Firewall-as-a-Service-dienst?

Eerder schreef collega Eyle over de Firewall-pilot waarbij we onderzoeken met welke technologieën we Firewall-as-a-Service mogelijk kunnen maken. Maar wat is nu precies de behoefte van instellingen op dit gebied? Inmiddels hebben we onderzoek gedaan onder mbo-instellingen en gaan dit ook toetsen bij hbo-instellingen.

In eerste instantie hebben we 8 instellingen bezocht. Uit deze gesprekken kunnen we concluderen dat er verschillende behoeften leven voor een Firewall-as-a-Service-dienst. De uitbestedingsstrategie van de instellingen speelt hierbij een belangrijke rol. De 3 varianten die we grofweg kunnen onderscheiden, zijn:

Managed Firewall

Een instelling die graag alles uitbesteedt, heeft het liefst een Firewall waarbij de verantwoordelijkheid voor beheer, security-advies en een vertaling daarvan in uitvoering bij SURF ligt. Hier is er een behoefte aan een Managed Firewall.

Basic Firewall

Instellingen die open staan voor uitbesteding, maar niet per se een duidelijke strategie hiervoor hebben, bepalen meestal per-case of ze een dienst van SURF afnemen. De Firewall-dienst moet dan voldoende toegevoegde waarde bieden en zou niet duurder moeten zijn dan hun huidige oplossing. De toegevoegde waarde zien ze in beheer en het flexibel kunnen opschalen van capaciteit en functionaliteit. Ook willen ze security-advies van SURF, maar wel zelf de regie houden op de security policies en de uitvoering daarvan. Ze zeggen: “We krijgen veel securityadvies van marktpartijen maar weten niet of we ze kunnen vertrouwen”. Wat betreft policy willen deze instellingen zelf aan het roer staan, want er zitten veel afhankelijkheden met hun interne netwerk, diensten en applicaties waar SURF op dit moment geen rol in speelt. Een Basic Firewall, een ‘first line of defense’, kan hier een oplossing bieden. Een andere use-case die we gehoord hebben, is de wens om een deel van de functionaliteit of capaciteit van een instellingsfirewall te off-loaden naar een Firewall van SURF.

Do-it-Yourself Firewall

Ook zijn er instellingen die het liefst alles zelf willen blijven doen en dus ook het inrichten en beheer van een Firewall. Ze hebben security expertise en beheerders in-house. Voor deze instellingen is een Do-it-Yourself (DIY) Firewall geschikt. Deze kunnen ze zelf inrichten en beheren, en tegelijkertijd zijn ze dan af van de aanbestedingslast en vendor lock-in. Zo kunnen ze naar pay-per-use gebruiksmodellen toe.

Tabel met mogelijke servicevormen FaaS
Mogelijke servicevormen FaaS

Veilig internet

We peilden ook wat instellingen verstonden onder ‘veilig internet’. De gemene deler is dat het om gefilterd internet gaat dat bestaande en mogelijke bedreigingen tegenhoudt. Maar hoe en tot hoe ver de filtering plaats moet vinden, en wie hierover regie en controle uitvoert, verschilt per instelling.

Overzicht met kernbegrippen over veilig internet
Veilig internet

Kwantitatief onderzoek

Om een betrouwbare uitspraak te kunnen doen over de wensen en behoeften van (alle) instellingen was er een breder onderzoek nodig. Daarom hebben we de inzichten uit dit kwalitatieve onderzoek gebruikt in een kwantitatief onderzoek, een enquête, onder (in eerste instantie) de mbo-instellingen, de sector waar de vraag oorspronkelijk vandaan kwam. Doel van dit onderzoek was om inzicht te krijgen in welke servicevariant het meest kansrijk is en bij voldoende interesse te komen tot een (mogelijk) nieuwe dienst.

De belangrijkste resultaten van het onderzoek binnen de mbo-sector:

  • 25 respondenten (van de 43) hebben de enquête ingevuld.
  • 88% van de respondenten wil op het gebied van firewalling niet alles zelf doen.
  • 41% ziet bij de uitbesteding van firewalling op tegen het aanbestedingstraject.
  • 73% wil dat bij uitbesteding het beheer wordt gedaan.
  • 68% wil bij uitbesteding flexibel kunnen schalen op capaciteit.
  • 81% wil bij uitbesteding flexibel kunnen schalen op functionaliteit.
  • Slechts 18% wil bij uitbesteding zelf updates doen.
  • Slechts 10% wil bij uitbesteding zelf licenties verzorgen.
  • 78% vindt het belangrijk om zelf de policy te bepalen.
  • 68% wil bij uitbesteding met name aandacht voor veilig internet.

Basic Firewall meest kansrijk

Naar aanleiding van de interviews hadden we verwacht dat de meeste mbo-instellingen totaal ontzorgt willen worden. Uit de resultaten van de enquête blijkt echter dat ze toch nog zelf controle willen houden als het gaat om zaken als securitybeleid. Daarom verwachten we dat op dit moment de Basic Firewall het meest kansrijk is binnen de mbo-sector. De uitvoering daarvan laten ze graag over aan SURF. Veilig internet is daarbij een belangrijk aandachtspunt en kan meegenomen worden in het toekomstige doorontwikkelingstraject van deze dienst.

Hoe nu verder?

Met de inzichten uit dit onderzoek willen we toetsen of de behoeftes in het hbo en daarna de andere sectoren vergelijkbaar zijn met die in het mbo of juist heel anders zijn. Ondertussen gaan we door met de pilot om in ieder geval technisch verder te onderzoeken welke technologie het meest passend en geschikt is om een Firewall-as-a-Service-dienst te kunnen bouwen en vormgeven.

Wil je meer weten over Firewall-as-a-Service of heb je ideeën en wensen over hoe de dienst eruit zou moeten zien? Of ben je een geïnteresseerde uit een andere sector, zoals een universiteit, onderzoeksinstelling of een zorginstelling? Neem dan contact met mij op via emailadres richa.malhotra@surfnet.nl

Auteur

Reacties

Dit artikel heeft 0 reacties