Treant vergroot toekomstbestendigheid IT-infrastructuur met microsegmentatie op basis van Circles of Trust
Een van de speerpunten van de IT-afdeling van Treant is het doorlopend verbeteren van de informatiebeveiliging om de continuïteit van de zorg en een stabiele en soepel functionerende werkomgeving te garanderen. Een belangrijk onderdeel uit het meerjarensecurityplan is het toepassen van microsegmentatie om het beveiligingsniveau te verhogen. Door de vele gebruikers, locaties en applicaties beschikt Treant over een complexe IT-infrastructuur, waardoor de organisatie nog zoekende was naar een manier om de implementatie behapbaar te maken. De blauwdrukken van Conscia boden uitkomst.
Met het oog op een toekomstbestendige security en het naleven van regelgeving had Treant de wens om microsegmentatie toe te passen. Hierbij wordt het netwerk verdeeld in kleine onderdelen, elk met hun eigen toegangs- en veiligheidsbeleid. Dit zorgt voor grotere controle en verkleint het impactgebied bij een mogelijke inbreuk, doordat slechts een klein deel van het netwerk toegankelijk is. Als zorgorganisatie met zo’n 6500 medewerkers, verdeeld over 21 locaties in Noord-Nederland, stond de IT-afdeling echter voor een grote uitdaging. Waar en hoe te beginnen met de migratie?
Een gestructureerde blauwdruk
“Onze IT-infrastructuur is complex. We wilden starten met microsegmentatie, maar zochten handvaten om dit behapbaar te maken”, schetst Freddy Drogt, IT-architect bij Treant, de situatie. “We hadden behoefte aan een partner die beschikte over de juiste implementatiekennis en een visie die aansloot op de werkwijze binnen onze zorggroep. In gesprek met Conscia werden we enthousiast van hun methodiek voor de implementatie van microsegmentatie. Hun Circles of Trust-model bood een gestructureerde blauwdruk. Daarnaast hebben ze bewezen expertise met dit model in de gezondheidszorg, met een breed begrip van zorgkritieke processen.”
Bart Oevering, Infrastructuur Consultant bij Conscia, licht toe: “Het Circles of Trust-model is een meerlagige benadering van cybersecurity waarbij als het ware compartimenten worden gemaakt, waarmee de communicatie tussen applicaties nog beter gecontroleerd kan worden. Het implementeren van een dergelijke alomvattende, gelaagde aanpak is van cruciaal belang voor een toekomstbestendige bescherming van IT-omgevingen.”
700 servers, 250 applicaties
Treant maakt gebruik van VMware NSX om de toegang tot virtuele pc’s volgens de veiligheidsrichtlijnen te beperken. Er werd gestart met een inventarisatie van het applicatielandschap en de verkeersstromen, om duidelijk te krijgen welke servers bij welke applicaties horen en welke stromen over het netwerk lopen. Vervolgens werd het Circles of Trust-model gebruikt om groepen samen te voegen en firewallregels toe te passen.
“We hebben het design voor de infrastructuur opgesteld in samenspraak met Conscia en hebben samen gekeken naar wat we willen bereiken, wat het product kan en hoe we het kunnen gaan implementeren. Dat resulteerde in een designdocument. Vanaf daar zijn we aan de slag gegaan om alle applicaties om te zetten”, vertelt Drogt.
Treant beschikt over 250 applicaties en 700 servers. Het project wordt daarom fasegewijs uitgerold: “We hebben de applicaties in batches omgezet. Voor iedere batch werd eerst een nulmeting gedaan om vast te stellen wat voor verkeer er is in de omgeving. Na vier weken konden we dan de baseline vaststellen. Aan de hand daarvan zijn de firewallregels opgesteld.”
Oevering illustreert het design: “Het Circles of Trust-model creëert compartimenten binnen de IT-omgeving. Als een compartiment wordt doorbroken, kan de aanvaller niet zomaar naar het volgende compartiment overstappen. Met NSX kunnen we een firewall per virtuele machine (VM) instellen, waardoor we beleid kunnen toepassen en groepen van VM’s kunnen maken voor een nauwkeurig en effectief beveiligingsbeheer.”
“We hebben microsegmentatie Treant-breed uitgerold in de centrale IT-infrastructuur, daar is het ingericht om verkeer tussen servers te beperken, dus het lateraal verplaatsen tussen verschillende applicaties is niet meer mogelijk zonder vooraf gedefinieerde regels”, aldus Drogt.
Draagvlak
Een belangrijk uitgangspunt bij de implementatie was het creëren van draagvlak binnen de IT-organisatie van Treant: “Met zo’n 85 medewerkers hebben wij een flinke IT-organisatie. Om de integratie van het nieuwe model zo soepel mogelijk te laten verlopen is het belangrijk dat alle neuzen dezelfde kant op wijzen. Collega’s waren gewend dat elke server te benaderen was; microsegmentatie zorgt ervoor dat, omwille van de veiligheid, dit niet meer het geval is. Dat vraagt ook van collega’s dat ze met een andere mindset naar applicatiebeveiliging gaan kijken”, vertelt Drogt. “Gedurende het hele traject was draagvlak creëren belangrijk, en juist door gestructureerde werkwijze van Conscia is dit heel goed gelukt. De blauwdruk konden we intern ook gebruiken voor kennisoverdracht. Samen met Conscia hebben we hier veel aandacht aan besteed. Bijvoorbeeld door vooraf in verschillende kennissessies en voorlichtingsfilmpjes duidelijk te maken wat we gaan doen, waarom het belangrijk is en welke gevolgen dit heeft voor de dagelijkse werkzaamheden van de medewerkers.”
Toekomstbestendige oplossing
Drogt: “Microsegmentatie is een belangrijke pijler van onze voortdurende inspanningen om de beveiliging van onze organisatie op topniveau te krijgen en te houden. Met onze keuze voor Conscia en hun betrokkenheid zijn we in staat geweest om de organisatie mee te krijgen in deze verandering, daarbij heeft hun VMware-expertise en ruime ervaring in de zorg eraan bijgedragen dat we dit complexe project volledig volgens onze strakke planning hebben kunnen uitvoeren.”
“We hebben het Circles of Trust-model al vaker geïmplementeerd bij klanten en doordat het model goed werd opgepakt door de beheerders van Treant verliep het project zeer voorspoedig. Tijdens de implementatie hadden wij dan ook vooral een adviserende en begeleidende rol, waarbij we regelmatig fysiek aanwezig waren voor extra uitleg of om mee te denken. Dat zorgde voor snelle oplossingen”, blikt Oevering terug. “Het resultaat is een verfijning van de security en betere bescherming van het netwerk.”