Fallstudien

Staatliche Universität Tokyo

BIG-IP als leistungsstarke Firewall, die Ihre Anwendungen im Netzwerk schützt. Mit virtuellen Appliances reagieren Sie schnell auf unterschiedlichste Anforderungen

Die Universität Tokio, die bedeutendste akademische Einrichtung Japans, verfügt über eine Bandbreite von 40 Gbit/s für Verbindungen außerhalb des Campus und ist täglich Online-Bedrohungen ausgesetzt. Die Sicherheitsanforderungen sind so vielfältig wie die Anwendungen, daher können Sie das System nicht mit einer einheitlichen Richtlinie betreiben. Das Information Infrastructure Center, das für den Netzwerkbetrieb verantwortlich ist, nutzt Sicherheitsprodukte wie BIG-IP AFM und BIG-IP ASM als virtuelle Appliances. Indem wir Sicherheitsfunktionen über virtuelle Appliances bereitstellen, die schnell dort eingesetzt werden können, wo Sie sie benötigen, sorgt das Zentrum für einen Netzwerkbetrieb, der individuell auf jede Anwendung und jeden Bedarf zugeschnitten ist.

Geschäftliche Herausforderung

Das Informationsinfrastrukturzentrum der Universität Tokio unterstützt die Universität mit vielfältigen IT-Diensten. Das Backbone-Netzwerk bildet einen zentralen Bestandteil der Basis. Herr Yuji Sekiya vom Informationsinfrastrukturzentrum der Universität Tokio erläutert seine Aufgaben folgendermaßen.

Wir bieten Ihnen kostengünstige, benutzerfreundliche und flexible Dienste für Netzwerkverbindungen und die dazugehörigen Funktionen, um die Systeme für Lehre und Forschung zuverlässig zu vernetzen. Sicherheitsfunktionen wie Firewalls und WAFs gewinnen zunehmend an Bedeutung und sind heute unverzichtbar für unternehmenskritische Netzwerke.

Universitätsnetzwerke sehen sich täglich Injektionsangriffen und Brute-Force-Angriffen auf Passwörter ausgesetzt. Sie benötigen immer mehr Netzwerksicherheitsfunktionen, die fest in der Infrastruktur verankert sind statt individuelle Nutzer zu Maßnahmen zu zwingen. Gleichzeitig stellt das Unternehmen sicher, dass ein für Forschung angemessenes Maß an Netzwerkfreiheit besteht, indem es ohne einseitige Richtlinien oder Sicherheitszwänge arbeitet. Sekiya betont, dass der Bedarf an einem System wächst, in dem Sie Sicherheit unkompliziert und kostengünstig als Basisfunktion nutzen können.

Als Backbone-Netzwerk müssen Sie in der Lage sein, ein System zu schaffen, das bei Bedarf geschützt ist. Wir entschieden uns für eine virtuelle Appliance, weil Sie so Sicherheitsfunktionen einfach per Lizenzierung den benötigten Netzwerken hinzufügen können“, erklärt Sekiya.

Lösungen

Das Netzwerk der Universität Tokio benötigte grundlegende Sicherheitsfunktionen wie Firewalls und WAFs, die für viele Systeme unerlässlich sind. Da die Nutzung von Webanwendungen zunimmt, entschieden wir, dass erweiterte Sicherheitsfunktionen unverzichtbar sind. Cross-Site-Scripting- und SQL-Injection-Angriffe erfolgen inzwischen täglich, und herkömmliche Firewall-Lösungen erfüllen die Anforderungen der Nutzer nicht mehr. Neben Netzwerk-Firewalls suchten wir eine virtuelle Appliance, die die Anwendungssicherheit verbessert, doch nur wenige Produkte boten die benötigte Funktionalität, erklärte Sekiya.

Er erklärt, dass viele Funktionen auf der Hardware-Appliance verfügbar waren, die die virtuelle Appliance nicht bot. Obwohl jeder Anbieter physische und virtuelle Appliances anbot, boten nur wenige Produkte wirklich den gleichen Funktionsumfang.

Die aussichtsreichsten Kandidaten waren BIG-IP ASM (Application Security Manager) von F5 Networks, das WAF-Funktionalität bietet, und BIG-IP AFM (Advanced Firewall Manager), eine virtuelle Appliance zur Erweiterung der Firewall-Funktionalität im Netzwerk. Wir setzen auf die Kombination der virtuellen Appliance-Produkte BIG-IP ASM (Application Security Manager) und BIG-IP AFM (Advanced Firewall Manager), um die Netzwerk-Firewall-Funktionen zu optimieren. Herr Sekiya nannte folgende Gründe für seine Entscheidung: „Sie bot die notwendigen Funktionen und die erforderliche Leistung.

Das Produkt überzeugte uns am meisten, weil es die nötige Funktionalität und Leistung liefert und dabei als virtuelle Appliance kosteneffizient bleibt.

Ergebnisse

Wir haben BIG-IP erstmals in der Gruppe virtueller Server eingesetzt, die die vom Information Base Center betreuten Kernsysteme verwalten. So konnten wir seine Nutzung und zukünftigen Einsatzmöglichkeiten unter realen Bedingungen prüfen. Zum Beispiel können Sie Zugriffskontrolleinstellungen, die bisher auf dem Webserver verwaltet wurden, nun einfach mit BIG-IP einrichten, was die Benutzerfreundlichkeit von Anfang an unterstreicht.

■ Flexibel konfigurierbare Funktionen

Herr Sekiya erklärte zu den ersten Eindrücken beim Betrieb des Systems: „Für Forschungszwecke brauchen wir ein Netzwerk, das wir uneingeschränkt steuern können.“ Er erläuterte weiter:
„Was mir zuerst auffiel, ist die umfassende Funktionalität. BIG-IP ermöglicht sehr detaillierte Einstellungen zur Verkehrssteuerung, die ich für eine Kontrolle halte, die weit über das traditionelle Firewall-Management hinausgeht. Ich setze große Hoffnungen in die zusätzliche Granularität, die wir damit erreichen können.“

Die Grundfunktion einer Firewall ist seit langem bewährt. Darüber hinaus benötigen Sie umfassende Funktionen zur Datenverkehrskontrolle, um verschiedenen Anforderungen an Vernetzung und Sicherheit gerecht zu werden. Da BIG-IP sich konsequent auf fortschrittliche Datenverkehrskontrolle konzentriert hat, ist Herr Sekiya überzeugt, dass es Ihre Erwartungen erfüllt.

Es bietet umfangreiche Funktionen, um Datenverkehr gezielt zu sichern und gleichzeitig in Umgebungen, in denen Sicherheit zweitrangig ist, Freiheit zu gewährleisten. Diese Flexibilität bei der Lösung präziser und komplexer Anforderungen macht BIG-IP besonders attraktiv.

■ Leicht einsetzbare virtuelle Appliances

An Universitäten wird vielfältige Forschung betrieben, und jeder Bereich stellt unterschiedliche Anforderungen an das Netzwerk. Da einige Fachbereiche und Labore Netzwerke oder IT-Systeme selbst als Forschungsgegenstand nutzen, ist es schwierig, einheitliche Richtlinien zur Einschränkung der Netzwerkfunktionalität durchzusetzen.

„Ein Grund, warum wir uns auf virtuelle Appliances konzentrieren, liegt darin, dass sie auf individuelle Anforderungen präzise reagieren können“, erklärte Herr Sekiya. „Außerdem ermöglichen virtuelle Appliances flexible Einstellungen und eine dezentrale Verwaltung, was ihren Reiz zusätzlich erhöht.“

Aus Sicht des Managements ist es effizienter, individuelle virtuelle Appliances bereitzustellen, die Sie eigenständig verwalten können, statt spezialisierte Netzwerke in einer Multi-Tenant-Struktur zu betreiben. Auch wenn dieser Ansatz die Anzahl der Geräte erhöht, überzeugt Herr Sekiya, dass ein integriertes Verwaltungstool wie BIG-IQ den Verwaltungsaufwand deutlich reduziert. Durch zentrale Verwaltung mehrerer Firewalls vermeiden Sie zudem das Risiko, dass Bedienfehler die Sicherheit beeinträchtigen.

■ Sicherheit genau dort schnell bereitstellen, wo Sie sie brauchen

„In einigen Bereichen ist ein frei zugängliches Netzwerk für die Forschung unerlässlich“, sagte Herr Sekiya. „Gleichzeitig wünschen Nutzer in anderen Bereichen von Anfang an sichere Netzwerke, ohne zusätzlichen Verwaltungsaufwand.“ Universitätsnetzwerke müssen beiden Anforderungen gerecht werden.“

Herr Sekiya betonte, dass es im Gegensatz zu Unternehmensnetzwerken nicht sinnvoll ist, einheitliche Netzwerkrichtlinien vorzuschreiben. Seine Vision ist es, ein Netzwerk zu schaffen, in dem Sicherheit mit Komfort gleichgesetzt wird und nicht mit Unannehmlichkeit, um die Ressourcen für Bildung und Forschung optimal bereitzustellen. Er sieht BIG-IP virtuelle Appliances als passende Lösung, da sie gewährleisten, dass dort, wo Sicherheit notwendig ist, genau das richtige Maß geboten wird und gleichzeitig die Nutzerfreundlichkeit gefördert wird.

Indem wir BIG-IP gezielt als Sicherheitsmanagement-Punkte einsetzen, will das Information Base Center die Netzwerksicherheit weiter erhöhen. Zukünftig können wir den Einsatz auch auf Bereiche wie DNS-Schutz und mehr ausweiten.

„Wenige Produkte decken die unterschiedlichen Netzwerkanforderungen einer Universität ab – diese unterscheiden sich deutlich von denen eines Unternehmens“, erklärte Herr Sekiya. „Mit ihrer fortschrittlichen Funktionalität und der unkomplizierten Bereitstellung bieten virtuelle BIG-IP-Geräte die beste Lösung, um den Ansprüchen des Information Base Center gerecht zu werden.“

Alle Kundenberichte ansehen ›

Vorteile
  • Sichern Sie Ihre Netzwerke mit virtualisierten Appliances, die Sie individuell pro Netzwerk einsetzen können.
  • Sie können alle BIG-IP-Funktionen über virtuelle Appliances flexibel nutzen.
  • Mit skalierbaren Lizenzen, die sich an der Nutzungsgröße orientieren, liefern wir genau dort die nötige Leistung, wo Sie sie brauchen – und das kosteneffizient.
Herausforderungen
  • Wir sorgen für Sicherheit in Netzwerken, die je nach Anwendungsfall unterschiedliche Anforderungen haben.
  • Wir stellen Netzwerke bereit, die Sie nach Bedarf frei konfigurieren können.
  • Sie finden die beste Balance zwischen Flexibilität, Leistung und Kosten.
Produkte

BIG-IP ›