Praktijkvoorbeeld: “Met SURFfirewall hoeven we niet langer in een glazen bol te kijken”
De kerntaak van Yonder is goed onderwijs geven, niet om firewalls te beheren. Als dat uitbesteed kan worden aan een vertrouwde partij, is dat een interessante optie. Hans Hermans deed met Yonder mee aan de pilot voor SURFfirewall, en neemt de dienst binnenkort in gebruik. Over de voordelen van een extern beheerde firewall.
ict is een randvoorwaarde
Zoals voor elke onderwijsinstelling is ict belangrijk voor Yonder. Maar het is een randvoorwaarde, niet een kernactiviteit. Dus als er mogelijkheden zijn om ict uit te besteden aan een gespecialiseerde, vertrouwde partij, dan is dat interessant. “Dat geldt bijvoorbeeld voor de firewall”, zegt Hans Hermans, hoofd Operationele Services bij Yonder. “Het kost best veel effort om een firewall aan te schaffen en goed te beheren. Dus toen ik in het overleg van Coördinerend SURF Contactpersonen hoorde dat SURF een pilot ging starten met een beheerde firewall, was ik meteen geïnteresseerd. In de voordelen, maar ook in de vraag in hoeverre we zelf regie kunnen houden”.
Vlekkeloos verlopen pilot
De pilot voor de beheerde firewall liep in 2019 en 2020. Yonder koos ervoor om al zijn eduroam-verkeer via de centrale firewall van SURF te sturen. Toen de firewall eenmaal ingeregeld was, had Yonder er weinig omkijken meer naar. Hans Hermans: “De pilot verliep vlekkeloos. De dienstverlening was zeer stabiel en het was fijn om te merken hoeveel kennis en kunde van de SURF-medewerkers hebben die aan de pilot werkten. We konden als deelnemers ook input geven voor de pilot, we deden het dus echt samen met SURF. Door die positieve ervaringen durven we nu de stap te maken om al ons verkeer te laten afhandelen door SURFfirewall.”
Hans Hermans - Yonder
Hans heeft in de praktijk een aantal voordelen van een beheerde firewall ervaren. “Ik hintte er daarnet al op: ict beheren kost effort. Je moet de hardware technisch bijhouden, updates draaien voor de nieuwste features en goede beveiliging, en een fallback-scenario inrichten. Daar moet je je eigen mensen voor trainen, of je moet er externen voor inhuren. Door het uit te besteden aan een partij als SURF, weten we dat het beheer in goede handen is. Je krijgt dan ook een beter beheerproces, omdat een externe partij het beheer als kerntaak heeft. Die kan het proces bijvoorbeeld automatiseren, slimmer maken. Daar hebben wij zelf geen ruimte voor.”
Glazen bol
Een ander groot voordeel is de schaalbaarheid. Je doet een jaar of 6 met een hardware-firewall. Als je een nieuwe aanschaft, moet je dus inschatten wat over 6 jaar de verwachte throughput is. “Je moet dan dus in een glazen bol kijken, en dat is bijna onmogelijk,” zegt Hans. “Dan moet je een marge nemen, en voor die marge betaal je. Door de firewall als beheerde dienst af te nemen, nemen we straks precies af wat we nodig hebben. En als we de capaciteit willen vergroten of verkleinen, dan kan dat gewoon.”
Die flexibiliteit bespaart dus kosten. Volgens Hans Hermans zijn de kosten van SURFfirewall bij gelijke throughput al 25% lager dan bij een eigen firewall. Maar omdat je precies afneemt wat je nodig hebt bij SURFfirewall, zijn de kostenbesparingen nog groter.
“Door het beheer uit te besteden aan een partij als SURF, weten we dat het in goede handen is.”
Zelf de regie houden
Bij al die voordelen van het uit handen geven van beheer, hou je als klant wel de regie. Hans: “Dat is het mooie van SURFfirewall: SURF neemt het beheer uit handen, maar zelf blijf je verantwoordelijk voor het opstellen van de firewall-regels. Dat vinden wij een mooie balans.”
Integrale benadering van ict-dienstverlening
Hans Hermans ziet niet alleen technische en economische voordelen van SURFfirewall: “Dit is een product van SURF, een organisatie die ict-dienstverlening integraal benadert. Zo is er connectie met diensten als SURFinternet en SURFcert. We krijgen dus niet alleen een internetverbinding van SURF, maar ook dienstverlening op het vlak van security bijvoorbeeld. Die integrale benadering spreekt ons aan. En natuurlijk zijn we niet voor niets lid van SURF: we kiezen ervoor om bij de coöperatie te horen, en willen daar dus ook een bijdrage aan leveren. Vandaar dat we een ‘SURF, tenzij’-beleid hebben als het gaat om ict-dienstverlening.”
Betrek netwerkbeheerders
Hans heeft nog een paar tips voor instellingen die overwegen om SURFfirewall te gaan gebruiken. “Mijn belangrijkste tip: betrek je netwerkbeheerders bij het traject. Bespreek de voordelen en laat zien dat je geen werk afpakt door de firewall uit te besteden. Beheerders helpen namelijk mee met inrichten, en zijn verantwoordelijk voor de firewall-regels.” Als tweede tip geeft Hans dat je je vervangmoment tijdig moet bepalen, zodat je ook de tijd kunt nemen om een keus te maken voor de opvolger van de firewall. Wat dus eventueel SURFfirewall kan zijn.
De voorbereidingen om SURFfirewall in productie te nemen bij Yonder zijn in volle gang. “We hopen over een paar maanden gereed te zijn en de beheerde firewall in gebruik te nemen. Vanaf dan zal al ons inkomende en uitgaande internetverkeer via SURFfirewall lopen en hebben we er een stuk minder omkijken naar!”