NASK assure un accès sécurisé à l'internet à haut débit pour 25 000 écoles

En 1991, NASK (Naukowa i Akademicka Siec Komputerowa ou Réseau informatique académique et de recherche) a connecté la Pologne à internet. Aujourd'hui, l'organisation s'emploie à réduire la fracture numérique qui empêche les enfants polonais vivant dans les villages et les villes de réaliser pleinement leur potentiel scolaire. NASK gère le réseau national d'éducation de la Pologne (OSE), qui offre un accès rapide, sûr et gratuit à internet à plus de 5 millions d'élèves et d'enseignants.

"Nous fournissons une connectivité Internet et des services de sécurité à toutes les écoles primaires et secondaires de Pologne", explique Michal Mroczek, architecte d'OSE et ingénieur réseaux senior à NASK.

Comme de nombreux pays, la Pologne présente une fracture numérique rurale/urbaine. Environ 40 % de la population, dont près de 1,5 million d'enfants, vit dans des zones rurales - petites villes, hameaux minuscules et fermes isolées. L'OSE vise à donner à ses élèves une base numérique égale pour l'avenir.

"Dans les grandes villes de Pologne, la connectivité Internet est bonne", explique Mroczek. "Nous nous concentrons sur les petites villes et les villages où les écoles peuvent avoir un mauvais accès à internet, voire aucun."

NASK a déployé l'internet à 100 Mbps dans 15 000 écoles polonaises, et les 23 000 écoles du pays seront connectées d'ici à la fin de 2020. Au-delà de l'internet à haut débit, OSE permettra également aux élèves et aux enseignants d'accéder à des contenus et à des programmes d'études afin de faire progresser les pratiques d'apprentissage numérique. Depuis le début de la mise en place du réseau OSE, la consommation de bande passante dans les écoles a doublé.

"Lorsque nous avons commencé il y a deux ans, une seule école consommait environ 5 Mbps de bande passante internet", explique Mroczek. "Aujourd'hui, une école consomme 10 Mbps. Si vous donnez aux élèves et aux enseignants plus de bande passante internet, ils en utiliseront davantage."

The OSE Project was established to increase access to online teaching resources and eliminate areas of digital exclusion. The programme was designed by the Ministry of Digital Affairs in collaboration with the Ministry of Education under the National Education Network Act. The Act also specifies NASK (National Research Institute) as the OSE Operator, i.e. the management body.

Ensuring security for such a large network was a particularly complex project. The OSE was intended to be a public telecommunications network based on the existing broadband infrastructure developed as part of a commercial investment and subsidised by public funds. The network was to provide access to high-speed internet for teachers and students in over 80 per cent of Polish schools. This would entail high-density traffic from millions of endpoints.

Le défi

Divers scénarios pour la fourniture de services de sécurité au réseau OSE ont été analysés pendant la phase de conception. Ces scénarios allaient du modèle où toutes les fonctions de sécurité sont exécutées aux endpoints avec livraison par CPE (équipement des locaux d’abonnés), à un scénario où le trafic est analysé dans l'un des 16 nœuds répartis dans toute la Pologne. Après des consultations du marché et des mois d'analyse, ce dernier modèle a été sélectionné, et il a été complété par 3 nœuds supplémentaires de réseau dorsal pour la prise en charge des services Internet par le réseau OSE. Le choix de ce modèle a nécessité l'extension des systèmes de sécurité à un niveau permettant un trafic supérieur à 1 Tbps. Diverses options pour assurer ce trafic ont été envisagées au cours du dialogue technique. Cependant, de nombreux fournisseurs n'ont pas pu répondre aux exigences fixées en matièes de haute qualité des services de sécurité, qui est l'une des priorités de ce projet. Malgré cela, la recherche de solutions a été constante afin de combiner des services de haute qualité avec l'ampleur du projet.

Parallèlement au travail de conception, un programme pilote a été mené pour identifier les caractéristiques du trafic réseau généré par les établissements d'enseignement. Selon les prévisions de l'équipe d'architectes, une part importante du trafic web serait constituée de communications basées sur le web et supportées par les protocoles HTTP / HTTPS. Les statistiques recueillies ont permis de constater que la part du trafic crypté sur le réseau projeté constituerait plus de 80 % du trafic total traité.

Les résultats des tests ont démontré qu'en raison de la part importante du trafic crypté sur le réseau proposé, l'interception du trafic SSL/TLS serait nécessaire. C'est une condition préalable à la détection des menaces, ainsi qu'au bon filtrage des contenus lors de l'accès à Internet. Et par ce biais, garantir la haute qualité des services de sécurité fournis aux réseaux scolaires. Le décryptage est effectué sur le trafic envoyé dans les deux sens, ce qui permet d'analyser les demandes et les contenus envoyés sur le réseau. La mise en œuvre du processus de décryptage sur le réseau de l'opérateur a entraîné de nombreux défis techniques et organisationnels. Le plus grand défi organisationnel était la distribution des certificats sur tous les dispositifs connectés au réseau OSE.

Échelle du trafic soumis au décryptage

Les résultats des tests ont démontré qu'en raison de la part importante du trafic crypté sur le réseau proposé, l'interception du trafic SSL/TLS serait nécessaire. C'est une condition préalable à la détection des menaces, ainsi qu'au bon filtrage des contenus lors de l'accès à Internet. Et par ce biais, garantir la haute qualité des services de sécurité fournis aux réseaux scolaires. Le décryptage est effectué sur le trafic envoyé dans les deux sens, ce qui permet d'analyser les demandes et les contenus envoyés sur le réseau. La mise en œuvre du processus de décryptage sur le réseau de l'opérateur a entraîné de nombreux défis techniques et organisationnels. Le plus grand défi organisationnel était la distribution des certificats sur tous les dispositifs connectés au réseau OSE.

Le plus grand défi technique était l'ampleur du trafic qui serait soumis au décryptage, ainsi que la différenciation des contenus qui ne devraient pas être analysés ; par exemple, le trafic vers les portails bancaires, médicaux et autres. Le volume estimé du trafic OSE nécessitant une analyse s'élevait à plus de 1 Tbps. L'équipement de base du système de sécurité du réseau consistait en un système de pare-feu nouvelle génération (NGFW) et une passerelle web sécurisée (SWG). Toutefois, il n'existe aucun équipement de ce type sur le marché qui pourrait gérer de manière indépendante une bande passante aussi large lorsque tous les mécanismes de sécurité nécessaires sont utilisés. Cela implique qu'un grand nombre de NGFW et de SWG seront nécessaires pour un décryptage, une analyse et un recryptage adéquats du trafic. Cela augmenterait la complexité du système de sécurité, ainsi que le coût de son acquisition et de son entretien.

Pour relever ce défi, deux méthodes d'équilibrage de charge sur les équipements de l'infrastructure de sécurité ont été envisagées. La première consistait en l'utilisation d'un protocole ECMP fonctionnant sur des routeurs situés sur le réseau OSE. Malheureusement, lors des discussions avec les acteurs du secteur, les fournisseurs d'équipements de réseaux ont signalé des différences importantes dans la mise en œuvre de ce protocole. Certaines d'entre elles, telles que l'absence de connexion entre le trafic entrant et sortant de/vers un utilisateur donné d'un dispositif spécifique effectuant le décryptage du trafic SSL/TLS (pas de visibilité complète de la session TCP), ont bloqué la fourniture de tous les services de sécurité sur le réseau OSE. L'exemple donné fait que le dispositif indiqué n'est pas en mesure d'effectuer l'interception du trafic SSL/TLS, qui était l'un des principes du projet décrit ci-dessus.

La nécessité réelle de transférer le processus d'interception du trafic SSL/TLS des systèmes de classe SWG et NGFW vers des dispositifs externes était dictée par le désir d'optimiser l'utilisation des ressources matérielles dans les systèmes de sécurité. En outre, lorsque des solutions NGFW et SWG sont utilisées, il est nécessaire de contrôler le flux de données vers chaque dispositif ; en d'autres termes, de partager le trafic. Pour que le contrôle soit efficace, il est nécessaire de connaître la charge en cours de chaque dispositif et les routeurs étaient incapables de la traiter.

En raison des considérations ci-dessus, l'utilisation du protocole ECMP a été abandonnée. La seconde méthode prévoyait l'introduction de dispositifs de classe ADC (Application Delivery Controller) dans le réseau OSE. Après avoir effectué une analyse similaire à la précédente, il a été estimé que tous les produits phares de cette classe étaient en mesure de répondre aux objectifs architecturaux et fonctionnels du projet de réseau OSE. De plus, les produits ADC offrent une flexibilité dans l'ingénierie du trafic réseau, ce qui constitue un avantage supplémentaire. L'ADC partage intelligemment tout le trafic entrant. C'est le premier dispositif du système de sécurité, et il contrôle la distribution ultérieure du flux de données. Les arguments ci-dessus ont été décisifs dans le choix de ce modèle.

Ce qui suit est la forme finale des nœuds qui contiennent les produits Application Delivery Controller, SSL Orchestrator, NGFW et SWG.

La solution

Le concept présenté ci-dessus a conduit à la spécification des exigences fonctionnelles pour chacune des composantes de l'OSE. Et enfin à un appel d'offres pour une infrastructure de sécurité comprenant des systèmes ADC, SSLO, NGFW et DNS Firewall. Après la sélection de l'offre la plus avantageuse suite à l'appel d'offres, les solutions ADC et SSLO basées sur la technologie F5 ont été choisies. Ce choix était dicté par les considérations suivantes :

• Le meilleur rapport de transactions SSL par seconde (performances de décryptage et de recryptage du trafic) concernant les dimensions physiques des dispositifs et, par conséquent, leur nombre total. Les nœuds du réseau OSE avaient des valeurs de puissance maximale prédéfinies (kW) et un espace de rack dans l'armoire.
• Les performances requises des ADC (Application Delivery Controllers) et la capacité de contrôler le trafic pour une bande passante supérieure à 200 Gbps dans les nœuds régionaux.
• La flexibilité requise des contrôleurs de distribution d'applications (ADC) pour contrôler le trafic tant décrypté que non crypté, y compris l'intégration des exclusions de décryptage qui découlent soit de la réglementation sur la protection des données personnelles, soit d'une décision du personnel autorisé.
• Protection complète des applications réseau d'OSE contre les attaques externes grâce à l'utilisation d'un système WAF (Web Application Firewall).
• Assurer l’accès à distance sécurisé pour les administrateurs de réseau OSE ou les entreprises collaboratrices externes utilisant les technologies SSL et VPN
• L'intégration requise dans l'environnement de maintenance.

« L'utilisation de l'Application Delivery Controller et des SSL Orchestrators a accru la simplicité de l'ensemble du système de sécurité d'OSE et son efficacité », a déclaré Krzysztof Chwedorczuk, chef de l'équipe des services de sécurité de NASK. « Les solutions F5 s'intègrent bien avec les autres éléments de sécurité et constituent une des composantes de base pour le succès du réseau de l'éducation nationale polonaise. La mise en œuvre de la technologie F5 a pris 5 mois, ce qui, au vu d'un projet aussi complexe, est un excellent résultat ». Krzysztof Chwedorczuk a ajouté. « L'OSE ne cesse de se développer, mais jusqu'à présent, nous n'avons pas eu et nous ne prévoyons pas de problèmes avec l'équilibrage de charge dans les nœuds ou avec l'analyse du trafic ».