WatchGuard Technologies Network Security Customer Case Study
Overzicht Regio: België Branche: Verse voedingsmiddelen Bedrijfsprofiel Ter Beke, gevestigd in Waarschoot, België, is een toonaangevende leverancier van vleeswaren en koelverse bereide gerechten in de EU. Het bedrijf heeft 9 industriële vestigingen in België, Nederland en Frankrijk en telt ongeveer 1.850 medewerkers. Ter Beke realiseerde in 2011 een omzet van 403,7 miljoen EUR. Ter Beke is genoteerd op Euronext Brussel. Bedrijfssituatie Al jarenlang werkt Ter Beke met een terminalserveromgeving op basis van Microsoft met in totaal 8 centrale servers. Er staan 4 Citrix XenApp 6.5 servers centraal in Waarschoot en nog enkele native terminalservers op lokale vestigingen in de verschillende fabrieken in Europa. In 2011 begon men na te denken over een upgrade die moest leiden tot kostenbesparingen, groter beheergemak en verbeterde gebruiksvriendelijkheid. Oplossing WatchGuard XTM appliances, met UTM Voordelen x Non-stop beschikbaarheid van bedrijfsapplicaties x Het beveiligingsbeleid kan eenvoudig worden toegepast op individuen of groepen x Rapportage tools die duidelijk laten zien wat er gebeurt in het netwerk x Aanzienlijke kostenbesparing
Ter Beke consolideert beveiliging terminalserver/Citrix-netwerk met WatchGuard “We hebben erg veel kostenbesparingen gerealiseerd door de consolidatie... Alleen al de besparingen op anti-spam en URL-filtering bedragen op basis van maximaal 500 gelijktijdige gebruikers al ruim 10.000 euro per jaar.” –
Marc Decroos, ICT Manager
ACHTERGROND Ter Beke is een innoverende Belgische verse voedingsgroep die haar assortiment aanbiedt in 10 Europese landen. De groep heeft ongeveer 1850 medewerkers en twee kernactiviteiten: fijne vleeswaren en koelverse bereide gerechten. Het interne netwerk is een samenstel van terminalservers en Citrix, thin clients dus. Toch bestaat er bij Ter Beke de behoefte per werkplek securitypolicy’s te implementeren voor àlle gebruikers. De firewall appliances van WatchGuard brachten uitkomst. The Challenge De IT voor de hele Ter Beke groep is gecentraliseerd in Waarschoot waar ook de meeste applicaties draaien. Een combinatie van een private MPLS cloud en VPN’s over Internet dient voor verbinding van het hoofdkantoor met andere vestigingen en al sinds ruim 10 jaar maakt Ter Beke gebruik van WatchGuard firewalls voor de beveiliging van het internetverkeer: in Waarschoot met twee geclusterde WatchGuard XTM 5-series appliances en op bijna alle locaties XTM 2-series.
WatchGuard Technologies Network Security Customer Case Study
VPN met Citrix & TS bij HQ en branches
Terminalservers en Citrix Al jarenlang werkt Ter Beke met een terminalserveromgeving die draait op Microsoft Terminal Services met in totaal 8 centrale servers. Er staan 4 Citrix XenApp 6.5 servers centraal in Waarschoot en nog enkele native terminalservers op lokale vestigingen in de verschillende fabrieken in Europa. In 2011 begon men na te denken over een upgrade die moest leiden tot kostenbesparingen, groter beheergemak en verbeterde gebruiksvriendelijkheid. Marc Decroos is al ruim 15 jaar verantwoordelijk voor de systemen en netwerken bij Ter Beke. Hij vertelt: “De veelheid aan applicaties en terminalservers die ook nog eens op verschillende locaties draaiden, dwong ons naar een gebruikersvriendelijke oplossing te zoeken. Het is immers niet het probleem van de gebruikers om uit te zoeken op welke server hij moet aanloggen om bepaalde werkzaamheden te verrichten. We hebben voor Citrix gekozen, waardoor de gebruiker via icoontjes kan werken met alle applicaties, waar die ook fysiek draaien of waar de gebruiker zich ook fysiek bevindt.” Decroos is met de uitrol van Citrix al vergevorderd met als doel uiteindelijk alle werkplekken - ook die in de fabrieken – met Citrix uit te rusten.
WatchGuard Technologies Network Security Customer Case Study
Jorgen De Wael, systeem-engineer bij Ter Beke: “We zijn begonnen met het uitvoeren van een centralisatieoperatie. Alle terminal- en dataservers van de verschillende locaties worden gemigreerd naar Waarschoot. Vervolgens worden alle terminalservers overgezet naar een Citrix-omgeving, draaiend onder Windows 2008/R2.” Aansluitend wordt een volledig opschoningsprogramma uitgevoerd waarbij alle point-solutions op het gebied van anti-virus, web- en spamfiltering – werden samengevoegd op één centrale WatchGuard UTM- oplossing. “Dat bespaarde ons in elk geval het spamfilter-abonnement bij onze WAN-provider,konden we de licentie op de kostbare dedicated URL-filteroplossing opzeggen en kosten besparen op de bijbehorende servers die daardoor overbodig waren. Alles is nu ondergebracht in het WatchGuard-platform,” zegt Decroos.
Proxy De invoer van Citrix zorgde voor een aantal problemen. Decroos en De Wael wilden de URL-filterserver elimineren omdat dat veel meer overzicht zou geven binnen het firewall-domein. De Wael: “De URLfilteroplossing was een web-proxy en al het webverkeer liep daardoor via een ISA-server. Dat was lastig, omdat sommige applicaties zelf een connectie naar buiten maakten, waardoor we speciale regels moesten toepassen. Bovendien hadden we met de vorige combinatie URL-filter en ISA-server twee componenten nodig voor één functie. Niet bepaald efficiënt. Wij wilden dat liever óók op het WatchGuard-platform doen aan de rand van het netwerk. Maar bij oplossingen zoals die van WatchGuard geeft dat een extra complicatie in combinatie met terminalservers: in de vorige implementatie van de Firewall konden we niet zien welke gebruiker welke websites bezocht en dus ook geen gebruiker- specifieke policy’s op toepassen.” Een probleem dat De Wael niet had met de ISA-server. “Hier in Waarschoot hebben we ongeveer 40 gebruikers per terminalserver. Om aparte security-policy’s per werknemer of groep in te kunnen voeren moeten we die gebruikers, die immers allemaal van hetzelfde IP-adres gebruik maken, kunnen ontleden binnen de firewall. Als het verkeer plaatsvindt via een web-proxy dan bepaalt de eerste gebruiker die op een terminalserver komt tot welke groep de rest van de gebruikers op dezelfde terminalserver hoort omdat die door de Firewall allemaal als één en dezelfde gebruiker worden gezien. Een onwenselijke situatie,” licht De Wael toe. Naast dat de oplossing twee extra componenten voor één functionaliteit nodig heeft en dat proxy’s van de vorige URL-filteroplossing voor vertraging zorgen, was er nog een probleem: de web-proxy kon niet goed overweg met sommige applicaties. “Soms werd plotseling een bepaald filter actief waardoor in plaats van een bepaalde geautoriseerde gebruiker een anonieme sessie werd opgezet. Dan moesten we telkens de firewall voorzien van IP- exceptions zodat die users volledig naar buiten konden, zonder geïdentificeerd te zijn. Dat is niet veilig en kost bovendien ontzettend veel tijd.”
WatchGuard Technologies Network Security Customer Case Study
WatchGuard en Citrix: perfect koppel De beoogde samenwerking tussen de terminalserver- en Citrix-omgeving van Ter Beke en WatchGuard kende een lastige start. “De eerste implementatie van Terminal Services op de oude versie was geen succes. De UTM functioneerde prima, maar de single sign-on werkte niet goed,” vertelt Decroos. Hoewel de URL-filterlicentie van Ter Beke bijna afliep was er op dat moment nog geen gereleaste versie met single sign-on voor Terminal Services. Er draaide wel een preview-versie, vertelt De Wael, die samen met WatchGuard Benelux uitvoerig werd getest. ”In maart 2012 besloten we op advies van WatchGuard Benelux om toch te gaan bestellen, omdat we op 27 mei 2012, de dag dat de licentie van onze URL-filter oplossing afliep, niet nog een jaar met een point solution verder wilden. WatchGuard beloofde zich op die datum een volgroeide, werkende oplossing te leveren. En dat is ze gelukt.” Een WatchGuard-agent per terminal- of Citrix-server houdt nu bij welke gebruiker er bij een sessie hoort en zorgt zo voor persoonlijke identificatie van elke individuele gebruiker richting de Firewall, hetgeen de toepassing van gebruikersspecifieke security-rules mogelijk maakt. “Voor de ERP-processen nemen sommige medewerkers een sessie bij ons in Waarschoot, maar daarnaast gebruiken ze ook Outlook en Office, en sommige medewerkers ook fabrieksapplicaties. Doordat Ter Beke ook per regio een eigen agent per server kan gebruiken, ontstaat een gedistribueerd model. Ter Beke heeft namelijk maar één gecentraliseerde Active Directory-omgeving nodig waarin alle gebruikers uit Europa zitten. Bovendien is er in Waarschoot ook maar één redundant uitgevoerde centrale XTMgateway waar alle Terminal Server agents mee communiceren,” aldus De Wael.
Individuele policy’s Van de in totaal 1850 werknemers van Ter Beke maken ongeveer 400 mensen gebruik van desk- en laptops in hun dagelijks werk. Op meer plekken in het bedrijf wordt gewerkt met Terminal Server; denk bijvoorbeeld aan mensen met handscanners en heftruckchauffeurs in de fabrieken en magazijnen. Zij hebben echter geen internetconnectie. Decroos en De Wael kunnen per werkplek bepalen wat de betreffende gebruiker wel en niet mag op het internet. Dat gebeurt door het maken van specifieke rules voor elke gebruiker of groep van gebruikers van Active Directory. Bij Ter Beke wordt onderscheid gemaakt in 3 niveaus met oplopende bevoegdheden. Daarnaast kan indien gewenst voor elk IP-adres of gebruiker specifieke sites of categorieën van sites worden toegestaan – of uitgesloten. Als een persoon een nieuwe functie krijgt, hoeft hij of zij alleen maar in de bij de groep behorende algemene bevoegdheden in de Active Directory te worden geplaatst en de firewall past de toegang automatisch aan op basis van de nieuwe groep. “Die is in elk land hetzelfde,” zegt De Wael. “Of iemand nu vanuit het buitenland of mobiel via een VPN inlogt: overal worden de regels toegepast op basis van zijn of haar profiel in de Active Directory in Waarschoot. Ook in de locale, kleinere XTM’s zitten dezelfde rules en groepen”. Op ‘drukke momenten’ zien we soms meer dan 400 gelijktijdige thin- en fat-client gebruikersessies. ”
WatchGuard Technologies Network Security Customer Case Study
Gebruikers hebben overal dezelfde toegang
IT bepaalt in overleg met HR wat de gebruikers wel en niet mogen, buiten het niveau horend bij hun functie. “Op applicatieniveau gaan we op dit moment nog niet verder dan het vastleggen van welke applicatie er binnen de http(s)-proxy wordt gebruikt. Stel dat het bepaalde mensen van marketing is toegestaan gebruik te maken van Facebook, kunnen we als we dat willen binnen dergelijke applicaties vastleggen of ze daar bijvoorbeeld ook mogen chatten en bijvoorbeeld niet gamen.”
WatchGuard Technologies Network Security Customer Case Study
Optimale beschikbaarheid Omdat de beschikbaarheid erg belangrijk is heeft Ter Beke naast de redundantie op firewall-niveau ook gekozen voor redundante verbindingen voor de vestigingen. Als een fysieke back-up verbinding beschikbaar is via een ‘tweede’ leverancier wordt daar gebruik van gemaakt. Sommige vestigingen liggen nogal afgelegen, waardoor het niet altijd mogelijk is een tweede fysieke internetverbinding van een ‘andere’ leverancier te verkrijgen. Daarom maakt Ter Beke voor die vestigingen gebruik van de WatchGuard Broadband Extend Wireless Bridge die een back-up internetverbinding realiseert op basis van een 3G UMTS-netwerk.
WatchGuard Technologies Network Security Customer Case Study
Internet failover naar mobiele 3G/UMTS
Kostenbesparing én gebruikersgemak Na de hele transformatie heeft Decroos veel meer inzicht gekregen in het bandbreedtegebruik. “Daar gaat het om. De tools zijn niet bedoeld om de collega’s te controleren. Ik wil graag weten wat er wordt verbruikt door welke applicaties.” De WatchGuard-oplossing die bij Ter Beke wordt gebruikt omvat de UTM-bundel voor bescherming tegen alle vormen van bedreigingen behalve dus voor URL-filtering, ook Intrusion Prevention, Application Control, spamBlocker, Gateway Antivirus en Reputation Enabled Defense. “We hebben erg veel kostenbesparingen gerealiseerd door de consolidatie,” zegt een tevreden Decroos. “De antispam-oplossing bij de WAN-provider was een duur maandabonnement per gebruiker, onze antivirusoplossing draaide op een eigen server en ook de URL-filtering was een vrij duur abonnement. Alleen al de besparingen op anti-spam en URL-filtering bedragen op basis van maximaal 500 gelijktijdige gebruikers al ruim 10.000 euro per jaar, of grofweg 20 euro per gebruiker per jaar. Als gevolg van de consolidatie zijn bovendien nog twee Microsoft-servers overtollig geworden. Al die terugkerende kosten zijn we kwijt. Bovendien hebben we onze gebruikers een veel prettigere werkwijze kunnen geven. En is collega De Wael een hoop frustraties kwijt bij het dubbel onderhouden van excepties in de ISA-server en heeft hij dankzij de WatchGuard rapportage mogelijkheden veel transparantere inzage in hetgeen er daadwerkelijk in zijn netwerk gebeurd. Het feit dat WatchGuard zo goed in staat is gebleken een terminalserver- en Citrix-omgeving te beveiligen is de kroon op ons project.”
WatchGuard Technologies Network Security Customer Case Study
Over Ter Beke Ter Beke is een innoverende Belgische verse voedingsgroep die haar assortiment commercialiseert in 10 Europese landen. De groep heeft 2 kernactiviteiten, fijne vleeswaren en koelverse bereide gerechten, beschikt over 9 industriële vestigingen in België, Nederland en Frankrijk en telt ongeveer 1.850 medewerkers. Ter Beke realiseerde in 2011 een omzet van 403,7 miljoen EUR. Ter Beke is genoteerd op Euronext Brussel. http://www.terbeke.com
Over WatchGuard Technologies WatchGuard ontwikkelt betaalbare, all-in-one netwerk- en content security-oplossingen voor een uitgebreide beveiliging van bedrijfsgegevens, netwerken en telewerkoplossingen. WatchGuard's eXtensible Threat Management (XTM) network securityoplossingen combineren firewall, VPN en security services voor het buiten houden van spam, virussen, malware en intrusions op bedrijfsnetwerken. De 'Extensible Content Security' (XCS) appliances bieden content security voor e-mail en web gecombineerd met Data Loss Prevention (DLP) voor complete contentbeveiliging. De oplossingen van WatchGuard zijn zeer schaalbaar. WatchGuard levert oplossingen voor kleine bedrijven, middelgrote tot grote ondernemingen en bedrijven met meer dan 10.000 medewerkers. Sinds de oprichting in 1996 heeft de organisatie wereldwijd meer dan 600.000 WatchGuard-appliances geïnstalleerd. Ze bieden via meer dan 15.000 toegewijde partners producten aan in 120 landen. Het hoofdkantoor van WatchGuard is gevestigd in Seattle. Daarnaast hebben ze vestigingen in Europa, Azië en Latijns-Amerika. Het Europese hoofdkantoor is gevestigd in Den Haag. Kijk voor meer informatie op www.watchguard.com. Benelux: +31 70 711 20 85 ͻ U.S. Sales: 1.800.734.9905 ͻ/ŶƚĞƌŶĂƚŝŽŶĂů Sales: 1.206.613.0895 ͻEmail: www.watchguard.com/contact ©2012 WatchGuard Technologies, Inc. All rights reserved. WatchGuard and the WatchGuard logo are registered trademarks of WatchGuard Technologies, Inc. in the United States and/or other countries. All other trademarks and tradenames are the property of their respective owners. Part No. WGCE66790_121412