Projet

Garantir un accès sécurisé à l'Internet haut débit à 25 000 écoles

Un projet de réseau national pour l’éducation en Pologne

Le projet polonais de réseau national pour l’éducation (OSE) s'est consacré à la création d'un accès sécurisé à l'Internet haut débit pour plus de 25 000 écoles dans 19 500 localités en Pologne. En 2017, seuls 10 % des écoles polonaises avaient accès à Internet dans des conditions permettant de l'utiliser pour l'enseignement. Les autres établissements étaient soit totalement incapables d'utiliser les ressources du réseau, soit ne pouvaient le faire que de manière très limitée.

Le projet OSE1 a été mis en place pour accroître l'accès aux ressources pédagogiques en ligne et éliminer les zones d'exclusion numérique. Le programme a été conçu par le ministère des affaires numériques en collaboration avec le ministère de l'éducation dans le cadre de la loi sur le réseau national pour l’éducation. La loi précise également que le NASK (National Research Institute) est l'opérateur de l'OSE, c'est-à-dire l'organe de gestion.

Assurer la sécurité d'un réseau aussi vaste a été un projet particulièrement complexe. L'OSE devait être un réseau public de télécommunications basé sur l'infrastructure à large bande existante, développé dans le cadre d'un investissement commercial et subventionné par des fonds publics. Le réseau devait permettre aux enseignants et aux élèves de plus de 80 % des écoles polonaises d'accéder à l’Internet haut débit. Cela impliquerait un trafic à haute densité à partir de millions d’endpoints.

Le défi

Divers scénarios pour la fourniture de services de sécurité au réseau OSE ont été analysés pendant la phase de conception. Ces scénarios allaient du modèle où toutes les fonctions de sécurité sont exécutées aux endpoints avec livraison par CPE (équipement des locaux d’abonné), à un scénario où le trafic est analysé dans l'un des 16 nœuds répartis dans toute la Pologne. Après des consultations du marché et des mois d'analyse, ce dernier modèle a été sélectionné, et il a été complété par 3 nœuds supplémentaires de réseau dorsal pour la prise en charge des services Internet par le réseau OSE. Le choix de ce modèle a nécessité l'extension des systèmes de sécurité à un niveau permettant un trafic supérieur à 1 Tbps. Diverses options pour assurer ce trafic ont été envisagées au cours du dialogue technique. Cependant, de nombreux fournisseurs n'ont pas pu répondre aux exigences fixées en termes de haute qualité des services de sécurité, qui est l'une des priorités de ce projet. Malgré cela, la recherche de solutions a été constante afin de combiner des services de haute qualité avec l'ampleur du projet.

Parallèlement au travail de conception, un programme pilote a été mené pour identifier les caractéristiques du trafic réseau généré par les établissements d'enseignement. Selon les prévisions de l'équipe d'architectes, une part importante du trafic web serait constituée de communications basées sur le web et supportées par les protocoles HTTP / HTTPS. Les statistiques recueillies ont permis de constater que la part du trafic crypté sur le réseau projeté constituerait plus de 80 % du trafic total traité.

Les résultats des tests ont démontré qu'en raison de la part importante du trafic crypté sur le réseau proposé, l'interception du trafic SSL/TLS serait nécessaire. C'est une condition préalable à la détection des menaces, ainsi qu'au bon filtrage des contenus lors de l'accès à Internet. Et par ce biais, garantir la haute qualité des services de sécurité fournis aux réseaux scolaires. Le décryptage est effectué sur le trafic envoyé dans les deux sens, ce qui permet d'analyser les demandes et les contenus envoyés sur le réseau. La mise en œuvre du processus de décryptage sur le réseau de l'opérateur a entraîné de nombreux défis techniques et organisationnels. Le plus grand défi organisationnel était la distribution des certificats sur tous les dispositifs connectés au réseau OSE.

Education project in Poland

Le plus grand défi technique

Les résultats des tests ont démontré qu'en raison de la part importante du trafic crypté sur le réseau proposé, l'interception du trafic SSL/TLS serait nécessaire. C'est une condition préalable à la détection des menaces, ainsi qu'au bon filtrage des contenus lors de l'accès à Internet. Et par ce biais, garantir la haute qualité des services de sécurité fournis aux réseaux scolaires. Le décryptage est effectué sur le trafic envoyé dans les deux sens, ce qui permet d'analyser les demandes et les contenus envoyés sur le réseau. La mise en œuvre du processus de décryptage sur le réseau de l'opérateur a entraîné de nombreux défis techniques et organisationnels. Le plus grand défi organisationnel était la distribution des certificats sur tous les dispositifs connectés au réseau OSE.

Le plus grand défi technique était l'ampleur du trafic qui serait soumis au décryptage, ainsi que la différenciation des contenus qui ne devraient pas être analysés ; par exemple, le trafic vers les portails bancaires, médicaux et autres. Le volume estimé du trafic OSE nécessitant une analyse s'élevait à plus de 1 Tbps. L'équipement de base du système de sécurité du réseau consistait en un système de pare-feu nouvelle génération (NGFW) et une passerelle web sécurisée (SWG). Toutefois, il n'existe aucun équipement de ce type sur le marché qui pourrait gérer de manière indépendante une bande passante aussi large lorsque tous les mécanismes de sécurité nécessaires sont utilisés. Cela implique qu'un grand nombre de NGFW et de SWG seront nécessaires pour un décryptage, une analyse et un recryptage adéquats du trafic. Cela augmenterait la complexité du système de sécurité, ainsi que le coût de son acquisition et de son entretien.

Pour relever ce défi, deux méthodes d'équilibrage de charge sur les équipements de l'infrastructure de sécurité ont été envisagées. La première consistait en l'utilisation d'un protocole ECMP fonctionnant sur des routeurs situés sur le réseau OSE. Malheureusement, lors des discussions avec les acteurs du secteur, les fournisseurs d'équipements de réseau ont signalé des différences importantes dans la mise en œuvre de ce protocole. Certaines d'entre elles, telles que l'absence de connexion entre le trafic entrant et sortant de/vers un utilisateur donné d'un dispositif spécifique effectuant le décryptage du trafic SSL/TLS (pas de visibilité complète de la session TCP), ont bloqué la fourniture de tous les services de sécurité sur le réseau OSE. L'exemple donné fait que le dispositif indiqué n'est pas en mesure d'effectuer l'interception du trafic SSL/TLS, qui était l'un des principes du projet décrit ci-dessus.

La nécessité réelle de transférer le processus d'interception du trafic SSL/TLS des systèmes de classe SWG et NGFW vers des dispositifs externes était dictée par le désir d'optimiser l'utilisation des ressources matérielles dans les systèmes de sécurité. En outre, lorsque des solutions NGFW et SWG sont utilisées, il est nécessaire de contrôler le flux de données vers chaque dispositif ; en d'autres termes, de partager le trafic. Pour que le contrôle soit efficace, il est nécessaire de connaître la charge en cours de chaque dispositif et les routeurs étaient incapables de la traiter.

En raison des considérations ci-dessus, l'utilisation du protocole ECMP a été abandonnée. La seconde méthode prévoyait l'introduction de dispositifs de classe ADC (Application Delivery Controller) dans le réseau OSE. Après avoir effectué une analyse similaire à la précédente, il a été estimé que tous les produits phares de cette classe étaient en mesure de répondre aux objectifs architecturaux et fonctionnels du projet de réseau OSE. De plus, les produits ADC offrent une flexibilité dans l'ingénierie du trafic réseau, ce qui constitue un avantage supplémentaire. L'ADC partage intelligemment tout le trafic entrant. C'est le premier dispositif du système de sécurité, et il contrôle la distribution ultérieure du flux de données. Les arguments ci-dessus ont été décisifs dans le choix de ce modèle.

Ce qui suit est la forme finale des nœuds qui contiennent les produits Application Delivery Controller, SSL Orchestrator, NGFW et SWG.

NASK customer case Poland

La solution

Le concept présenté ci-dessus a conduit à la spécification des exigences fonctionnelles pour chacune des composantes de l'OSE. Et enfin à un appel d'offres pour une infrastructure de sécurité comprenant des systèmes ADC, SSLO, NGFW et DNS Firewall. Après la sélection de l'offre la plus avantageuse suite à l'appel d'offres, les solutions ADC et SSLO basées sur la technologie F5 ont été choisies. Ce choix était dicté par les considérations suivantes :

  • Le meilleur rapport de transactions SSL par seconde (performances de décryptage et de recryptage du trafic) concernant les dimensions physiques des dispositifs et, par conséquent, leur nombre total. Les nœuds du réseau OSE avaient des valeurs de puissance maximale prédéfinies (kW) et un espace de rack dans l'armoire.
  • Les performances requises des ADC (Application Delivery Controllers) et la capacité de contrôler le trafic pour une bande passante supérieure à 200 Gbps dans les nœuds régionaux.
  • La flexibilité requise des contrôleurs de distribution d'applications (ADC) pour contrôler le trafic tant décrypté que non crypté, y compris l'intégration des exclusions de décryptage qui découlent soit de la réglementation sur la protection des données personnelles, soit d'une décision du personnel autorisé.
  • Protection complète des applications réseau d'OSE contre les attaques externes grâce à l'utilisation d'un système WAF (Web Application Firewall).
  • Assurer l’accès à distance sécurisé pour les administrateurs de réseau OSE ou les entreprises collaboratrices externes utilisant les technologies SSL et VPN
  • L'intégration requise dans l'environnement de maintenance.

« L'utilisation de l'Application Delivery Controller et des SSL Orchestrators a accru la simplicité de l'ensemble du système de sécurité d'OSE et son efficacité », a déclaré Krzysztof Chwedorczuk, chef de l'équipe des services de sécurité de NASK. « Les solutions F5 s'intègrent bien avec les autres éléments de sécurité et constituent une des composantes de base pour le succès du réseau de l'éducation nationale polonaise. La mise en œuvre de la technologie F5 a pris 5 mois, ce qui, au vu d'un projet aussi complexe, est un excellent résultat ». Krzysztof Chwedorczuk a ajouté. « L'OSE ne cesse de se développer, mais jusqu'à présent, nous n'avons pas eu et nous ne prévoyons pas de problèmes avec l'équilibrage de charge dans les nœuds ou avec l'analyse du trafic ».

Résumé

Industrie 

  • Éducation

Défi commercial :

  • Fournir un accès sécurisé à l’Internet haut débit pour plus de 25 000 écoles dans 19 500 localités en Pologne.

Solution technologique :

  • Module LTM (Local Traffic Manager) de F5
  • Module ASM (Application Security Manager) de F5
  • Module APM (Access Policy Manager) de F5
  • Appliance F5 SSL Orchestrator
  • Plateformes VIPRION iSeries de F5

Résultats commerciaux :

  • Accès à distance sécurisé pour les administrateurs de réseau OSE ou les entreprises collaboratrices externes utilisant les technologies SSL et VPN

  • Protection complète des applications réseau d'OSE contre les attaques externes grâce à l'utilisation d'un système WAF (Web Application Firewall).

Contactez le service commercial

Parlez à un expert du secteur. Appelez-nous ou laissez un message. Notre équipe est à l’écoute de vos besoins.

Avez-vous besoin d’aide pour votre projet ?

Contactez-nous

Appelez-nous ou laissez un message. Notre équipe est à l’écoute de vos besoins.

Laisser un message Appeler maintenant

Partagez cette page :

Ce site utilise des cookies. En continuant à parcourir le site, vous acceptez l’utilisation de cookies. En savoir plus.