Stärker als ein Elefant: Eine Firewall für den Zoo Zürich
Der Zoo Zürich wirkt mit seinen rund 170 Mitarbeitenden als Botschafter zwischen Mensch, Tier und Natur. Er möchte bei den Besuchern das Verständnis für Naturphänomene und Naturschutz fördern, indem er sie aktiv in die Erlebniswelt der Tiere miteinbezieht.
Seit 2017 zählt der Zoo Zürich im IT-Bereich auf die Unterstützung der Belsoft Infortix AG. Das Hauptprojekt – die flächendeckende Abdeckung des 27 Hektaren grossen Zoo-Geländes mit WiFi – erreichte mit der Eröffnung der Lewa Savanne Anfang 2020 einen vorläufigen Höhepunkt. Weniger sichtbar, aber mindestens so wichtig ist die Technologie im Hintergrund: etwa die Firewall, die höchstmögliche Sicherheit im WiFi-Netz, aber auch im internen Netzwerk gewährleistet.
Projekt Details
Kunde Zoo Zürich
Branche Freizeit
Datum seit 2017
Skills Leistungsfähige Firewall
Enterprise_Zoo
Die Aufgabenstellung
Die Dimensionen des WiFi-Netzwerks, das die Belsoft Infortix gemeinsam mit dem Zoo Zürich geplant hat und das mittelfristig den gesamten Zoo abdecken soll, sind enorm. Allein in der kürzlich eröffneten Lewa Savanne decken mehr als 70 Access Points die rund 40’000 Quadratmeter Fläche ab. Ein Netzwerk einer solchen Grösse setzt eine entsprechende Leistungsfähigkeit der kompletten IT-Umgebung voraus.
Bei der Planung des WiFi-Netzes wurde allerdings schnell klar, dass die bisherige Firewall-Lösung den erhöhten Anforderungen nicht mehr genügte. Insbesondere bot die bestehende Infrastruktur zu wenig Datendurchsatz und eine zu tiefe Performance für hunderte oder gar tausende gleichzeitige Zugriffe. Es galt also, eine sichere und belastbare neue Firewall zu finden und zu implementieren.
Die Lösung
Die Wahl für die neue Infrastruktur fiel auf die Next-Generation Firewall von Palo Alto Networks. Dank sehr niedrigen Latenzzeiten bei der Verarbeitung der Datenpakete kann sie die notwendige Performance sicherstellen. Trotz sehr detaillierten Einstellungsmöglichkeiten ist sie zudem nutzerfreundlich und intuitiv aufgebaut und kann von der internen IT weitgehend selbst verwaltet werden.
Für das öffentliche WiFi bietet der integrierte URL-Filter zusätzliche Sicherheit: Die auf Machine Learning basierende Technologie identifiziert und blockiert schädliche Websites, bevor der Nutzer darauf zugreifen kann. Bei entsprechender Konfiguration können auch ganz einfach gewisse Kategorien von Inhalten wie etwa Pornographie gesperrt werden.
Mit WildFire bietet die Palo Alto Firewall ein weiteres raffiniertes Modul, das potenzielle Malware in einer sicheren und abgeschotteten Sandbox ausführt, analysiert und wenn nötig blockiert. Wird eine neue Bedrohung erkannt, aktualisiert WildFire automatisch die Schutzmechanismen.
Die Firewall wurde mit einem Aktiv-/Passiv-Cluster auf zwei Datacenter des Zoos Zürich verteilt, sodass bei einem Ausfall die jeweils andere Hardware übernehmen kann. So ist die Hochverfügbarkeit sichergestellt. Anschliessend wurde das klassische, flache in ein hierarchisches, segmentiertes Netzwerk überführt. Hier zeigt sich eine weitere Stärke von Palo Alto: Die Firewall nimmt im Datacenter-Bereich ihre Funktion nicht nur gegen aussen, sondern auch intern wahr. So kann der Verkehr zwischen Clients und Server überprüft und eingeschränkt werden. Die Regeln können dabei bis auf den einzelnen User heruntergebrochen werden, um Serverzugriffe so detailliert wie möglich zu steuern.
Der Nutzen
Das Premium-Produkt von Palo Alto trifft die Anforderungen des Zoos Zürich genau und bietet die notwendige Performance. «Die neue Lösung gibt uns das sichere Gefühl, dass wirklich nur durchkommt, was auch durchkommen sollte», sagt auch Oliver Merz, Fachspezialist ICT-Systeme beim Zoo Zürich. «Wir haben zudem viel weniger false-positive Fälle. Anders gesagt: Was durchkommen muss, kommt auch durch.» Hierbei bewährt die neue Strategie, mit Applikations- statt mit Port-Regeln zu arbeiten.
An die präzisen und umfangreichen Möglichkeiten zur Konfiguration der Firewall musste sich das IT-Team anfangs erst gewöhnen. «Die Belsoft Infortix AG konfigurierte aber für uns die ersten paar Beispiele und verschafften uns eine saubere Basis. Heute können wir die alltäglichen Aufgaben und regelmässige Updates problemlos intern ausführen», erklärt Merz.
Bei komplexeren Herausforderungen steht die Infortix dem Zoo Zürich auf Basis eines Service Level Agreements zur Verfügung. «Wenn wir Fragen haben oder sehr spezielle Konfigurationen ausführen möchten, erhalten wir von unseren Ansprechpartnern sehr schnelle und kompetente Unterstützung», bestätigt Oliver Merz.
Mit dem Ausbau des WiFi-Netzwerks und der Erneuerung der IT-Infrastruktur im Zoo Zürich wird auch die Firewall laufend optimiert und weiterentwickelt. Der Stabilität der Systems tut das aber keinen Abbruch, so Merz: «In den drei Jahren, seit wir die Palo Alto Firewall in Betrieb haben, hatten wir noch keinen einzigen Ausfall.»
Oliver Merz zum Projekt
«Die neue Lösung gibt uns das sichere Gefühl,
dass wirklich nur durchkommt, was auch durchkommen sollte.»
Über den Zoo Zürich
Der Zoo Zürich wurde 1929 als Genossenschaft gegründet. Heute beschäftigt die gemeinnützige Zoo Zürich AG rund 170 Voll- und Teilzeitangestellte sowie über 60 Zooführer/innen.
Auf einer Fläche von fast 30 Hektaren präsentiert der Zoo 370 Tierarten und über 5000 Individuen in naturnah gestalteten Anlagen. Knapp 1.3 Millionen Besucherinnen und Besucher werden dadurch jährlich angelockt.
Der Zoo Zürich wirkt als Botschafter zwischen Mensch, Tier und Natur. Er spricht breite Bevölkerungskreise an und trägt so zum nachhaltigen Fortbestand der biologischen Vielfalt bei.