Het Grafisch Lyceum Rotterdam (GLR) is verreweg de grootste onderwijsinstelling op het gebied van media, design en technologie in de Benelux, met een populatie van bijna 4500 studenten. Binnen het Grafisch Lyceum Rotterdam bestond behoefte aan een robuuste en flexibele oplossing voor het beveiligen van de internettoegang vanaf diverse apparaten, zowel binnen de school als daarbuiten, en het optimaliseren van de beschikbare bandbreedte.
De it-infrastructuur van de school doet qua grootte en complexiteit niet onder voor die van veel grote bedrijven. De it-afdeling telt vijftien medewerkers. De afdeling is verantwoordelijk voor het beheer van drieduizend Mac- en Windows-desktops, zeshonderd Macbooks en vierhonderd overige laptops en tablets, verspreid over drie locaties en aangesloten op een glasvezelnetwerk. Als gevolg van het byod-beleid dat de school hanteert, moet de it-afdeling tevens beveiligde internettoegang kunnen bieden voor de duizenden mobiele apparaten die studenten en personeel zelf meebrengen. Binnen de school (on campus) zorgt een 1 Gbps-datalijn voor toegang tot het ssl-beveiligde vpn-netwerk. Daarnaast biedt deze datalijn ook internettoegang via Wi-Fi en ondersteuning voor VoIP- en betalingsterminals. Personeel en studenten beschikken bovendien over toegang tot het vpn-netwerk als ze zich niet binnen de school bevinden (of campus).
Andere uitdagingen
Het beheren en beveiligen van de internettoegang binnen een onderwijsinstelling als het Grafisch Lyceum Rotterdam biedt echter andere uitdagingen dan in een gecontroleerde zakelijke omgeving. Naast het feit dat het personeel van de onderwijsinstelling moet kunnen beschikken over beveiligde toegang tot webmail, Microsoft Sharepoint, servicesoftware en centraal opgeslagen bestanden, staat de it-afdeling tevens voor de opgave om studenten toegang te bieden tot netwerkintensieve softwareprogramma’s, zoals applicaties voor video- en fotobewerking en 3D-modellering, en tot lokale bestanden en het internet. Door het ontbreken van voldoende controlefuncties, steeg het bandbreedteverbruik binnen het netwerk van de school tot voor kort jaarlijks met 10 procent. Om op deze ontwikkelingen in te kunnen spelen, zou de school moeten investeren in het upgraden van de datalijn. Bovendien bleken personeel en leerlingen zich niet altijd bewust van de mogelijke veiligheidsrisico’s van hun internetgebruik. De school zocht dan ook naar een oplossing om de risico’s van malware, virussen en overige bedreigingen te minimaliseren.
De juiste functies
Om deze veiligheidsrisico’s aan te pakken, lanceerde het Grafisch Lyceum Rotterdam het project ‘Digitale Grenspost’. ‘We wilden een omgeving creëren waar, net zoals bij een fysieke grenspost, je identiteit en bagage worden gecontroleerd, maar dan wel zonder dat je daarvoor in de rij hoeft te staan. Daarvoor was een beveiligingsoplossing nodig die naadloos geïntegreerd kan worden en die kan ‘communiceren’ in de taal van de ‘reizigers’ die ons netwerk in- en uitgaan’, aldus Mark Pleunes, network engineer bij het Grafisch Lyceum Rotterdam.
Na het beveiligingsaanbod van diverse leveranciers te hebben vergeleken, koos het Grafisch Lyceum Rotterdam uiteindelijk voor firewalls uit de Supermassive 10-serie van Dell Sonicwall. ‘Onze voorkeur ging uit naar de Supermassive E10200 vanwege de mogelijkheden voor ‘deep packet’-inspectie in plaats van de steeksproefgewijze inspectie die we zagen bij firewalls van andere leveranciers’, zo licht Pleunes toe. ‘Daarnaast gaven ook de positieve beoordelingen van deze firewalls door NSS Labs voor ons de doorslag.’
Technische functionaliteit speelde echter niet de enige rol bij het nemen van de beslissing. De school vond het minstens even belangrijk dat de investering ook voordelen op de lange termijn zou opleveren. ‘De aanschaf van nieuwe firewalls is voor ons ook een investering in de toekomst’, aldus Pleunes. ‘Dankzij het schaalbare, ‘pay as you grow’-model kunnen we ook onze tco zo laag mogelijk houden. Mocht in de toekomst blijken dat we onze huidige bandbreedte van 1 Gbps moeten verhogen naar bijvoorbeeld 10 Gbps om te kunnen voorzien in onze behoeften, dan kunnen we onze Supermassive E10200-firewalls eenvoudig upgraden naar de Supermassive E10800-modellen en hoeven we geen nieuwe apparatuur aan te schaffen.’
Verbeterde prestaties en beveiliging
Nu de nieuwe firewalls geïnstalleerd zijn, kan de school het bandbreedteverbruik controleren en extra investeringen voorkomen. ‘Dankzij de effectieve Appcontrol-, torrent- en p2p-filters die we hebben geïnstalleerd, worden onze leerlingen minder snel afgeleid. Ze zijn per slot van rekening op school om te werken en te leren’, aldus Pleunes. ‘We zijn er zelfs in geslaagd het bandbreedteverbruik met 20 procent terug te dringen dankzij de functies voor applicatie-identificatie en-controle die onderdeel vormen van de Supermassive-firewalls. Doordat we het gemiddelde dataverbruik hebben kunnen terugbrengen van 750 Mbps tot 600 Mbps, werken de services die cruciaal zijn voor ons onderwijs nu nog beter en sneller. Normaal gesproken stijgt het bandbreedteverbruik jaarlijks met 10 procent. Dankzij de effectieve filterfuncties van de Supermassive-firewalls kunnen we het uitbreiden van onze 1 Gbps-datalijn voorlopig nog even uitstellen.
Het Grafisch Lyceum Rotterdam heeft met behulp van de next-generation firewalls uit de Supermassive-serie de internetbeveiliging aanzienlijk kunnen verbeteren. ‘We hebben qua beveiligingsfuncties voor vrijwel alle ’toeters en bellen’ gekozen: poortbeveiliging, contentfiltering, antivirussoftware, ips en applicatiecontrole’, zo laat Pleunes weten. ‘De Supermassive-firewalls beschermen ons inkomende en uitgaande e-mail- en internetverkeer en de informatieuitwisseling via Biztalk en Sharepoint.’
De school heeft de beveiliging nog verder uitgebreid door het toepassen van Dell Sonicwall’s Global Management System (GMS). Met deze webapplicatie kunnen firewalls en andere netwerkapparatuur worden beheerd en gemonitord. ‘Dankzij GMS kunnen we direct ingrijpen zodra een virus of malware wordt gedetecteerd en de besmette machine snel opsporen’, aldus Pleunes. ‘Bovendien zijn troubleshooting en herstelacties uiterst eenvoudig en ook nog eens in real-time uit te voeren dankzij de visuele interface.’
