Gemeentelijk werkbedrijf Senzer heeft gekozen voor de security-oplossingen van Fortinet. De oplossingen beveiligen de volledige netwerkomgeving en bieden inzicht in de verkeersstromen; de bijbehorende rapportages helpen bij het aantonen dat Senzer voldoet aan de AVG. Doordat het werkbedrijf de volledige netwerkbeveiliging heeft geconsolideerd, verwacht het een besparing tot 70% aan beheertijd.
Senzer geeft uitvoering aan de Participatiewet voor zeven gemeentes in de arbeidsmarktregio Helmond-De Peel. Het bedrijf legt verbinding tussen werkgever en werkzoekende en verzorgt de inkomensondersteuning, arbeidsintegratie en sociale werkvoorziening voor zijn cliënten. Via Senzer zijn 2.500 mensen aan de slag bij honderden bedrijven. De interne ICT afdeling van Senzer stond in 2018 voor de taak om de informatiesystemen die de organisatie ondersteunen te optimaliseren en te beveiligen. “Dat was uitdagend, want de situatie bestond – mede door de fusies van drie organisaties – uit verschillende oplossingen die allemaal apart beheer vereisten,” zegt Jeroen van den Eijnden, senior system engineer van Senzer. “Met Fortinet kregen we zowel de beveiliging als de netwerkinfrastructuur beter op orde.”
Door gebrek aan inzicht in het netwerk en de netwerkomgeving van Senzer ontstond door de jaren heen door een diversiteit aan netwerklijnen en firewalls die moeilijk te beheren waren. “We hebben 600 werkplekken, verdeeld over het hoofdgebouw in Helmond en twaalf kleinere locaties in de regio”, vertelt Van den Eijnden. “Dit waren allemaal eilanden waarop losse firewalls stonden die afzonderlijk beheerd moesten worden. Het waren allemaal verschillende modellen met hun eigen regels.”
Daarnaast kampte Senzer met mindere prestaties van zijn core-applicatie, Suite voor het Sociaal Domein (SSD). “Uit onderzoek bleek dat dit te wijten was aan verouderde switches in het netwerk”, zegt Van den Eijnden. “De bandbreedte daarvan was onvoldoende, terwijl de omvang van het dataverkeer de laatste jaren alleen maar is toegenomen.” Senzer kon ook de verkeersstromen onvoldoende in beeld brengen. “We hadden geen goed inzicht in ons netwerk.. Van den Eijnden ging eind 2018 aan de slag om al deze uitdagingen aan te pakken. “We zochten nieuwe netwerkapparatuur, beveiligingsoplossingen en een ICT-dienstverlener waar we te allen tijde op kunnen rekenen.”
Complete oplossing met end-to-end inzicht
Voor de netwerkbeveiliging zocht Senzer een application-aware-oplossing die centraal beheerd kon worden. “Met andere woorden: we zochten een Next-Generation Firewall”, zegt Van den Eijnden. “Maar we zochten ook netwerkfunctionaliteit, zoals switches, en een oplossing die ons inzicht geeft in de verkeersstromen. We keken naar verschillende leveranciers, maar deze waren vaak te duur, te complex of ze beschikten niet over alle gewenste functionaliteit. Na een selectieprocedure kwamen we uit bij Fortinet. De Fortinet Security Fabric is een totale security benadering, die de netwerk- en beveiligingsoplossingen van Fortinet verbindt, maar ook van derden. Zo konden we het netwerk opnieuw inrichten, beveiligen én beheren via één centraal dashboard. Voor ons was het mooie dat Fortinet het complete pakket aanbood met end-to-end inzicht. Deze totaalbenadering heb ik nergens anders gezien, bij geen enkele andere leverancier, dus dat sprak mij erg aan.”
Senzer maakte ook kennis met 4IP, de ICT-dienstverlener die als partner van Fortinet de oplossingen implementeert. “Een professionele organisatie zoals de onze, die elke dag afhankelijk is van het netwerk, moet kunnen rekenen op een gerenommeerde ICT-dienstverlener. Hiervoor hebben we een uitstekende partner gevonden in 4IP. Samen met hen, en de system engineers van Fortinet, zijn we begonnen met de eerste aanzet, namelijk de vervanging van onze perimeterfirewall. Gaandeweg hebben we de hele infrastructuur vervangen met Fortinet.”
Op de hoofdlocatie van Senzer is een FortiGate 300E HA-cluster geplaatst als perimeterfirewall. Op de twaalf regiolocaties van Senzer kwamen FortiGate 30E firewalls. “Elke locatie gaat via de centrale firewall naar het internet toe”, zegt Van den Eijnden. “We kunnen de verkeersstromen zodoende helemaal monitoren en dat doen we met FortiAnalyzer. Met FortiManager beheren we alles centraal en hebben er nauwelijks nog omkijken naar.” Dankzij het meedenken met de eisen en wensen van Senzer wist Fortinet een gedegen technisch ontwerp te creëren. “Dat werd vervolgens getoetst door 4IP. Daardoor verliep de migratie vlekkeloos”, zegt Van den Eijnden.
Herkennen van applicaties en verlenen van toegang
De oude firewalls van Senzer waren aan vervanging toe. “Die regelden het netwerkverkeer, maar deden niets aan content of web filtering”, zegt Van den Eijnden. “Een Next-Generation Firewall voert echter in-line scans uit die het verkeer onderzoeken op kwaadaardige content. De FortiGate Next-Generation Firewalls zijn bovendien application-aware. Zij herkennen applicaties en regelen op basis daarvan de toegang. De firewall herkent bijvoorbeeld Office 365 en dat is van belang omdat we de gang naar Microsoft Azure ingezet hebben “Voorheen moesten we handmatig IP-nummers opvoeren om applicaties toegang te geven. Nu werken we met de applicatieprofielen van Fortinet. Deze komen vanuit de FortiGate Cloud en zijn dus altijd actueel. Dat is een belangrijke toegevoegde waarde.”
Naast de gebruikelijke kantoorapplicaties werkt Senzer met een informatiesysteem voor de uitkeringsadministratie. Dat is de Suite voor het Sociale Domein, of SSD, van Centric. Van den Eijnden: “Dit is onze core applicatie. We hadden echter problemen met de prestaties van de SSD en dan met name met de module documentuitvoer.” Ook voor dit probleem bleek Fortinet de oplossing te hebben in de vorm van de FortiSwitch. “Deze levert een bandbreedte van twee keer 10 GB per stack”, zegt Van den Eijnden. “De nieuwe coreswitch in onze MER voorziet in voldoende 10 GB poorten zodat we zowel ons serverpark als de glaskoppelingen naar onze SER-ruimtes kunnen ontsluiten. De FortiSwitch maakt ook deel uit van de Security Fabric en zijn dus opgenomen in FortiManager. Daardoor is het beheer eenvoudiger en minder tijdrovend.”
Minimaliseren van infecties binnen het netwerk
Aangezien de oude firewalls niet meer voldeden, moest Senzer voor het internetverkeer een web-proxyserver gebruiken. “Dat is een virtuele machine die je via een webportaal beheert”, zegt Van den Eijnden. “Dat kostte ons veel in licentiekosten en beheer. Die gaan we vervangen door de FortiClient en daarmee kunnen we ook de endpoints opnemen in de Security Fabric.”
Senzer installeert FortiClient op de laptops en desktops van de medewerkers. “Dat zorgt ervoor dat malware en virusscanning plaatsvindt op deze apparaten”, zegt Van den Eijnden. “Mocht er iets opkomen, dan zet FortiClient de werkplek direct in quarantaine. Hij meldt het ook aan de Security Fabric en die kan bijvoorbeeld ook meteen de switchpoort blokkeren. Zo kunnen er verder geen andere infecties optreden binnen het netwerk.”
We analyseren de verkeersstromen en genereren allerlei statistische informatie. Wat doen mensen of hoe lopen de verkeersstromen of wat is de belasting van de internetverbinding. Met die rapportages kunnen we bijvoorbeeld aantonen dat we voldoen aan de AVG.”
Jeroen van den Eijnden, senior system engineer bij Senzer
De organisatie is in control
Senzer realiseert dankzij Fortinet en 4IP een aanzienlijke kostenbesparing door de consolidatie van allerlei verschillende modellen. “We maakten een einde aan de diversiteit aan apparatuur en daarmee aan de kosten en tijd voor het beheer. Ik denk dat wij 60 tot 70% gaan besparen op het netwerkbeheer. We kregen ook beter inzicht in de verkeerstromen en de beveiliging binnen onze hele netwerkomgeving. Onze CISO vraagt ook ‘waar gaan de mensen nou naar toe overdag?’ Dat konden wij voorheen bijna niet zeggen. Dat krijgen we nu inzichtelijk met FortiAnalyzer.”
De Security Fabric van Fortinet biedt alles wat Senzer nodig heeft voor zijn netwerkinfrastructuur en -beveiliging. “Dat is de kracht van Fortinet”, zegt Van den Eijnden. “De oplossingen maken ons netwerktoekomstbestendig en zorgt ervoor dat we ‘in control’ zijn.”