Beveiligingsmaatregelen netwerkinfrastructuur
De netwerkinfrastructuurservices uit de FORA (zie Netwerkinfrastructuurmodel) zijn terug te vinden in de IT-infrastructuren van vrijwel iedere school. De indeling van de infrastructuur kan echter variëren, of het nu om kleine schoollocaties, grote instellingen of samenwerkingsinitiatieven gaat. Daarom zijn er verschillende overzichten opgesteld die scholen kunnen gebruiken om hun eigen situatie te herkennen. Deze overzichten laten zien waar de infrastructuurservices uit de FORA kunnen worden toegepast.
Digitaal Veilig Onderwijs (DVO)
Het programma Digitaal Veilig Onderwijs (DVO) helpt de scholen met de beveiliging van hun werk via IT-voorzieningen. Kwetsbaarheden in de IT-infrastructuur kunnen door kwaadwillenden worden misbruikt en vormen daardoor beveiligingsrisico’s. Het DVO-programmaonderdeel “Veilige school/sector IT-infrastructuur" biedt advies over beveiligingsmaatregelen op basis van gestandaardiseerde infrastructuur. De FORA dient als basis voor deze standaardisatie en bevat nu ook netwerkinfrastructuurservices.
Te beveiligen systemen
Waardevolle gegevens, zoals intellectueel eigendom en privacygevoelige informatie, worden opgeslagen op systemen die zijn aangesloten op de infrastructuur. In deze infrastructuur kunnen beveiligingsmaatregelen worden genomen om de toegang tot deze systemen te beschermen. Voorbeelden van deze systemen zijn:
- Centrale servers, opslag of backup: geïmplementeerd in óf het eigen datacenter óf een cloud-datacenter (Infrastructuur als een Service, IaaS)
- SaaS-systemen: data bij online applicatieleveranciers, (Software as a Service, SaaS) zoals het LAS, Microsoft365, Google, etc.
- Gebruikerswerkplekken: fysieke (lokale) devices of remote werkplekken in een eigen of cloud-(IaaS)-datacenter
Overzichten per type schoollocatie
Profiel 1: referentieontwerp voor een kleine schoollocatie ›
Profiel 1: referentieontwerp voor een kleine schoollocatie
Situatie. Dit profiel past bij een kleine schoollocatie waar netwerkdiensten vaak gecombineerd zijn in een of enkele apparaten in een centrale computerruimte (Main Equipment Room, MER). Applicaties draaien meestal niet lokaal, maar zijn via internet bereikbaar.
Schema. Onderstaande tekening laat het referentieontwerp voor deze situatie zien. In de bijlage staat een uitleg van de gebruikte symbolen.
Hoe lees je dit ontwerp? Aansluiten. Apparaten zoals laptops, desktops, smartphones, tablets, chromebooks, IP-phones, netwerkprinters en IoT-devices krijgen toegang via bekabelde aansluitpunten of draadloze toegangspunten. Op deze apparaten kan gevoelige informatie staan. Daarom is een leerling-, medewerkers- of gastaccount nodig om op apparatuur of netwerk in te loggen.
Lokaal netwerk. Op een kleine locatie is één netwerk-switch vaak voldoende om alle switching-services te verzorgen.
Gateway, netwerkconnectiviteit en firewall. De gateway verbindt het schoolnetwerk met het internet en verzorgt onder meer routing, netwerkadressering en netwerkbeveiliging.
Publiek internet. De internetverbinding wordt meestal geleverd als beheerde dienst van een provider, inclusief een apparaat op locatie (Customer Premises Equipment, CPE). Afhankelijk van de provider en het CPE-apparaat kan de school sommige gatewaydiensten zelf instellen.
Let op. In sommige regio’s wordt de internetverbinding geleverd via een regionale gezamenlijke sectorale glasvezelinfrastructuur. Voor de individuele schoollocatie spreken we ook dan over een internetverbinding. Als op een kleine locatie bedrijfskritische processen plaatsvinden die hogere beschikbaarheid vragen, kan een tweede internetverbinding via een aparte aansluiting gewenst zijn.
Waar zitten de FORA-services? In onderstaande tekening zie je waar de netwerkinfrastructuurservices in dit referentieontwerp zijn toegepast.
.png)
Profiel 2: referentieontwerp voor een grote schoollocatie ›
Profiel 2: referentieontwerp voor een grote schoollocatie
Situatie. Dit profiel past bij een grote schoollocatie waar de infrastructuur uitgebreider is en netwerkapparatuur zowel centraal in een Main Equipment Room (MER) als in Satellite Equipment Rooms (SER) wordt geplaatst. Applicaties draaien meestal niet op de locatie zelf, maar zijn via internet bereikbaar.
Schema. Onderstaande tekening laat het referentieontwerp voor deze situatie zien. In de bijlage staat een uitleg van de gebruikte symbolen.
Hoe lees je dit ontwerp? Aansluiten. Toegang wordt op verschillende plekken in de school geboden via bekabelde aansluitpunten en draadloze toegangspunten. Deze zijn via bekabeling, eventueel via satellietruimtes, verbonden met patchpanelen en access-switches.
Lokaal netwerk. Op grotere locaties is een gelaagde netwerkopzet gebruikelijk. Access-switches koppelen apparaten aan het netwerk, distribution-switches verdelen verkeer binnen de locatie en core-switches verzorgen snel transport van grote hoeveelheden gegevens en de centrale toegang van en naar internet.
Gateway, netwerkconnectiviteit en firewall. Op grotere locaties worden routing, adressering en beveiliging vaak apart uitgevoerd door specialistische apparatuur, zoals routers, gateways en firewalls.
Publiek internet. De internetverbinding is een dienst van de provider en wordt geleverd via een CPE-apparaat. Op grotere locaties kan extra beschikbaarheid nodig zijn, bijvoorbeeld via een tweede aansluiting als back-up.
Let op. In sommige regio’s wordt de internetverbinding centraal geleverd en via een regionale gezamenlijke glasvezelinfrastructuur verdeeld naar de schoollocaties. Ook dan spreken we voor de locatie zelf over een internetverbinding.
Aanvullend ontwerp voor gezamenlijke glasvezelinfrastructuur. Onderstaande tekening laat deze situatie op hoofdlijnen zien.
infrastructuur.png)
Waar zitten de FORA-services? In onderstaande tekeningen zie je waar de netwerkinfrastructuurservices zijn toegepast in het referentieontwerp van een grote schoollocatie en in de variant met regionale gezamenlijke glasvezelinfrastructuur.
.png)
infrastructuur_(met_services).png)
Profiel 3: referentieontwerp voor een datacenter voor de school ›
Profiel 3: referentieontwerp voor een datacenter voor de school
Situatie. Dit profiel past bij een situatie waarin de school centrale dienstverlening afneemt in een fysiek datacenter of via IaaS. In het datacenter worden geen eindgebruikersapparaten aangesloten, maar servers, opslagsystemen en back-upvoorzieningen. Deze bevatten vaak belangrijke en gevoelige informatie en moeten daarom goed worden beschermd.
Schema. Onderstaande tekening laat het referentieontwerp voor een fysiek datacenter zien. In de bijlage staat een uitleg van de gebruikte symbolen.
Hoe lees je dit ontwerp? Aansluiten. In het datacenter wordt alleen gebruikgemaakt van bekabelde verbindingen. Servers, virtualisatieplatformen, opslagsystemen en back-upsystemen worden via patchpanelen en access-switches gekoppeld.
Lokaal netwerk. Omdat het datacenter een centraal verkeersknooppunt is, wordt vaak een gelaagde switch-opzet gebruikt met access-, distribution- en core-switches.
Gateway, netwerkconnectiviteit en firewall. De gateway verbindt servers met het externe netwerk. Routing, adressering en firewallfuncties beschermen de centrale voorzieningen.
Publiek internet. De internetverbinding is meestal onderdeel van de datacenterdienstverlening en wordt vrijwel altijd dubbel uitgevoerd voor extra betrouwbaarheid.
Van fysiek datacenter naar IaaS. In veel situaties verschuift centrale infrastructuur geleidelijk van fysieke servers en opslag naar cloudgebaseerde IaaS-voorzieningen. Het referentieontwerp blijft dan grotendeels herkenbaar, maar de fysieke componenten zijn vervangen door gevirtualiseerde componenten met dezelfde netwerkinfrastructuurservices.
.png)
Waar zitten de FORA-services? In onderstaande tekeningen zie je waar de netwerkinfrastructuurservices zijn toegepast in het referentieontwerp van een fysiek datacenter en in de IaaS-variant.
.png)
_(met_services).png)
Profiel 4: beheerderstoegang ›
Profiel 4: beheerderstoegang
Situatie. Dit profiel gaat over het extra beschermen van beheerderstoegang. Beheerdersaccounts hebben hogere rechten en vragen daarom om een andere inrichting dan gewone gebruikersaccounts.
Schema. Onderstaande tekening laat een referentieontwerp zien voor beheerderstoegang.
Hoe lees je dit ontwerp? Gescheiden beheeromgeving. Beheerderstoegang loopt via aparte beheersystemen en aparte beheeraccounts. Deze beheeromgeving is gescheiden van de gewone gebruikersomgeving.
Stepping-stone werkplek. Beheerders werken via een stepping-stone: een aparte, geharde werkplek met alleen de noodzakelijke beheertools en connectiviteit naar de beheerdoelen. Onnodige functies zijn uitgeschakeld en beveiligingsmaatregelen zoals schermvergrendeling, automatisch uitloggen en actuele softwareversies zijn ingericht.
VPN-toegang. De stepping-stone is alleen via een VPN-verbinding te benaderen, zowel van buiten als binnen de school. Beheerdersverkeer zonder VPN-verbinding wordt niet vertrouwd.
Waarom dit profiel belangrijk is. Dit ontwerp helpt om privileges beter te beschermen en beheeractiviteiten gecontroleerd en veilig uit te voeren.
Bijlage: legenda ›
Bijlage: legenda
Netwerkinfrastructuurmodel
Bovenstaande overzichten laten zien hoe netwerkinfrastructuurservices worden toegepast in voorbeeldsituaties. Wil je weten welke netwerkinfrastructuurservices de FORA onderscheidt en hoe die in samenhang zijn gemodelleerd? Gebruik dan het netwerkinfrastructuurmodel om de netwerkinfrastructuur op een logisch en architectuurniveau te bekijken.
Zie Netwerkinfrastructuurmodel voor meer informatie ›