Jak zapewnić bezpieczeństwo w sieci w 25 tysiącach szkół objętych projektem Ogólnopolskiej Sieci Edukacyjnej?

Projekt Ogólnopolskiej Sieci Edukacyjnej (OSE) zakłada wygenerowanie dostępu do bezpiecznego szerokopasmowego Internetu dla ponad 25 tysięcy szkół w 19,5 tysiącach lokalizacji w Polsce. W 2017 roku tylko 10 procent polskich szkół miało dostęp do Internetu o parametrach, które umożliwiają wykorzystywanie go do procesów dydaktycznych. Pozostałe placówki albo wcale nie mogły korzystać z zasobów sieci, albo mogły to robić w sposób bardzo ograniczony.

W celu zwiększenia dostępu do dydaktycznych źródeł online oraz likwidacji obszarów wykluczenia cyfrowego powstał projekt OSE1. Program został zaprojektowany przez Ministerstwo Cyfryzacji we współpracy z Ministerstwem Edukacji Narodowej na mocy Ustawy o Ogólnopolskiej Sieci Edukacyjnej. Ustawa wskazuje również Operatora OSE, czyli organ zarządzający, którym został NASK PIB. Zapewnienie bezpieczeństwa dla tak dużej sieci było szczególnie złożonym projektem. OSE miało być publiczną siecią telekomunikacyjną, opartą o istniejącą infrastrukturę szerokopasmową wybudowaną w ramach inwestycji komercyjnych oraz dofinansowanych ze środków publicznych. Sieć miała zapewnić dostęp do szybkiego Internetu nauczycielom i uczniom z ponad 80 procent polskich szkół. Oznaczało to ruch o wielkim natężeniu z milionów urządzeń końcowych.

Problem / Wyzwanie

W fazie projektowej przeanalizowano różne scenariusze dostarczenia usług bezpieczeństwa do sieci OSE. Począwszy od modelu, w którym wszystkie funkcje bezpieczeństwa realizowane są na urządzeniach końcowych, przez dostarczenie ich na CPE, aż do scenariusza, w którym ruch analizowany jest w 16 węzłach rozlokowanych po całej Polsce. Po konsultacjach z rynkiem i miesiącach analiz wybrano ten ostatni model dokładając do niego 3 dodatkowe węzły szkieletowe do obsługi usług wystawianych przez sieć OSE do Internetu. Wybór tego modelu spowodował konieczność wyskalowania systemów bezpieczeństwa do poziomu umożliwiającego obsługę ruchu przekraczającego 1 Tbps. W trakcie dialogu technicznego rozpatrywano różne opcje obsługi takiego ruchu, ale wysoka jakość usług bezpieczeństwa, która jest jednym z priorytetów tego projektu powodowała, że wielu dostawców nie było w stanie sprostać przedstawionym wymaganiom. Jednak pomimo tego, konsekwentnie szukano rozwiązań umożliwiających połączenie wysokiej jakości usług ze skalą projektu.

Równolegle do prac projektowych prowadzono pilotaż umożliwiający poznanie charakterystyki ruchu sieciowego generowanego przez placówki edukacyjne. Zgodnie z przewidywaniami zespołu architektów, znaczną część ruchu sieciowego stanowiła komunikacja webowa realizowana w oparciu o protokoły HTTP / HTTPS. Zebrane statystyki pozwoliły zaobserwować, że udział ruchu szyfrowanego w projektowanej sieci stanowić będzie ponad 80 procent całości obsługiwanego ruchu.

Wyniki badań pokazały, że w związku ze znacznym udziałem ruchu szyfrowanego w projektowanej sieci, konieczne jest wykonanie intercepcji ruchu SSL/TLS. Jest to warunkiem wychwycenia zagrożeń, jak i właściwego filtrowania treści przy dostępie do Internetu, a przez to zapewnienia wysokiej jakości usług bezpieczeństwa dostarczanych dla sieci szkolnych. Deszyfracja wykonywana jest na ruchu przesyłanym w obu kierunkach, co pozwala na analizę zapytań i treści przesyłanych w sieci. Implementacja procesu deszyfracji w sieci operatora wiązała się z wieloma wyzwaniami technicznymi i organizacyjnymi. Największym wyzwaniem organizacyjnym była dystrybucja certyfikatów na wszystkie urządzenia podłączone do sieci OSE.

Największym wyzwaniem technicznym była skala ruchu, który miał być poddany deszyfracji oraz rozróżnienie treści, które nie powinny być analizowane, na przykład ruch do portali bankowych, medycznych i innych. Szacowana wielkość ruchu w ramach OSE, która miała zostać poddana analizie, wynosiła ponad 1 Tbps. Podstawowymi urządzeniami w ramach systemu bezpieczeństwa sieci były systemy Next Generation Firewall (NGFW) oraz Secure Web Gateway (SWG). Nie istnieją jednak na rynku tego rodzaju urządzenia, które potrafiłyby samodzielnie zaadresować tak dużą przepustowość w przypadku zastosowania wszystkich koniecznych mechanizmów bezpieczeństwa. Oznacza to, że trzeba wykorzystać dużą liczbę NGFW i SWG, aby odpowiednio deszyfrować, analizować i ponownie szyfrować ruch. To zwiększałoby skomplikowanie układu bezpieczeństwa, koszty jego zakupu i utrzymania.

Celem zaadresowania tego wyzwania rozważano dwa sposoby równoważenia obciążenia na urządzenia pracujące w ramach Infrastruktury bezpieczeństwa. Pierwszym z nich było wykorzystanie protokołu ECMP działającego na routerach rozlokowanych w sieci OSE. Niestety w trakcie rozmów z rynkiem ujawnione zostały znaczące różnice w implementacji tego protokołu przez dostawców sprzętu sieciowego. Niektóre z nich, takie jak np. brak powiązania ruchu przychodzącego i wychodzącego od/do danego użytkownika z konkretnym urządzeniem wykonującym deszyfracji ruchu SSL/TLS (brak widoczności pełnej sesji TCP), uniemożliwiały zapewnienie realizacji wszystkich usług bezpieczeństwa w sieci OSE. Podany przykład powoduje, że wskazane urządzenie nie jest w stanie wykonać intercepcji ruchu SSL/TLS, co było jednym z pryncypiów projektu opisanym powyżej.

Sam wymóg przeniesienia procesu intercepcji ruchu SSL/TLS z systemów klasy SWG i NGFW do zewnętrznych urządzeń, podyktowany był dążeniem do optymalizacji wykorzystania zasobów sprzętowych na systemach bezpieczeństwa. Ponadto, przy zastosowaniu zestawów NGFW i SWG, trzeba sterować przepływem danych do każdego urządzenia, czy innymi słowy dzielić ruch. Aby sterowanie było efektywne, potrzebna jest wiedza o bieżącym obciążeniu każdego urządzenia, a wiedzy tej routery nie były w stanie konsumować.

W związku z powyższymi przesłankami zrezygnowano z wykorzystania protokołu ECMP. Drugi model zakładał wprowadzenie do sieci OSE urządzeń klasy ADC (Application Delivery Controller). Po przeprowadzeniu analogicznej analizy, jak w poprzednim przypadku oceniono, że wszystkie wiodące produkty tej klasy umożliwiają realizację założeń architektonicznych i funkcjonalnych projektu sieci OSE. Ponad to produkty ADC dają elastyczność w inżynierii ruchu w sieci, co było dodatkowym atutem. ADC inteligentnie dzieli cały ruch przychodzący. Jest pierwszym urządzeniem
systemu zabezpieczeń i to on steruje dalszym rozłożeniem przepływu danych. Powyższe argumenty zdecydowały o wyborze niniejszego modelu.


Poniżej przedstawiono ostateczny kształt węzłów zawierających produkty Application Delivery Controllera, SSL Orchestratora oraz NGFW i SWG:

Rozwiązanie

Przedstawiona powyżej koncepcja doprowadziła do wyspecyfikowania wymagań funkcjonalnych na każdy z komponentów sieci OSE, a później do przetargu na infrastrukturę bezpieczeństwa obejmującego swym zakresem systemy klasy ADC, SSLO, NGFW i DNS Firewall. Po wyborze najkorzystniejszej oferty w postępowaniu konkurencyjnym, wybrano rozwiązania ADC i SSLO bazujące na technologii F5. Zostało to podyktowane następującymi przesłankami:

  • najlepszy stosunek liczby transakcji SSL na sekundę (wydajności deszyfrowania i ponownego szyfrowania ruchu)
    do fizycznych rozmiarów urządzeń i co za tym idzie ich sumarycznej ilości. Węzły sieci OSE miały z góry określone
    maksymalne wartości, co do mocy (kW) i miejsca zajmowanego w szafie rack.
  • wymagana wydajność Application Delivery Controllerów oraz możliwość sterowania ruchem dla przepustowości
    powyżej 200Gbps w węzłach regionalnych
  • wymagana elastyczność urządzeń Application Delivery w sterowaniu ruchem zarówno deszyfrowanym, jaki
    nieszyfrowanym, w tym realizacja wykluczeń deszyfracji, które wynikają bądź z przepisów o ochronie danych osobowych,
    bądź z decyzji osób upoważnionych.
  • kompleksowa ochrona aplikacji udostępnianych z sieci OSE przed atakami z zewnątrz realizowana z wykorzystaniem
    systemu Web Application Firewall
  • umożliwienie bezpiecznego, zdalnego dostępu dla administratorów sieci OSE oraz zewnętrznych firm współpracujących
    wykorzystując technologię SSL VPN
  • wymagana integracja ze środowiskiem utrzymaniowym

Zastosowanie Application Delivery Controllera oraz SSL Orchestratorów zwiększyło jednocześnie prostotę całego systemu bezpieczeństwa OSE i jego wydajność mówi Krzysztof Chwedorczuk, Kierownik Zespołu Usług Bezpieczeństwa w NASK – rozwiązania F5 świetnie współgrają z pozostałymi elementami zabezpieczeń i stanowią jeden z podstawowych budulców sukcesu Ogólnopolskiej Sieci Edukacyjnej. Wdrożenie technologii F5 trwało 5 miesięcy, co przy tak złożonym projekcie jest świetnym wynikiem dodaje Krzysztof Chwedorczuk – OSE cały czas się rozwija, ale dotychczas nie mamy i nie spodziewam się problemów z równoważeniem obciążenia w węzłach i analizą ruchu.

Case Study w formie PDF dostępne tutaj:

Pobierz 

Streszczenie

Branża

  • Edukacja

Wyzwanie biznesowe:

  • Wygenerowanie dostępu do bezpiecznego szerokopasmowego Internetu dla ponad 25 tysięcy szkół w 19,5 tysiącach lokalizacji w Polsce.

Rozwiązanie technologiczne:

  • F5 Local Traffic Manager
  • F5 Application Security Manager
  • F5 Access Policy Manager
  • F5 SSL Orchestrator
  • Platformy F5 VIPRION, iSeries

Wyniki biznesowe:

  • Bezpieczny, zdalny dostęp dla administratorów sieci OSE oraz zewnętrznych firm współpracujących
    wykorzystując technologię SSL VPN
  • Kompleksowa ochrona aplikacji udostępnianych z sieci OSE przed atakami z zewnątrz realizowana z wykorzystaniem
    systemu Web Application Firewall

Kontakt handlowy

Porozmawiaj z ekspertem branżowym. Zadzwoń do nas lub zostaw wiadomość. Nasz zespół jest gotowy na twój biznes.

Udostępnij tę stronę:

Ta witryna korzysta z plików cookie. Kontynuując przeglądanie tej witryny, wyrażasz zgodę na stosowanie przez nas plików cookie. Kliknij tutaj, aby dowiedzieć się więcej