Naar hoofdinhoud

Een 17 jaar oud webfundament.
En geen seconde dat het water stil mag liggen.

Naar een cloud web-gateway, zonder downtime

Een drinkwaterbedrijf, kritieke infrastructuur. Het webverkeer liep al 17 jaar via een on-prem proxy: verouderd, zonder identiteit, lastig te beheren. Wij tilden het naar een cloud secure web gateway met zero trust, zonder dat de mensen die het water draaiend houden er iets van merkten.

Webverkeer · routeLive
Nu · cloud, zero trustVoorheen · on-prem proxy
Bron · LLD + cutoverZero trust · identity-aware
Sector
Drinkwaterbedrijf (kritieke infra)
Schaal
Meerdere locaties, 17 jaar legacy-estate
Inzet
Migratie + doorlopend beheer
Kaders
Zero trust, NIS2
Legacy
17 jaar
on-prem proxy-estate, uitgefaseerd naar de cloud.
Migratie
Zonder downtime
gefaseerd omgezet zonder onderbreking voor de operatie.
Leveranciersstoring
~40 min
een wereldwijde fout omzeild, vóór de leverancier ’m bevestigde.

De uitdaging

Bij kritieke infrastructuur mag niets eruit liggen.

Het webverkeer liep al 17 jaar via een on-prem proxy. Verouderd, zonder identiteit, met een wildgroei aan uitzonderingen, en lastig te beheren. Vervangen moest, maar elke onderbreking raakt een vitaal proces.

WebverkeerRoute
Cloud SWG
Nog via de legacy on-prem proxy
Cloud SWG
Legacy proxy
  • 01

    Een 17 jaar oude on-prem proxy. Verouderd, moeilijk te beheren, en een single point of failure voor al het webverkeer.

  • 02

    Geen identiteit in het verkeer. Beleid op IP en locatie, niet op wie de gebruiker is; zero trust was niet mogelijk.

  • 03

    Wildgroei aan uitzonderingen. Jaren bypasses opgestapeld; niemand overzag nog wat waarom open stond.

  • 04

    Geen downtime toegestaan. Elke onderbreking raakt een vitaal proces; de migratie moest ongemerkt verlopen.

De vraag was niet óf de proxy vervangen moest. De vraag was hoe je het web van kritieke infra naar de cloud tilt, zonder dat iemand het merkt.

De aanpak

Eerst begrijpen wat er loopt. Dan pas omzetten.

Geen big-bang. Een gefaseerde cutover op een ontwerp dat eerst de bestaande werkelijkheid in kaart bracht, met de servicedesk klaar om elke gebruiker op te vangen.

AS-IS eerstGeen aannames
Gefaseerd omzettenPer batch
Servicedesk klaarVangnet
01

Het bestaande in kaart

De volledige proxy-configuratie, de jaren aan uitzonderingen en de roaming/on-prem-splitsing vastgelegd in een low-level design, in zeven iteraties tot het klopte.

02

Een zero-trust-ontwerp

Een cloud secure web gateway met identiteit als basis: beleid op wie de gebruiker is, SSL-inspectie, contentfiltering en zicht op clouddiensten (CASB).

03

Gefaseerde cutover

Geen big-bang maar batch voor batch omgezet, met een teruglegpad klaar. Verhoogde waakzaamheid bij elke stap, zoals het hoort bij vitaal werk.

04

Servicedesk in stelling

Een quick reference card voor de servicedesk: blok-pagina’s, certificaatchecks en een directe rollback, zodat elke gebruiker meteen geholpen kon worden.

De oplossing

Webverkeer dat weet wie er surft.

Wat er nu staat: het hele webverkeer via een cloud secure web gateway, identiteit-bewust en zero-trust, met de on-prem proxy uitgefaseerd. En het blijft door ons beheerd.

Cloud secure web gateway

Het webverkeer cloud-geleverd in plaats van via een on-prem doos, geen single point of failure meer.

Identiteit als basis

Beleid op wie de gebruiker is, niet op IP of locatie, zero trust in het webverkeer.

Inzicht en grip

SSL-inspectie, contentfiltering en zicht op clouddiensten, shadow-IT in beeld.

Beheerd, niet losgelaten

Met een stuurgroep, vaste afspraken en een servicedesk-vangnet, doorlopend door ons gedraaid.

“Toen een leveranciersfout álle logins platlegde, was het bij ons al opgelost voordat de leverancier het toegaf.”

IT-manager · drinkwaterbedrijf

Het resultaat

Van een 17 jaar oude doos naar een cloud-gateway die meebeweegt.

Voorheen
  • -17 jaar oude on-prem proxy, single point of failure
  • -Beleid op IP en locatie, geen identiteit
  • -Wildgroei aan onoverzichtelijke uitzonderingen
  • -Elke wijziging riskant voor een vitaal proces
Nu
  • Het webverkeer via een cloud secure web gateway, de on-prem proxy uitgefaseerd.
  • Identiteit-bewust en zero trust, beleid op wie de gebruiker is.
  • Gemigreerd zonder downtime voor de operatie.
  • Doorlopend beheerd, sneller dan de leverancier zelf toen het erop aankwam.

Een vergelijkbaar vraagstuk?

Geen pitch. Eén gesprek.

Eén gesprek waarin we bepalen of, en hoe, dit ook voor jouw organisatie werkt.

Plan een gesprek

30 minuten met een senior, geen pitch.

Spreek met een architectBel direct088 - 163 23 25