Hoe standaardisatie en automatisering de basis werden voor een toekomstgerichte Fortinet-omgeving
Door Dieter Verheyden
Network & Security Architect | FCSS Secure Networking | FCSS SASE | CISA BV
Een firewall vervangen is relatief eenvoudig. Een architectuur ontwerpen die de komende tien jaar kan meegroeien, is een heel ander verhaal.
Wanneer iemand mij vraagt wat mijn job als Network & Security Architect precies inhoudt, antwoord ik meestal dat die zelden begint met technologie, maar er uiteindelijk wel eindigt.
Het begint met luisteren
Luisteren naar de uitdagingen van een klant. Begrijpen hoe een bestaande omgeving is opgebouwd. In kaart brengen wat door de jaren heen gegroeid is.
En vervolgens één belangrijke vraag beantwoorden: hoe ontwerpen we een platform dat niet alleen vandaag werkt, maar ook klaar is voor de komende jaren?
Dat was exact de uitdaging waarmee dit project begon
Wat op het eerste gezicht een klassieke firewallmigratie leek, groeide al snel uit tot een traject waarbij jaren aan historiek, verschillende firewallplatformen en uiteenlopende configuraties samengebracht moesten worden in één uniforme architectuur.
De organisatie beschikte over meerdere vestigingen in België en Frankrijk.
Door de jaren heen waren verschillende firewalloplossingen geïmplementeerd en door overnames ontbrak een uniforme visie op netwerkbeveiliging.
Sommige locaties draaiden op Cisco, andere op Barracuda en op enkele plaatsen was Fortinet al aanwezig.
Iedere omgeving was opgebouwd vanuit de noden van dat moment en functioneerde op zichzelf goed. Als geheel ontbrak echter een duidelijke standaard. Daardoor werden wijzigingen steeds complexer, niet alleen door de verschillende technologieën, maar ook doordat meerdere partijen betrokken waren bij het beheer.
Voor zowel de klant als CISA was dit hét moment om niet alleen de infrastructuur te vernieuwen, maar vooral een uniforme architectuur neer te zetten waarop de organisatie de komende jaren verder kan bouwen.
Niet zomaar firewalls vervangen
Wanneer je verschillende firewallplatformen naast elkaar beheert, ontstaat na verloop van tijd onvermijdelijk meer complexiteit. Iedere omgeving heeft haar eigen beheerinterface, configuratiestijl en manier van werken. Voor eindgebruikers blijft dat meestal onzichtbaar, maar voor beheerders betekent het meer onderhoud, meer specialistische kennis en een grotere kans op verschillen tussen locaties.
Vanaf het begin was voor mij duidelijk dat dit project niet mocht eindigen als een klassieke firewallmigratie.
Het doel was niet om Cisco- en Barracuda-firewalls simpelweg te vervangen door FortiGate-firewalls, maar om één uniforme architectuur te ontwerpen waarop alle huidige én toekomstige vestigingen konden aansluiten. Dat betekende ook dat iedere ontwerpkeuze verder moest kijken dan de migratie alleen. Niet denken aan vandaag, maar aan de komende tien jaar.
Architectuur vóór implementatie
Persoonlijk geloof ik sterk dat een goede implementatie altijd begint met een goede architectuur.
Voor dit project baseerde ik de volledige architectuur op de Fortinet Best Practice Guides. Niet omdat ik het wiel opnieuw wilde uitvinden, maar omdat een goede architect weet wanneer hij moet vertrouwen op bewezen ontwerpen.
Nog vóór de eerste firewall besteld werd, werkte ik een volledig High Level Design uit. Dat document vormde de blauwdruk van de volledige migratie en beschreef niet alleen de technische architectuur, maar ook de visie achter het project.
Tijdens de presentatie van het ontwerp bespraken we samen met de klant niet alleen de migratie, maar ook de voordelen op lange termijn, zoals centraal beheer, standaardisatie en toekomstige uitbreidbaarheid.
De nieuwe architectuur werd opgebouwd rond FortiManager, FortiAnalyzer, FortiGate, Azure, SD‑WAN, ADVPN 2.0 en iBGP als basis voor een schaalbare hub-spoke-architectuur. Voor iedere vestiging werd een afzonderlijk Low Level Design uitgewerkt zodat bestaande configuraties gecontroleerd geïntegreerd konden worden.
Uiteindelijk draait architectuur voor mij niet om technologie, maar om eenvoud. Een omgeving moet voorspelbaar zijn, logisch opgebouwd en ook over vijf jaar nog begrijpelijk zijn.
Eerst het fundament bouwen
Nog vóór de eerste firewall vervangen werd, implementeerden we FortiManager en FortiAnalyzer in Microsoft Azure. Daarmee ontstond één centrale beheer- en analyseomgeving waarop later alle vestigingen konden aansluiten.
Parallel migreerden we de bestaande cloudfirewall naar een redundante FortiGate-VMomgeving.
Dankzij FortiConverter bleef de bestaande werking behouden terwijl de nieuwe architectuur werd ingevoerd.
Vanaf dat moment lag het fundament waarop de volledige hub-spoke-architectuur verder gebouwd kon worden.
Automatisering was geen extra, maar een vereiste
Standaardisatie was de rode draad door het volledige project.
Met Templates, Model Devices, Jinja-scripting en Meta Variables bouwden we een configuratiestructuur op waarbij alleen de locatiegebonden parameters verschillen. De architectuur blijft identiek. Daardoor kunnen nieuwe vestigingen, extra verbindingen of toekomstige uitbreidingen geïntegreerd worden zonder de volledige omgeving opnieuw te ontwerpen. Dat is voor mij de echte kracht van automatisering: niet sneller configureren, maar slimmer ontwerpen.
Eerst testen, daarna migreren
De volledige omgeving werd eerst in een labo nagebouwd. Niet alleen de firewallconfiguraties, maar ook SD-WAN, ADVPN, High Availability, Zero Touch Provisioning, FortiManager en FortiAnalyzer werden uitvoerig getest. Pas daarna begonnen de migraties. Die voorbereiding gaf vertrouwen en zorgde ervoor dat iedere vestiging volgens dezelfde standaard kon worden uitgerold.
De menselijke kant van technologie
Hoewel ik de architectuur mocht ontwerpen, was dit nooit het werk van één persoon. Mijn collega Vincent leidde de uitrol op locatie, terwijl ik de architectuur en technische begeleiding voor mijn rekening nam.
Vanaf het moment dat een firewall online kwam, nam de automatisering het over. Wat maanden eerder ontworpen was, werd vrijwel volledig automatisch werkelijkheid. Op dat moment werd duidelijk waarom we zoveel tijd hadden geïnvesteerd in de voorbereiding. Wat maanden eerder op papier ontworpen was, werd nu volledig automatisch werkelijkheid. Precies zoals we het maanden eerder ontworpen hadden. Dat is misschien ook het mooiste aan automatisering. Wanneer de voorbereiding goed zit, lijkt de uitvoering bijna vanzelfsprekend.
De uitdaging zit niet langer in het handmatig configureren van iedere firewall, maar in het ontwerpen van een architectuur die dat werk grotendeels overneemt.
Het mooiste moment
Iedere engineer kent de spanning van een productie-uitrol. Hoe goed de voorbereiding ook is, er kan altijd iets onverwachts gebeuren.
De echte ontlading kwam pas toen alle vestigingen succesvol waren gemigreerd en FortiAnalyzer de eerste logberichten ontving. Dan besef je hoeveel voorbereiding werkelijk in zo’n project kruipt.
Dit is pas het begin
Voor veel mensen eindigt een project na de migratie. Voor mij begint het dan pas.
Dankzij de uniforme architectuur kunnen toekomstige uitbreidingen zoals FortiSASE of FortiEMS eenvoudig geïntegreerd worden zonder het netwerk opnieuw te herdenken.
Samenwerken maakt het verschil
Goede technologie vormt de basis. Een doordachte architectuur maakt het verschil.
Maar uiteindelijk zijn het de mensen die een project succesvol maken.
De samenwerking met mijn collega Vincent, en de bestaande operationele partner was cruciaal om dit project tot een goed einde te brengen.
Terugkijkend
Wanneer ik vandaag terugkijk, ben ik niet het meest trots op de nieuwe firewalls, maar op de architectuur die erachter zit.
Hardware zal ooit vervangen worden. Nieuwe technologie zal blijven verschijnen. Maar een goed doordachte architectuur blijft jarenlang de basis waarop organisaties veilig kunnen groeien. En als ik binnen vijf jaar opnieuw naar deze omgeving kijk en denk: ‘Ja, zo zou ik het vandaag opnieuw ontwerpen’, dan weet ik dat we als team iets moois hebben neergezet.
Dieter Verheyden
FCSS SASE | FCSS Secure Networking
Network & Security Architect – CISA BV
Over de Auteur: Dieter Verheyden is Network & Security Architect bij CISA BV en specialiseert zich in enterprise netwerkarchitecturen, SD-WAN, Security Fabric en Zero Trust-oplossingen op basis van Fortinet-technologie. Vanuit een sterke focus op standaardisatie en automatisering helpt hij organisaties om schaalbare en toekomstgerichte netwerk- en securityplatformen uit te bouwen.