Firewall as a Service: flexibele firewall op een NFV-platform

Firewalls zijn onmisbare, maar rackspace verslindende apparaten die veel geld en tijd kosten. Kan dat niet anders, vroeg een aantal onderwijsinstellingen aan SURF. Daar zijn we ingedoken: momenteel ontwikkelen we Firewall as a Service, gebaseerd op netwerkfunctievirtualisatie (NFV). In september zijn we gestart met een pilot met instellingen.

In een blogreeks nemen we je mee in de beantwoording van de vraag ‘Hoe ziet Firewall as a Service er uit en wat kan het straks voor jouw instelling betekenen?’. In deze blog gaan we in op de achtergrond van de vraag naar Firewall-as-a-service en op de techniek waarmee we als SURF hier een invulling aan willen geven.

Firewalling kost veel tijd en energie

Bij grotere organisaties, zoals hogescholen en universiteiten, is de firewall meestal een flink apparaat. Dit vergt een grote investering, en vaak is zelfs een aanbesteding nodig. Organisaties schrijven een firewall in 4 tot 5 jaar af, en moeten dus bij aanschaf inschatten hoe de benodigde capaciteit zich in die tijd gaat ontwikkelen. Tussentijds opschalen kan vaak niet of is lastig. Installatie en onderhoud vereisen daarnaast behoorlijk wat specialistische kennis. Kortom: firewalling kost veel tijd en energie. Tijd en energie die instellingen liever steken in hun kerntaken: goed onderwijs en onderzoek.

Kan dat niet anders?

Daarom kwamen steeds meer instellingen de afgelopen jaren bij SURF met de vraag of dat niet anders kan. Reden om ons in dit onderwerp te verdiepen. Het idee van Firewall as a Service kwam al snel bovendrijven: wat nou als we de firewall als software kunnen aanbieden, draaiend op een generiek (virtualisatie)platform? Gewoon via de internetaansluiting die instellingen toch al hebben.

Zo’n firewall als onlinedienst is makkelijker schaalbaar, de onderwijsinstelling heeft er geen operationeel beheer en onderhoud aan, en een eventuele aanbesteding wordt door SURF gedaan.

Maar hoe maak je dat, Firewall as a Service? Met NFV!

We ontwikkelen deze virtuele firewall met netwerkfunctievirtualisatie (NFV). Met NFV kun je de fysieke hardwarecomponenten van een netwerk vervangen door een onbeperkt aantal virtuele, software gebaseerde componenten. NFV is daarmee een uitstekende manier om het netwerk flexibeler en beter schaalbaar te maken. NFV biedt de mogelijkheid functionaliteiten zoals routing, switching en firewalling te realiseren.

Sinds 2016 zijn we bezig met het bouwen van een experimenteeromgeving voor NFV. Deze experimenteeromgeving is ingericht met standaardservers die samen een NFV-cloud vormen. In deze cloud draaien de virtuele netwerkfuncties. We werken wel met specifieke netwerkkaarten die ervoor zorgen dat we met standaard hardware op hoge snelheid internetpakketten kunnen verwerken.

Na de experimentele fase hebben we de omgeving opnieuw ingericht om een productieomgeving na te bootsen. Nu gaan we in een pilot kijken of NFV een goede invulling kan geven aan een Firewall as a Service dienst voor de SURF-doelgroep.

Pilot met instellingen vanaf september

In september zijn we samen met 3 aangesloten instellingen gestart met de pilot. We kijken met deze pilot of de opzet schaalbaar is, naar behoren presteert, enzovoort. Met de ervaringen van deze instellingen kunnen we Firewall as a Service verder ontwikkelen en productierijp maken. Tegelijkertijd kijken we hoe we een NFV-platform (en dus Firewall as a Service) goed kunnen integreren in SURFnet8, de nieuwe generatie van het SURF-netwerk, speciaal ontwikkeld voor dit soort toepassingen.

Het doel is uiteindelijk om Firewall as a Service als dienst aan te bieden, beschikbaar voor alle bij SURF aangesloten instellingen. We weten nog niet hoe deze dienst er precies uit komt te zien. Dat zal ook afhangen van wat er uit de pilot komt, en welke wensen instellingen hebben, bijvoorbeeld voor wat betreft het licentiemodel.

Denk mee over Firewall as a Service

Ben je geïnteresseerd in Firewall as a Service en heb je ideeën over hoe de dienst eruit zou moeten zien? Heb je vragen over NFV? Laat het weten! Neem contact met mij op via eyle.brinkhuis@surfnet.nl.

Author

Comments

Dit artikel heeft 0 reacties