Beveiligings- en netwerkdienstverlener SecureLink implementeert een nieuwe beveiligingsinfrastructuur bij de provincie Zeeland. Daarbij maakt het gebruik van een Palo Alto Networks-firewall, een Juniper Networks MAG-gateway en twee F5 Networks Application Delivery appliances.Zeeland was niet meer tevreden over de bestaande Cisco ASA-opstelling en wilde een krachtiger oplossing.
Twee jaar geleden was de provincie Zeeland op zoek naar een nieuwe firewall. ‘Er stond eerst een Cisco ASA, maar daar waren wij niet meer tevreden over', zegt Benny Houterman, technisch adviseur ict van de provincie. In de zoektocht naaar een nieuwe oplossing kwam de provincie uit bij een firewall van Check Point. Maar die bleek duurder en nog niet beschikbaar. Een alternatief werd gevonden bij Palo Alto Networks. Inmiddels zijn daar een Juniper Networks MAG gateway en twee F5 Networks Application Delivery appliances aan toegevoegd.
Juniper Networks en F5 Networks
Juniper Networks vormt de basis van de mobiele toegang, waar Zeeland een paar jaar geleden op is overgestapt. Voorheen werd er gebruik gemaakt van de ASA, maar de oplossing was volgens Houterman niet flexibel genoeg en lastig in beheer. Doordat het gelijktijdig gebruikmaken van de toepassing beperkt werd tot maximaal honderd gebruikers, is deze SSL-VPN-appliance opgewaardeerd naar een Juniper Networks MAG-appliance die kan opschalen tot duizend gebruikers.
De twee F5 Networks zijn gekozen om problemen met de beschikbaarheid van de in gebruik zijnde geografische informatiesystemen op te lossen. SecureLink heeft een script geschreven om te controleren of de applicaties nog in de lucht zijn. Als een applicatie wegvalt, wordt automatisch op een ander systeem een nieuwe applicatie opgestart. 'Het gaat dan bijvoorbeeld om toepassingen voor risicokaarten en veiligheidsdiensten. Wij hebben hier onder andere een kerncentrale, veel industrie aan de Schelde en schepen die gevaarlijke ladingen over de Westerschelde vervoeren', aldus Houterman.
Zeeuws provinciehuis
Het Zeeuwse provinciehuis is verdeeld over twee locaties, ongeveer een kilometer van elkaar verwijderd. Daartussen liggen eigen dark fiber-verbindingen. Op de Middelburgse abdij werken zo'n 450 mensen, op de andere locatie ongeveer tweehonderd. Daarnaast zijn er nog wat kleinere plekken die gebruikmaken van adsl-lijnen. Alleen voor provinciale medewerkers die gehuisvest zijn in het gebouw van het waterschap in Breskens worden huurlijnen ingezet.
De provincie heeft een stuk of vijftig vlan's gedefinieerd voor zowel data als VoIP, waarvan enkelen ook op de firewall. 'Wij hebben de verschillende voorzieningen gescheiden en alle interne medewerkers op hetzelfde netwerk gekoppeld. Door de koppeling met Active Directory op de security gateway zijn de security policies aan de hand van gebruikersgroepen afgedwongen', zegt Houterman.
Zelf doen
Ict-partner Securelink vervult de rol van externe expert. Doelstelling is dat de provincie zoveel mogelijk zelf doet. 'Bij de configuratie van de security infrastructuur, bestaande uit Firewalls, SSL VPN appliances voor mobiele toegang en load balancers ten behoeve van applicatie beschikbaarheid, keken wij met de specialisten van SecureLink mee zodat wij de volgende keer zoveel mogelijk zelf kunnen uitvoeren', aldus Houterman.
vijftig vlan’s gedefinieerd….
Dat klinkt toch niet als “us bin zunig” want zo veel geeft een “aardige” administratieve overhead, verder draagt zo iets geheel niet bij aan beveiliging als dat de achterliggende gedachte zou zijn. Daarnaast is het geheel mutatiegevoelig geworden.
Wellicht toch eerst even een Vlan filosofietje maken en dan pas implementeren.