Projekt

NASK garant sicherer Breitband-Internetzugang für 25.000 Schulen

Ein Projekt des Nationalen Bildungsnetzwerks in Polen

Das Nationale Bildungsnetzwerk Polens (OSE) hat sich verpflichtet, einen sicheren Breitband-Internetzugang für über 25.000 Schulen an 19.500 Orten in Polen zu schaffen. 2017 hatten lediglich 10 Prozent der polnischen Schulen einen Internetzugang, der die Anforderungen für digitalen Unterricht erfüllt. Andere Institutionen waren entweder gar nicht oder nur in äußerst begrenztem Umfang in der Lage, Netzwerkressourcen zu nutzen.

Das OSE1-Projekt wurde geschaffen, um den Zugang zu Online-Lehrmitteln zu verbessern und digitale Ausgrenzung flächendeckend zu beenden. Entwickelt wurde dieses Programm im Rahmen des Nationalen Bildungsnetzwerkgesetzes gemeinsam vom polnischen Ministerium für Digitalisierung und dem polnischen Bildungsministerium. Im Gesetz ist außerdem das Nationale Forschungsinstitut (NASK) als Betreiber bzw. Verwaltungsorgan des OSE vorgegeben.

Die Gewährleistung der Sicherheit für ein derart umfangreiches Netzwerk war eine besonders komplexe Aufgabe. Das OSE sollte ein öffentliches Telekommunikationsnetzwerk auf der Grundlage der bestehenden Breitbandinfrastruktur sein, das im Rahmen einer gewerblichen Investition entwickelt und mit öffentlichen Geldern subventioniert wurde. Das Netzwerk sollte Zugang zum Hochgeschwindigkeitsinternet für Lehrer(innen) und Schüler(innen) in über 80 Prozent der polnischen Schulen bieten. Damit sollte eine hohe Datenverkehrsdichte von Millionen Endgeräten einhergehen.

Die Herausforderung

In der Entwicklungsphase wurden diverse Szenarien für die Bereitstellung von Sicherheitsdienstleistungen im OSE-Netzwerk analysiert. Das reichte von einem Modell, bei dem alle Sicherheitsfunktionen per CPE-Übertragung an den Endgeräten stattfanden, bis zu einem Szenario, in dem der Datenverkehr in einem der 16 Knoten aus ganz Polen analysiert wurde. Nach Marktkonsultationen und monatelangen Analysen wurde das letztgenannte Modell ausgewählt und durch 3 weitere Backboneknoten ergänzt, um die Dienste zu unterstützen, die vom OSE-Netzwerk im Internet angeboten werden. Durch die Entscheidung zugunsten dieses Systems war es notwendig, die Sicherheitssysteme auf ein Niveau anzuheben, das Datenverkehr über 1 Tbit/s ermöglicht. Im Verlauf der technischen Gespräche wurden verschiedene Optionen für solche Datenverkehrsdienste erörtert. Allerdings waren viele Anbieter nicht in der Lage, die Anforderungen für derart hochwertige Sicherheitsdienstleistungen erfüllen, was eine der Prioritäten bei diesem Projekt ist. Dennoch wurde ständig nach Lösungen gesucht, um hochwertige Dienste zu finden, die sich mit dem Umfang des Projekts kombinieren lassen.

Parallel zu den Designaktivitäten fand ein Pilotprogramm statt, mit dem die Merkmale des von den Bildungseinrichtungen generierten Netzwerkverkehrs identifiziert werden sollten. Entsprechend den Prognosen eines Teams von Architekten würde ein wesentlicher Teil des Internetverkehrs aus webbasierter Kommunikation bestehen, die von HTTP/HTTPS-Protokollen unterstützt wird. Aus den gesammelten statistischen Daten geht hervor, dass der Anteil an verschlüsseltem Datenverkehr über das geplante Netzwerk über 80 Prozent des gesamten Datenverkehrs ausmachen würde.

Testergebnisse zeigen, dass angesichts des hohen Anteils an verschlüsseltem Datenverkehr über das geplante Netzwerk eine SSL/TLS-Verkehrsüberwachung notwendig wäre. Das ist eine Voraussetzung, um Bedrohungen entdecken und Content beim Zugriff aufs Internet angemessen filtern zu können. Auf diese Weise wird auch die hohe Qualität von Sicherheitsdienstleistungen für Schulnetzwerke gewährleistet. Die Verschlüsselung findet für Datenverkehr in beide Richtungen statt, was die Analyse von Anfragen und Content ermöglicht, die über das Netzwerk gesendet werden. Die Umsetzung des Verschlüsselungsprozesses über das Netzwerk des Betreibers wurde mit verschiedenen technischen und organisatorischen Herausforderungen in Verbindung gebracht. Die größte organisatorische Herausforderungen war die Verteilung von Zertifikaten an alle Geräte, die an das OSE-Netzwerk angeschlossen sind.

Education project in Poland

Größte technische Herausforderung

Die größte technische Herausforderung war der Umfang des Datenverkehrs, der einer Verschlüsselung unterliegt, sowie die Differenzierung von Content, der nicht analysiert werden soll, zum Beispiel Datenverkehr mit Banken-, medizinischen und anderen Portalen. Die geschätzte Menge des zu analysierenden OSE-Datenverkehrs belief sich auf mehr als 1 Tbit/s. Die Grundausstattung des Sicherheitssystems des Netzwerks bestand aus einer Next Generation Firewall (NGFW) und einem Secure Web Gateway (SWG). Allerdings gibt es auf dem Markt keine derartigen Geräte, die eine solche Bandbreite unabhängig bearbeiten könnten, wenn alle benötigten Sicherheitsmechanismen angewendet werden. Das bedeutet, dass für eine angemessene Entschlüsselung, Analyse und Wiederverschlüsselung des Datenverkehrs eine hohe Zahl an NGFW und SWG benötigt wird. Das würde die Komplexität des Sicherheitssystems sowie die Kosten für Beschaffung und Instandhaltung in die Höhe treiben.

Um sich dieser Herausforderung zu stellen, wurden zwei Verfahren für die Lastverteilung zwischen den Geräten der Sicherheitsinfrastruktur in Betracht gezogen. Beim ersten Verfahren handelt es sich um ein ECMP-Protokoll, das auf Routern läuft, die auf das OSE-Netzwerk verteilt sind. Leider haben Anbieter von Netzwerklösungen im Verlauf der Gespräche mit der Industrie auf wesentliche Unterschiede bei der Umsetzung dieses Protokolls hingewiesen. Manche dieser Unterschiede, wie eine mangelnde Verknüpfung zwischen ein- und ausgehendem Datenverkehr an/von einem bestimmten Benutzer eines spezifischen Gerätes mit SSL/TLS-Entschlüsselung (keine vollständige TCP-Sitzungssichtbarkeit), verhinderten die Bereitstellung aller Sicherheitsdienstleistungen im OSE-Netzwerk. Das genannte Beispiel sorgt dafür, dass das genannte Gerät nicht in der Lage ist, den SSL/TLS-Datenverkehr zu überwachen, obwohl dies eine der Grundlagen des vorgenannten Projekts ist.

Die tatsächliche Anforderung zur Übertragung der SSL/TLS-Verkehrsüberwachung von Systemen der SWG- und NGFW-Klasse auf externe Geräte wurde von dem Wunsch getragen, die Nutzung von Hardwareressourcen in den Sicherheitssystemen zu optimieren. Für die Nutzung von NGFW- und SWG-Systemen ist es außerdem notwendig, den Datenfluss an die einzelnen Geräte zu überwachen, d.h. den Datenverkehr zu teilen. Um eine effektive Überwachung zu gewährleisten, ist es notwendig, die aktuelle Belastung der einzelnen Geräte zu kennen und zu wissen, dass die Router diese Datenmenge nicht bewältigen konnten.

Angesichts der vorgenannten Überlegungen wurde das ECMP-Protokoll nicht länger verwendet. Im zweiten Modell war vorgesehen, dass ADC-Geräte (Application Delivery Controller) in das OSE-Netzwerk integriert werden. Nach einer ähnlichen Analyse wie beim ersten Modell wurde festgestellt, dass alle führenden Produkte in dieser Klasse in der Lage waren, die architektonischen und funktionalen Ziele des OSE-Netzwerkprojekts zu erfüllen. Darüber hinaus bieten ADC-Produkte Flexibilität im Hinblick auf Netzwerk- und Datenverkehr-Engineering, was ein weiterer Vorteil ist. Ein ADC-Gerät teilt den gesamten eingehenden Datenverkehr intelligent auf. Es ist das erste Gerät im Sicherheitssystem und kontrolliert die weitere Verteilung des Datenflusses. Die vorstehenden Argumente waren für die Wahl dieses Modells entscheidend.

Es folgt die definitive Anordnung der Knoten, die Application Delivery Controller, SSL Orchestrator sowie NGFW- und SWG-Produkte umfassen.

NASK customer case Poland

Mögliche Lösungen

Aus dem vorstehenden Konzept ergaben sich funktionalen Anforderungen an die einzelnen Komponenten des OSE. Später kam noch eine Ausschreibung für eine Sicherheitsstruktur, die mit ADC, SSLO, NGFW und DNS Firewall-Systemen kompatibel ist. Nachdem der vorteilhafteste Kostenvoranschlag in der Ausschreibung ausgewählt wurde, wurden auf F5-Technologie basierende ADC- und SSLO-Lösungen ausgewählt. In diesem Zusammenhang wurden die folgenden Prämissen berücksichtigt:

  • die beste Quote an SSL-Transaktionen pro Sekunde (Leistung bei Entschlüsselung und Wiederverschlüsselung von Datenverkehr) im Zusammenhang mit den physischen Abmessungen der Geräte sowie ihre Gesamtzahl. Die OSE-Netzwerkknoten hatten vorab definierte Höchstleistungswerte (kW) und Rack-Fläche im Serverschrank.
  • Die benötigte Leistung der Application Delivery Controller sowie die Möglichkeit, Datenverkehr für eine Bandbreite über 200 Gbit/s in regionalen Knoten zu überwachen.
  • Die benötigte Flexibilität der Application Delivery-Geräte für entschlüsselten und unverschlüsselten Datenverkehr, einschließlich Umsetzung von Entschlüsselungsausnahmen, die entweder auf Vorschriften für den Schutz personenbezogener Daten oder auf einer Entscheidung der autorisierten Mitarbeiter basieren.
  • Umfassender Schutz von OSE-Netzwerkanwendungen gegen externe Angriffe durch Nutzung einer Web Application Firewall.
  • Bereitstellung von sicherem Fernzugriff für OSE-Netzwerkadministratoren oder externe Auftragsverarbeiter über SSL- und VPN-Technologie.
  • Die benötigte Integration in die Wartungsumgebung.

„Die Nutzung von Application Delivery Controller und SSL Orchestrators wirkte sich positiv auf die Simplizität des gesamten OSE-Sicherheitssystems und seine Wirksamkeit aus“, erklärte Krzysztof Chwedorczuk, Leiter des NASK Security Services Teams. „F5-Lösungen sind äußerst kompatibel mit anderen Sicherheitskomponenten und einer der grundlegenden Bausteine für den Erfolg des polnischen Nationalen Bildungsnetzwerks. Die Umsetzung der F5-Technologie dauerte 5 Monate, was angesichts der Komplexität des Projekts ein hervorragendes Ergebnis ist.“ Krzysztof Chwedorczuk fügt hinzu: „Das OSE ist um kontinuierliche Weiterentwicklung bemüht, allerdings hatten wir bisher noch keine Probleme im Hinblick auf die Lastenverteilung in den Knoten oder mit der Datenverkehrsanalyse, und wir erwarten auch keine Probleme.“

Zusammenfassung

Branche

  • Bildung

Geschäftliche Herausforderungen:

  • Bereitstellung eines sicheren Breitband-Internetzugangs für über 25.000 Schulen an 19.500 Standorten in Polen.

Technische Lösung:

  • F5 Local Traffic Manager
  • F5 Application Security Manager
  • F5 Access Policy Manager
  • F5 SSL Orchestrator
  • F5 VIPRION Series Platforms

Geschäftliche Resultate:

  • Sicherer Fernzugriff für OSE-Netzwerkadministratoren oder externe Auftragsverarbeiter über SSL- und VPN-Technologie.
  • Umfassender Schutz von OSE-Netzwerkanwendungen gegen externe Angriffe durch Nutzung einer Web Application Firewall.

Lassen Sie uns gemeinsam loslegen

Sprechen Sie mit einem Branchenexperten. Rufen Sie uns an oder hinterlassen Sie eine Nachricht. Unser Team ist bereit für Ihre Anforderungen.

Brauchen Sie Hilfe bei Ihrem Projekt?

Nehmen Sie Kontakt mit uns auf

Rufen Sie an oder hinterlassen Sie eine Nachricht. Unser Team freut sich darauf, Ihr Unternehmen unterstützen zu dürfen.

Nachricht hinterlassen Jetzt anrufen

Diese Seite teilen: