Pensioenfonds PGGM breidt beveiliging uit met Windows Server 2008
PGGM is gevestigd in Zeist, Nederland, en beheert ongeveer € 90 miljard. Werknemers moesten jarenlang via een VPN (Virtual Private Network) verbinding maken met ITbronnen vanaf externe locaties. Het VPN introduceerde echter diverse beveiligingsrisico's. Werkstations met een virus konden het netwerk gemakkelijk infecteren en er kon met gevoelige gegevens worden geknoeid bij het downloaden naar een onbeheerd werkstation. In 2007 verving PGGM VPN door een weboplossing op basis van Terminal Services onder Windows Server 2008. Hiermee kunnen werkstations via HTTPS (HTTP over Secure Socket Layer) verbinding maken met gegevens en toepassingen achter de bedrijfsfirewall. Met deze oplossing zijn de netwerkbeveiliging en productiviteit bij PGGM enorm verbeterd. Ook zijn het systeembeheer en de toegang tot de benodigde bronnen vereenvoudigd.
"De implementatie van Terminal Services in Windows Server 2008 maakt ons netwerk veiliger. Onbeheerde clients hebben geen toegang meer tot ons netwerk." Immanuël Noorman, ICT-architect, PGGM
De bedrijfssituatie PGGM is een pensioenfonds voor meer dan twee miljoen huidige en voormalige werknemers in de gezondheidszorg en welzijnssector in Nederland. Het bedrijf beheert ongeveer € 90 miljard aan middelen in wereldwijde aandelen, effecten met vaste rente, vastgoed, privékapitaal en goederen. PGGM telt ongeveer 1000 medewerkers op vier locaties in Nederland, inclusief het hoofdkantoor in Zeist. De meeste werknemers van PGGM werken vanuit een van de kantoren. De 50 medewerkers die de externe middelen van het bedrijf beheren, werken echter meestal op diverse locaties in binnen- en buitenland. Deze mobiele medewerkers hebben toegang tot het PGGM-netwerk via een VPN (Virtual Private Network) en draagbare computers. Ongeveer nog eens 150 werknemers hebben via VPN
toegang tot hun pc op kantoor of een terminalserver vanaf hun huis of andere locaties. Daarnaast hebben ongeveer tien externe bedrijven toegang tot pensioeninformatie via VPN. Beheerders zorgen dat de draagbare computers van mobiele werknemers van bijgewerkte virus- en firewallbescherming zijn voorzien. De werkstations van werknemers thuis of op andere externe locaties voor toegang via VPN zijn onbeheerd te noemen. Beheerders hebben immers geen controle over de systemen en weten niet of de antivirussoftware of firewall actief of actueel is. Een geïnfecteerd systeem dat via VPN wordt verbonden, kan snel een virus of worm verspreiden in het hele netwerk. De integriteit van gegevens was ook een probleem. Voor het werken op een externe locatie moesten werknemers gegevens downloaden van het PGGM-netwerk naar hun werkstation. Als een werknemer echter geen firewall of virusbeveiliging toepast, kan er geknoeid worden met gedownloade gevoelige gegevens van het PGGM-netwerk. Er zijn nog meer problemen rondom het gebruik van VPN's. Voor verbinding met het netwerk vanaf een externe locatie was installatie van de VPN-client op het werkstation vereist. Dit kostte tijd en beheerders moesten medewerkers soms helpen de client te implementeren. Als een medewerker zich verder ergens bevond zonder toegang tot de computer met de VPN-client, was ook het netwerk niet bereikbaar. Bovendien moesten beheerders en werknemers zorgen dat ze op alle externe computers steeds met de nieuwste versie van toepassingen werkten, zoals Microsoft Office Word 2003 en andere bedrijfstoepassingen, die via VPN niet goed toegankelijk waren. Hoewel PGGM al jaren een VPN had gebruikt zonder grote problemen, zocht het IT-personeel een veiliger en eenvoudiger manier voor externe toegang. In januari 2007 hoorde PGGM over verbeteringen in Terminal Services in Windows Server 2008 waarmee al deze bezwaren werden opgelost. "De Terminal Services-oplossing in Windows Server 2008 had direct onze belangstelling", verklaart Immanuël Noorman, ICT-architect bij PGGM. "Hiermee kunnen gebruikers op afstand verbinding maken met het PGGM-netwerk zonder de risico's van onbeheerde clients." Overzicht
De oplossing Terminal Services gebruikt het RDP-protocol (Remote Desktop Protocol) en HTTPS (HTTP over Secure Socket Layer) bij de verbinding van externe gebruikers met een specifieke netwerkbron, zoals een werkstation. Beheerders geven op tot welke bronnen een externe gebruiker toegang heeft. Beheerders kunnen met Windows Server 2008 ook beveiligingsbeleidsregels van Network Access Protection definiëren voor externe clients. Alleen werkstations die voldoen aan de beleidsregels hebben toegang tot de bronnen.
"We hebben geen echte problemen gehad bij het plannen of implementeren van Terminal Services in een pilotomgeving met Windows Server 2008. Het hele proces is tot nu toe zeer soepel verlopen." Immanuël Noorman, ICT-architect, PGGM
Met Terminal Services is communicatie mogelijk met elk geautoriseerd apparaat met een internetverbinding en Remote Desktop Connection 6.0, een integraal onderdeel van Windows XP Service Pack 2 en Windows Vista. Tijdens de verbinding werkt de externe werknemer op de computer binnen het PGGM-netwerk en niet meer lokaal waarbij gegevens via VPN worden gedownload. In Juni 2007 besloot PGGM Terminal Services in Windows Server 2008 te gaan implementeren. Het bedrijf schakelde daarvoor Microsoft Services-consultants in. Eén architect van PGGM werkte samen met één Microsoft Services-consultant het implementatiekader voor Terminal Services Gateway uit. In augustus 2007 ontwierp het team de benodigde infrastructuur en bouwde men de testomgeving op vijf HP ProLiant BL480c-serverbladecomputers met dual-core Intel-processors. Alle vijf servercomputers zijn voorzien van Windows Server 2008 Enterprise (32-bits) en geconfigureerd voor de Terminal Services-rol. De systemen kunnen echter verschillende services beheren. Twee servercomputers zijn bijvoorbeeld geconfigureerd voor de Terminal Services Gatewayservice. Met deze computers kunnen externe gebruikers verbinding maken met bronnen op het PGGMnetwerk. Microsoft Internet Security and Acceleration (ISA) Server 2006 Enterprise Edition publiceert de gateways naar internet en zorgt voor een gelijkmatige verdeling van netwerktaken. Twee servercomputers zijn bijvoorbeeld geconfigureerd voor Terminal Services RemoteApp. Deze systemen dienen als host voor desktoptoepassingen, zoals Microsoft Office Professional Edition 2003 en Adobe Acrobat, voor externe gebruikers. Wanneer een werknemer een HTTPS-verbinding maakt, kan deze een gehoste toepassing op een terminalserver starten, zoals Microsoft Word. Hoewel de toepassing op het lokale systeem lijkt te functioneren, gebeurt dat in werkelijkheid op de terminalserver in het PGGM-netwerk. Op de andere servercomputer wordt de Terminal Services Licensing-service uitgevoerd. Dit systeem beheert de licenties voor clienttoegang tot Terminal Services voor apparaten en gebruikers die verbinding maken met een terminalserver. Daarnaast beheert de Terminal Services Licensing-service de verdeling van taken tijdens de sessie.
In september 2007 nam het team de nieuwe omgeving in gebruik voor veertig pilotgebruikers, waaronder het IT-personeel. "We hebben geen echte problemen gehad bij het plannen of implementeren van Terminal Services in een pilotomgeving met Windows Server 2008", volgens Noorman. "Het hele proces is tot nu toe zeer soepel verlopen." PGGM verwacht de nieuwe oplossing binnen de komende maanden uit te breiden naar alle werknemers die op externe locaties werken. Daarnaast gaat het bedrijf begin volgend jaar nog meer servercomputers migreren naar Windows Server 2008. Andere plannen voor 2008 zijn de implementatie van Microsoft SoftGrid Application Virtualization en Microsoft Office Professional 2007. SoftGrid Application Virtualization werkt met Terminal Server en biedt alle werknemers toegang tot één centraal exemplaar van een toepassing. Er hoeven dan geen toepassingsbronnen op het eigen werkstation meer te worden geïnstalleerd en uitgevoerd. Er is sprake van toegang tot een virtueel exemplaar van een toepassing in een centrale opslagplaats.
De voordelen Met Terminal Services in Windows Server 2008 heeft PGGM de netwerkbeveiliging, de productiviteit van werknemers en de toegang tot bronnen vanaf externe locaties verbeterd. Het systeembeheer is daarbij juist vereenvoudigd.
"Onze mensen kunnen productiever werken door Terminal Services in Windows Server 2008. Ze kunnen overal aan de slag zolang ze toegang hebben tot een computer met een internetverbinding." Immanuël Noorman, ICT-architect, PGGM
Betere beveiliging Het gebruik van een VPN introduceerde diverse beveiligingsrisico's. Onbeheerde desktops konden het netwerk infecteren en opgeslagen gegevens buiten het PGGM-netwerk waren onbeveiligd. Nu worden werkstations die niet voldoen aan het beveiligingsbeleid direct geïdentificeerd en wordt de netwerktoegang geblokkeerd. Bovendien werken externe medewerkers rechtstreeks op het systeem in het PGGM-netwerk. Gevoelige gegevens blijven zo beschermd achter de bedrijfsfirewall.
"De implementatie van Terminal Services in Windows Server 2008 maakt ons netwerk veiliger", legt Noorman uit. "Onbeheerde clients hebben geen toegang meer tot ons netwerk. Dus is er geen risico meer van infecties met spyware of virussen zoals bij onze vroegere VPN-verbinding."
Hogere productiviteit Voorheen moesten werknemers documenten downloaden en uploaden via VPN. Nu hoeven ze niet meer te wachten op de overdracht van bestanden, omdat ze op afstand de toepassingen en gegevens gebruiken binnen het PGGM-netwerk. Ook hoeven externe werknemers zich geen zorgen meer te maken over welke bestanden actueel zijn. En als ze een andere computer willen gebruiken voor toegang tot het PGGM-netwerk, kan dat zonder installatie van een extra VPN-client. Medewerkers kunnen zo beschikken over de gewenste gegevens waar en wanneer ze die maar nodig hebben. "Sinds de implementatie van Terminal Services Gateway in Windows Server 2008 zijn we flexibeler in het bieden van externe verbindingen met het PGGM-netwerk", legt Noorman uit. "Gebruikers hebben geen VPN-client meer nodig op hun pc om verbinding te maken, maar alleen een computer met het Remote Desktop Protocol. De meeste computers zijn al uitgerust met RDP, dus dit is geen probleem meer zoals met de VPN-client. Het configureren van externe gebruikers is dus minder intensief en ze hebben betere toegang tot hun pc om hun werk te doen. "Onze mensen kunnen productiever werken door Terminal Services in Windows Server 2008", vervolgt Noorman. "Ze kunnen overal aan de slag zolang ze toegang hebben tot een computer met een internetverbinding. Met de VPN-verbinding was de toegang beperkt tot slechts een aantal toepassingen. Met de RDP-verbinding zijn werknemers in staat al het nodige werk extern te doen."
Betere toegang tot bronnen De PGGM-terminalservers zorgen voor een centrale opslagplaats voor de gangbare bedrijfstoepassingen. Medewerkers hebben dan ook overal toegang tot hun kantooromgeving en beschikken dan ook over dezelfde mogelijkheden. In de toekomst gaat PGGM dit model met virtuele toepassingen uitbreiden met SoftGrid Application Virtualization. Medewerkers binnen en buiten het PGGM-netwerk kunnen dan virtuele exemplaren van centrale toepassingen gebruiken in plaats van een exemplaar op de eigen vaste Centrale exemplaren van toepassingen zorgen ervoor dat alle medewerkers toegang hebben tot de meest recente softwareprogramma's.
Eenvoudiger systeembeheer
Windows Server 2008 elimineert of minimaliseert vele taken die systeembeheerders eerder uitvoerden. Ze hoeven werknemers niet meer te helpen bij de installatie van VPN-clients of clientlicenties te beheren voor software op externe systemen. Daarnaast biedt Windows Server 2008 hulpprogramma's waarmee beheerders meer inzicht krijgen in de status en prestaties van de servercomputers. "We verwachten het beheer van de hele oplossing te kunnen stroomlijnen met Windows Server 2008", zegt Noorman. "De hulpprogramma's onder andere zijn beter dan die in Windows Server 2003. Serverbeheer spreekt ons bijvoorbeeld erg aan. Er is één plek met een goed overzicht van het systeem en wat we ermee kunnen doen. Zo worden de taken van systeembeheerders een stuk gemakkelijker." Het verbeterde systeembeheer, de beveiliging en mogelijkheden voor externe toegang zullen ons uiteindelijk geld besparen. "Hoewel we nog geen cijfers kunnen verzamelen, zullen de totale eigendomskosten met Windows Server 2008 naar verwachting lager zijn", concludeert Noorman.
Windows Server 2008 De ingebouwde web- en virtualisatietechnologieën van Windows Server 2008 helpen u bij het vergroten van de betrouwbaarheid en flexibiliteit van uw serverinfrastructuur. De nieuwe virtualisatietools, webbronnen en uitgebreide beveiligingsfuncties besparen u tijd en geld en bieden een platform voor een dynamisch en geoptimaliseerd gegevenscentrum. Krachtige nieuwe hulpprogramma's zoals IIS 7.0, Server Manager en Windows PowerShell geven u meer controle over uw servers en stroomlijnen web-, configuratie- en beheertaken. De geavanceerde en verbeterde beveiliging en betrouwbaarheid met onder andere Network Access Protection en de optie Read-Only Domain Controller voor Active Directory Domain Services maken het besturingssysteem robuuster. De veilige serveromgeving biedt een solide basis voor het uitbreiden van uw bedrijf.
Eisen
Eenvoudiger manier voor externe toegang
Externe toegang moest veiliger
Voordelen
Betere beveiliging
Hogere productiviteit
Betere toegang tot bronnen
Eenvoudiger systeembeheer
Producten
Windows Server 2008 Enterprise (32-bits) – www.microsoft.nl/windowsserver
Technologieën
Terminal Services
Terminal Services RemoteApp
Hardware
HP ProLiant BL480c-servercomputers
Dual-core Intel-processors
Links
PGGM - www.pggm.nl
