draait, waren in beveiligingsopzicht allemaal eilandjes. Verschillende bedrijfsonderdelen binnen de NS hadden hun eigen netwerkje met eigen firewalls en andere beveiligingsmechanismen.
Volgens de NS was de oude situatie wel veilig maar niet efficiënt en was er geen stevige basis om nieuwe technologieën als wlan en gprs binnen het netwerk goed beveiligd te krijgen. De NS is bijvoorbeeld van plan alle conducteurs ‘realtime’ met hun mini-pc’s toegang te geven tot het centrale netwerk, zodat zij informatie over een storing aan een bovenleiding ‘live’ kunnen volgen of een perronwijziging direct in hun scherm kunnen zien. Een nieuwe beveiligingsinfrastructuur is daarom onontbeerlijk.
"De NS wil de treinreizigers betere reisinformatie kunnen geven", zegt Stefan van Someren, product manager NS Informatiemanagement & Technologie. "Dat doe je mede door je eigen mensen van juiste informatie te voorzien, zodat zij hun rol goed kunnen vervullen. Veel medewerkers bevinden zich doorgaans op en rond het spoor. Machinisten, conducteurs en medewerkers op het perron zijn voortdurend mobiel. Als je op een veilige manier met de medewerkers wilt communiceren, moet je de beveiliging op een goede manier inrichten."
Gigantische gracht
De afgelopen twee jaar heeft NS zelf al in kaart gebracht wat de organisatie ongeveer wil. In oktober 2002 zijn de eerste gesprekken met Kahuna gevoerd. De belangrijkste insteek was de ‘gecentraliseerde beveiligingsgedachte’.
"Je kunt het netwerk beveiligen door er enorme muur omheen te bouwen, maar dat is niet praktisch", zegt Van Someren. "Wij wilden een centraal ingerichte infrastructuur waarbij je niet uitgaat van een kasteel waar je een gigantische gracht omheen graaft. We wilden een hotelprincipe, waarbij je datgene wat je echt belangrijk vindt, zoals bedrijfssystemen of bedrijfsapplicaties die verantwoordelijk zijn voor het laten rijden van treinen, of het verkopen van kaartjes, op een veilige manier wegzet. Die worden nu weggehaald uit de lokale infrastructuur waar iedereen in zit." De bedrijfskritische applicaties zijn momenteel voor een groot deel al ondergebracht in een datacentrum op een geheime locatie. In de loop van 2004 wordt deze migratie afgerond.
Kahuna ziet de gedachte die NS heeft over beveiliging bij meer grote bedrijven. Managing director Marc de Jong Luneau: "Deze bedrijven gaan steeds vaker gesegmenteerder en intelligenter om met de mogelijkheden van beveiliging. De traditionele firewall verplaatst zich van de rand van het netwerk naar het hart. Hierdoor zijn verschillende interne netwerken of applicaties ook ten opzichte van elkaar te beveiligen. Eén centraal punt van waaruit je de beveiliging kunt coördineren heeft voordelen ten opzichte van een gefragmenteerde structuur. Je kunt beter schalen en bewaken, en je hebt meer controle over de veiligheid, snelheid en beschikbaarheid van de infrastructuur."
Drie zones
Concreet heeft Kahuna samen met de afdeling Informatiemanagement & Technologie van de NS binnen de architectuur drie beveiligingszones ingericht. In de publieke zone staan systemen die via internet benaderbaar zijn. Daar staat bijvoorbeeld de webserver voor ns.nl en daar bevinden zich eveneens de in- en uitgang van de mail. Ook een netwerkfunctie als dns (de vertaling van een url naar een ip-adres) en de ‘radius proxy’ (authenticatie voor bijvoorbeeld thuiswerkers) wordt hier gerealiseerd. In de lan-zone, de zone die het verst door Nederland heen is gedistribueerd, bevinden zich de werkplekken. De derde zone is de veilige zone, waar de ondernemings- en bedrijfskritische systemen in staan, waaronder het logistieke systeem dat de logistiek van treinen en personeel aanstuurt. In de toekomst worden die drie zones mogelijk uitgebreid, bijvoorbeeld met een zone voor leveranciers als Prorail, dat de spoorlijnen beheert, of een nieuwe zone voor toegang op afstand, zoals mobiele toegang tot het netwerk voor conducteurs en machinisten.
Elke zone kent een eigen beveiligingsgraad. Binnen die zones kunnen voor een bepaald systeem nog specifieke maatregelen worden getroffen, bijvoorbeeld als het gaat om het toekennen van bandbreedte, of om het filteren of nakijken van een specifieke datastroom die naar een systeem gaat. Eroverheen ligt een beheerlaag. Het geheel wordt gevolgd door een intelligente ‘monitoring’-omgeving die onder andere de serviceniveaus op alle verschillende componenten bewaakt. Dit gebeurt in de vorm van het product Gensys van de Nederlandse fabrikant SPS.
De zones hebben alledrie een eigen kleur gekregen. De publieke (internet) zone is oranje, de veilige zone is geel en de werkplekken zijn groen. Van Someren: "Die kleuren hebben we ook doorgezet op apparaatniveau, die hebben een sticker gekregen. Ook beveiliging is mensenwerk. Zo loop je niet het risico dat een apparaat dat twee zones kan overbruggen per ongeluk de tussenliggende firewall kan omzeilen wanneer iemand een stekker ergens verkeerd insteekt."
De publieke zone, met daarin een webserver voor ns.nl, lijkt het gevaarlijkst. Volgens Van Someren is deze omgeving juist heel strak beveiligd. "Je definieert heel nadrukkelijk de toegang tot een bepaald systeem, namelijk de webserver. Daarmee zet je feitelijk voor wat we poort 80 verkeer noemen de deur open. Hackers en virusbouwers hebben juist die poort ontdekt, omdat ze in vrijwel alle gevallen een firewall treffen die openstaat. Je moet er dus wel voor zorgen dat je alleen dat verkeer laat plaatsvinden wat je wenselijk vindt, ondanks het feit dat je een specifieke deur openzet."
Complex
De infrastructuur bestaat uit veel verschillende producten van diverse leveranciers, een ‘best-of-breed’-oplossing. Producten van Aladdin zijn gebruikt voor antivirus en het filteren van content. Blue Coat levert de proxy’s, Cisco de switches en routers, Compaq de servers, Radware de oplossingen voor verdeling van de belasting en Netilla het portaal voor thuiswerkers (‘reversed proxy’ in combinatie met vpn over ssl). Daarnaast heeft Kahuna veelal gekozen voor appliances, ‘doosjes’ waarin geconfigureerde hardware en software zit. Deze benadering sluit aan bij een trend die ook onderzoeksbureau IDC in de markt signaleert. Het ‘appliance’-concept spreekt gebruikers aan omdat zij zich geen zorgen hoeven te maken over de compatibiliteit van de software met de gekochte hardware. Bovendien zorgt het voor minder installatie- en configuratieproblemen.
Het beheer van zo’n omgeving van diverse leveranciers is complex. Daarom heeft NS het beheer van de infrastructuur uitbesteed aan Kahuna. "We gaan het niet zelf beheren, want dat is niet onze kernactiviteit", zegt Van Someren. "Het heeft voor ons geen zin om hiervoor techneuten in dienst te nemen en het allemaal zelf in te richten. Daarom hebben we ervoor gekozen dat over te laten aan derden die zich daarin gespecialiseerd hebben. Doordat Kahuna meerdere grote klanten heeft, waaronder Wehkamp en Boekhandelsgroep Nederland, kunnen we profiteren van het schaalvoordeel."
Te reactief
Normaal gesproken doet NS zaken met de grote ict-partijen. Getronics, CSC en EDS zijn de drie huisleveranciers, maar in dit specifieke geval is het project Sfinx in handen gekomen van een relatief kleine partij. Kahuna werkt weliswaar voor grote klanten als Wehkamp en Boekhandelsgroep Nederland en heeft zijn personeelsbestand sinds vorig jaar verdubbeld, maar blijft met vijftig medewerkers een klein bedrijf.
Leverancier Kahuna is een snelgroeiend bedrijf in een eveneens snelgroeiend marktsegment. In 1997 opgericht, heeft het in een paar jaar een aardige klantenkring weten op te bouwen. Naast de NS zijn dat bijvoorbeeld ook Wehkamp, Ohra, Informatie Beheer Groep en Boekhandelsgroep Nederland. De onderneming is sinds mei 2002 in personeelsomvang verdubbeld, van zo’n twintig naar vijftig medewerkers. Ze is het afgelopen jaar in de Fast-500, een lijst van Deloitte & Touche van de snelst groeiende bedrijven van Europa, gestegen van de 267-ste naar de 237-ste plaats. Wind in de rug krijgt ze van de stijgende vraag naar beveiligingsoplossingen. In Nederland schat onderzoeksbureau IDC de markt voor hardware en software voor beveiliging dit jaar op 208,9 miljoen euro, een in een recessie opvallende stijging van 20,3 procent vergeleken met 2002. |
In eerste instantie zat Kahuna er niet eens bij. Toen deze beveiligingsspecialist uit Amersfoort hoorde van de grote opdracht bij de NS, is de firma er alsnog op af gestapt, met in de achterzak een curriculum vitae met recente ‘scores’, waaronder grote klanten en een 237-ste plaats in de Fast-500 van Deloitte & Touche, een lijst van de snelst groeiende technologiebedrijven in Europa. De Jong Luneau: "En we hebben per leverancier, per doosje en per platform beargumenteerd laten zien: als je deze keuze maakt, heeft het die implicatie voor het beheer, voor de prestaties en voor de beveiligingsmogelijkheden."
Flexibeler
De NS eiste van zijn leveranciers een proactieve benadering van het beveiligingsvraagstuk. Wat is proactief? De NS wilde in ieder geval niet een benadering waarbij één of twee fabrikanten hun stempel zouden drukken op de infrastructuur. Het moest het beste van het beste worden op elk niveau en voor elke component. Dat vereist een leverancier die zich vierentwintig uur per dag verdiept in dit soort oplossingen.
"Daar waar andere partijen zich misschien committeren aan één of twee grote namen, kiezen wij uit een veelheid aan leveranciers," zegt de Jong Luneau. "De generalisten redeneren anders. Zij proberen op die manier hun kennis te waarborgen, maar wij zijn flexibeler. We hebben een andere benadering. We kiezen voor de technologie die onze toets van continuïteit doorstaat en waar een goede leverancier achter zit die een aantal jaren bestaat en heeft laten zien waar hij mee bezig is. Deze technologieën maken we ons eigen en zetten we in waar ze het functioneelst zijn."
"Als het over beveiliging gaat, wil je bij elk onderdeel van de infrastructuur te maken hebben met één van de drie bedrijven die voorop lopen in technologische ontwikkelingen, omdat het nu eenmaal een proactieve bezigheid is. Wij begrijpen de strategie en technologie van de belangrijke spelers in het spectrum. Dit betekent dat we met verschillende platformen van diverse leveranciers toch een optimale situatie kunnen bereiken. Als je kiest voor al die verschillende technologieën, moet je dat wel beheersbaar kunnen houden. Met het platformonafhankelijke beheerplatform van SPS kunnen we elk onderdeel in de gaten houden en beheren. Het eindresultaat is beheersbaar en je hebt de beste functionaliteit op de individuele componenten."< BR>