SURF doet onderzoek naar Firewall as a Service bij hbo-instellingen: start pilot

In mijn vorige blog onderzochten we de verschillende mogelijke servicevarianten van Firewall as a Service. Ik besprak de Do-it-Yourself, Basic en Managed Firewall. Een onlangs uitgevoerde enquête binnen de mbo-sector liet zien dat de Basic Firewall voor deze sector de meest kansrijke servicevariant is. Maar hoe zit dat binnen de hbo-sector? In dit blog presenteren we de uitkomsten van de enquête en interviews die we binnen het hbo hebben afgenomen. En laten we zien hoever we zijn met de dienstontwikkeling van Firewall as a Service.

In de enquête vroegen we naar het gebruik en beheer van een firewall. Welke zaken spelen er omtrent beheer, is dat uitbesteed of is de kennis in huis? En hoe zit dat met aankoop, welke voorwaarden spelen dan een rol?

De belangrijkste resultaten van het onderzoek binnen de hbo-sector

  • 12 respondenten vulden de enquête in.
  • 84% van de respondenten wil op het gebied van firewalling niet alles zelf doen.
  • 40% ziet bij de uitbesteding van firewalling op tegen het aanbestedingstraject.
  • 60% wil dat bij uitbesteding het beheer wordt gedaan.
  • 30% wil bij uitbesteding flexibel kunnen schalen op capaciteit.
  • 60% wil bij uitbesteding flexibel kunnen schalen op functionaliteit.
  • Niemand (0%) wil bij uitbesteding zelf updates doen.
  • 50% vindt het belangrijk om zelf het beleid te bepalen.
  • 20% vindt het merk van de firewall belangrijk.
  • 90% wil bij uitbesteding vooral aandacht voor veilig internet.

Managed Firewall het meest kansrijk

Op basis van de respons blijkt dat hbo-instellingen in vergelijking met de mbo-sector veilig internet belangrijker vinden (90% tegenover 68%). En dat ze meer openstaan om controle op beleid los te laten (50% tegenover 78%). De conclusie is dus dat hbo-instellingen een grotere voorkeur hebben voor Managed Firewall dan mbo-instellingen.

Instellingen gebruiken 2 of meer firewalls

De interviews toonden aan dat de hbo-instellingen vaak twee of meer firewalls binnen de campus gebruiken: één voor het externe netwerk en één voor het interne netwerk. Voor veel hbo-instellingen is het logisch dat de firewall die de externe connectiviteit beveiligt, is geïntegreerd met de connectiviteit die SURF aanbiedt. De interne firewall, die binnen het instellingsnetwerk vaak bij het datacenter zit, is de verantwoordelijkheid van de instellingen. Voor andere instellingen is de SURF Firewall as a Service alleen interessant op het moment dat beide (externe en interne) firewallfunctionaliteiten daarin worden meegenomen.

Extern & intern

De SURF Firewall-as-a-Service zal in eerste instantie alleen extern draaien. Bij een interne firewall komen veel andere technische en organisatorische aspecten kijken, we betreden hier immers het domein van de instelling zelf. Samen met de instellingen zoeken we uit hoe en of we Firewall as a Service kunnen uitbreiden zodat we ook kunnen voorzien in de interne beveiliging van een instellingsnetwerk.

Hardware-firewall

Om snel te voldoen aan de vraag van de instellingen, beginnen we het dienstontwikkelingstraject op basis van een hardware-firewall. Om de capaciteit van de hardware-firewall zo (kosten)efficiënt mogelijk in te zetten, maken meerdere instellingen gebruik van dezelfde hardware-firewall. Uiteraard allemaal in hun eigen beveiligingsdomein. Op het moment dat instellingen meer capaciteit en functionaliteit nodig hebben, breiden we het hardware-platform uit. Op deze manier kunnen instellingen hun firewallcapaciteit laten schalen via SURF. En besparen ze op dure hardware-investeringen die vaak geschaald worden op capaciteit en functionaliteit voor vijf of tien jaar gebruik.

Pilot van start

We zijn gestart met een pilot om de dienstverlening van Firewall as a Service te toetsen en het technische ontwerp te evalueren. Tijdens de pilot willen we leren hoe de aansluiting van de servicevarianten in de praktijk werkt en hoe het samenwerkingsmodel met partners en leveranciers eruitziet. Verder kijken we wat de acceptatiegraad van deze oplossing voor de instellingen is, wat de gewenste vorm van rapportages is en hoe de kennis van SURFcert gebruikt kan worden om deze dienst te verbeteren. De pilot loopt van september tot en met december in 2019. Zes instellingen uit verschillende sectoren hebben al aangegeven mee te willen doen met de pilot.

NFV-ontwikkelingen blijven volgen

Ons oorspronkelijke idee was om met netwerkfunctievirtualisatie (NFV) invulling te geven aan deze dienst. Na veel experimenten bleek deze technologie nog niet volwassen genoeg om aan onze ambitie te voldoen. We zien echter dat de ontwikkelingen hier snel gaan. We blijven dan ook veel energie steken in de ontwikkeling van een NFV-infrastructuur. Dit om zo snel mogelijk de voordelen in de schaalbaarheid te kunnen benutten.

Ook voor jouw instelling? Neem contact op!

 Ons onderzoek voerden we uit binnen het mbo en hbo, maar we komen ook graag in contact met universiteiten, umc’s en onderzoeksinstellingen. Denk je dat Firewall as a Service ook voor jouw instelling iets kan betekenen? Wil je hierover een keer van gedachten wisselen? Of ben je benieuwd naar de pilot? Laat het dan aan ons weten, we bespreken dit graag met je. Neem contact op via e-mailadres richa.malhotra@surfnet.nl.

Author

Comments

Dit artikel heeft 0 reacties