Corporação Universitária Nacional da Universidade de Tóquio

BIG-IP como firewall de alto desempenho para proteger aplicações na rede. Dispositivos virtuais garantem resposta rápida a diferentes necessidades

A Universidade de Tóquio, a principal instituição acadêmica do Japão, conta com uma largura de banda de 40 Gbps para conexões fora do campus e enfrenta ameaças online diariamente. Os requisitos de segurança são tão variados quanto as aplicações, tornando impossível operar o sistema com uma política única. O Centro de Infraestrutura da Informação, responsável pela operação da rede, adotou produtos de segurança como BIG-IP AFM e BIG-IP ASM em forma de dispositivos virtuais. Ao disponibilizar funções de segurança através de dispositivos virtuais que podem ser rapidamente implantados onde forem necessários, o centro busca oferecer operações de rede personalizadas para cada aplicação e necessidade.

Desafio Empresarial

O Centro de Infraestrutura de Informação da Universidade de Tóquio oferece diversos serviços de TI para toda a universidade. A rede backbone é uma parte crucial dessa base. O Sr. Yuji Sekiya, do Centro de Infraestrutura de Informação da Universidade de Tóquio, detalhou o alcance do seu trabalho da seguinte forma.

Oferecemos serviços acessíveis, práticos e flexíveis para conexões de rede e funções associadas necessárias para integrar os sistemas usados em aulas e pesquisas. Atualmente, funções de segurança como firewalls e WAFs tornaram-se requisitos fundamentais para redes críticas.

Redes universitárias enfrentam diariamente ataques de injeção e de força bruta em senhas. A demanda por funções de segurança de rede integradas à infraestrutura básica cresce, em vez de depender de medidas isoladas pelos usuários. Ao mesmo tempo, para preservar a liberdade adequada a um instituto de pesquisa, a organização mantém a política de não impor unilateralmente políticas ou funções de segurança padronizadas. Sekiya ressalta que cresce a necessidade de um sistema que disponibilize segurança de forma simples e econômica como uma função essencial da infraestrutura.

Como rede backbone, precisamos criar um sistema protegido sempre que for necessário. Decidimos que um dispositivo virtual seria a melhor solução, pois ele entrega as funções de segurança às redes necessárias apenas adicionando licenças", afirma Sekiya.

Soluções

A rede da Universidade de Tóquio precisava de funções básicas de segurança, como firewalls e WAFs, essenciais para muitos sistemas. Com o aumento do uso de aplicações web, identificamos a necessidade de funções de segurança mais avançadas. Ataques de cross-site scripting e injeção de SQL acontecem diariamente, e os firewalls convencionais já não atendem às necessidades dos usuários. Além dos firewalls de rede, buscamos um dispositivo virtual que oferecesse segurança aprimorada para aplicações, mas poucos produtos atendiam nossas exigências de funcionalidade”, disse Sekiya.

Ele diz que muitos recursos disponíveis no dispositivo de hardware não estavam presentes no dispositivo virtual. Apesar de cada fornecedor oferecer dispositivos físicos e virtuais, poucos produtos realmente entregavam a mesma funcionalidade.

Os candidatos mais promissores foram o BIG-IP ASM (ApplicationSecurityManager) da F5 Networks, que oferece funcionalidade WAF, e o BIG-IP AFM (Advanced Firewall Manager), um dispositivo virtual que amplia as funções do firewall de rede. Combinamos os dispositivos virtuais BIG-IP ASM (ApplicationSecurityManager) e BIG-IP AFM (Advanced Firewall Manager) para reforçar as funções de firewall de rede. O Sr. Sekiya explicou os motivos de sua escolha: "Apresentava a funcionalidade e o desempenho necessários.

O produto no qual mais acreditamos foi aquele que entregou a funcionalidade e o desempenho necessários, além de ser eficiente em custo como dispositivo virtual.

Resultados

O BIG-IP foi introduzido inicialmente ao grupo de servidores virtuais que gerenciam os sistemas centrais supervisionados pelo Information Base Center. Fizemos isso para avaliar seu uso e possíveis aplicações futuras no dia a dia. Por exemplo, as configurações de controle de acesso que antes você gerenciava no servidor web agora pode facilmente configurar com o BIG-IP, mostrando sua praticidade desde o começo.

■ Funcionalidade que permite configuração flexível

Sobre as primeiras impressões ao operar o sistema, o Sr. Sekiya comentou: “Para pesquisas, precisamos de uma rede que possamos manejar livremente.” Ele explicou:
“O que percebi primeiro foi a funcionalidade ampla. O BIG-IP permite configurações de controle de tráfego muito detalhadas, oferecendo um nível de controle que excede os firewalls tradicionais. Estou confiante na granularidade extra que podemos atingir.”

A funcionalidade básica de um firewall está bem definida. Além disso, você precisa de recursos completos de controle de tráfego para atender às várias demandas de rede e segurança. Como o BIG-IP evoluiu com foco forte em controle avançado de tráfego, o Sr. Sekiya confia que ele corresponde a essas expectativas.

"Conta com funcionalidades avançadas para proteger o tráfego quando necessário e priorizar a liberdade nos ambientes onde a segurança pode ficar em segundo plano. Essa flexibilidade para atender requisitos complexos com precisão torna o BIG-IP especialmente atraente."

■ Dispositivos virtuais implantados com facilidade

Universidades realizam pesquisas diversas, e cada área exige configurações distintas para a rede. Como alguns departamentos e laboratórios usam redes ou sistemas de TI como objetos de estudo, fica difícil aplicar políticas uniformes que limitem a funcionalidade da rede.

“Um dos motivos pelos quais focamos em dispositivos virtuais é a capacidade deles de atender a esses requisitos específicos,” explicou o Sr. Sekiya. “Além disso, dispositivos virtuais oferecem configurações flexíveis e gerenciamento descentralizado, o que é outro ponto positivo.”

Do ponto de vista da gestão, é mais eficiente fornecer dispositivos virtuais individuais que você pode gerenciar de forma independente, em vez de incluir redes especializadas em uma estrutura multitenant. Embora essa abordagem aumente o número de dispositivos a gerenciar, o Sr. Sekiya acredita que usar uma ferramenta integrada como o BIG-IQ reduz essa carga. Gerenciando múltiplos firewalls centralmente, você também evita o risco de queda no nível de segurança por erros operacionais.

■ Entregando segurança rapidamente onde você precisa

“Em algumas áreas, uma rede de operação livre é fundamental para a pesquisa”, disse o Sr. Sekiya. “Mas em outras, os usuários querem que a rede seja segura desde o início, sem precisar de esforço extra de gerenciamento. Redes universitárias precisam atender a essas duas demandas.”

O Sr. Sekiya destacou que, diferente das redes corporativas, não faz sentido aplicar políticas de rede uniformes. Para garantir os recursos necessários à educação e pesquisa, ele busca criar uma rede onde 'segurança = conveniência', e não 'segurança = incômodo'. Ele enxerga que os dispositivos virtuais BIG-IP estão alinhados com essa visão, cumprindo a missão de oferecer o nível adequado de segurança onde for preciso, ao mesmo tempo que promovem a facilidade de uso.

Ao implantar o BIG-IP como pontos de controle de gerenciamento de segurança onde for necessário, o Information Base Center fortalece ainda mais a segurança da rede. Mais adiante, poderão ampliar seu uso para áreas como proteção de DNS e outras além.

“Poucos produtos conseguem atender às diversas necessidades de rede de uma universidade, que são bem diferentes das empresas,” observou o Sr. Sekiya. “Com sua funcionalidade avançada e facilidade de implantação, os dispositivos virtuais BIG-IP representam a solução mais promissora para superar as expectativas do Centro de Base de Informações.”

Benefícios
  • Garanta segurança com appliances virtuais que você pode implantar em cada rede.
  • Total flexibilidade para você utilizar todas as funções do BIG-IP por meio de appliances virtuais.
  • A escalabilidade da licença conforme o uso garante o desempenho necessário com baixo custo, exatamente onde você precisa.

Desafios
  • Garantimos a segurança em redes que apresentam requisitos variados conforme seus casos de uso específicos.
  • Oferecemos redes que você pode configurar livremente conforme sua necessidade.
  • Alcançar o melhor equilíbrio entre flexibilidade, desempenho e custo.

Produtos