D21-Kongress AG11 Diensteangebot Im DOI-Netz 20091106
-
Upload
initiative-d21 -
Category
Documents
-
view
362 -
download
2
Transcript of D21-Kongress AG11 Diensteangebot Im DOI-Netz 20091106
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009
Diensteangebot im DOI-Netz
Workshop„E-Government-Standards für Wirtschaft und Verwaltung“Arbeitsgruppe 11
Thomas Krampert, DOI-Netz e.V.
Berlin, 06. November 2009
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 2
Agenda
• Diensteportfolio
• Zentrale Service Plattform (ZSP)
• Architektur
• PKI (Zertifikatsdienst)
• Kryptomanagement
• Sicherheit bei DOI
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 3
Diensteportfolio DOI (1/2)
• Das DOI-Diensteportfolio wird als kundenorientiertes Leistungsportfolio mit einem Warenkorb von – Basisdiensten und
– Mehrwertdiensten
realisiert.
• Zu den Basisdiensten zählt die Konnektivität zwischen Verwaltungsnetzen und DOI-Netz in verschiedenen Bandbreiten und mit unterschiedlichen Service Leveln.
• Der Leistungsumfang beinhaltet die Möglichkeit der Nutzung von IPv6.
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 4
Diensteportfolio DOI (2/2)
Als Mehrwertdienste werden bereitgestellt:
• DNS (Domain Name System)Gewährleistung der Authentizität und Datenintegrität von DNS-Transaktionen durch – DNSSec (Domain Name System Security Extensions)
– TSIG (Transaction SIGnature)
• E-Mail Relay (E-Mail-Verteilung)
• PKI (Zertifikatsdienst)
• Verschlüsselung durch IPSec-VPN (Kryptomanagement)
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 5
ZSP - Zentrale Service Plattform (1/2)
• Die Leistungen der ZSP umfassen:– redundanter Aufbau der gesamten produktiven IT-Struktur– Dopplung der Komponenten auf verschiedene Brandabschnitte
und für spezielle Dienste (derzeit DNS) auf unterschiedliche Rechenzentren
– redundante Anbindung der Serviceplattform an das DOI-Netz– Bereitstellung als dedizierte Dienste-Plattform unter Beachtung
der Sicherheitsanforderungen des Bundes
– Absicherung der Plattform durch redundante Sicherheitsgateway-Systeme (P-A-P Struktur)
– zentraler Domain Name Service
– zentraler Mail-Relay-Dienst– zentrale Administration der Dienste der ZSP
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 6
ZSP - Zentrale Service Plattform (2/2)
Produktions-LAN
DOI-Netz
DNS-Server
Mail-Server
Management-Server
Sicherheitsgatewayintern (zweistufig)
Paketfilter
Management-Stationen
Admin-Sicherheits-
gateway
Management-LAN
Paketfilter
ALG
Zentrale Serviceplattform (ZSP)
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 7
Architektur (1/3)
• Für die Migration wurde - auf Wunsch der DOI Teilnehmer nach einer möglichst sanften und weitgehend unterbrechungsfreien 1:1 Migration - nochmals eine Vollvermaschung realisiert.
• Alle an DOI angeschlossenenTeilnehmer sind heute Nutzereines gemeinsamen MPLS-VPNs.
• Jeder DOI Teilnehmer hat einen IPSec-Verbindung zu jedem an DOI angeschlossenen Teilnehmer (Vollvermaschung).
• Die Kommunikationsbeziehungen bzw. die Bildung der geschlossenen Benutzergruppen erfolgt auf dem jeweiligen Sicherheitsgateway (per Access-Listen) des DOI Teilnehmers.
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 8
Architektur (2/3)
• Zukünftig werden geschlossenen Benutzergruppen nach Interessengruppen aufgebaut und in einem dezidierten MPLS-VPN zusammengefasst.
• Innerhalb des MPLS-VPNswerden dann zwischen den Teilnehmern dieser speziellen geschlossenen Benutzergruppe IPsec-Verbindungengeschaltet.
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 9
Architektur (3/3)
• Es soll zukünftig möglich sein, mehrere MPLS-VPNs pro Verwaltungsnetzanschluss (DOI-Teilnehmer) zu nutzen.
• Bei der Nutzung mehrerer MPLS-VPNs müssen diese dann ggf. jeweils durch einen eigenen IPSEc-Tunnel abgesichert werden.
• Voraussetzung dafür ist die Unterstützung von mehreren physikalischen oder logischen Schnittstellen der Kryptoendgeräte sowohl in Richtung LAN-Ethernet-Switch, als auch in Richtung CE-Router.
• Netze mit hohem Schutzbedarf bedürfen einer gesonderten Betrachtung auf Geräteebene. Die Separierung der Netze muss auf physikalischer Ebene durch den Einsatz dezidierter Hardware erfolgen.
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 10
PKI (Verzeichnisdienst)
• Die „DOI-CA“ stellt Zertifikate für Teilnehmer von Bund, Ländern und Kommunen aus und ist in die Verwaltungs-PKI integriert.
• Die DOI-CA wird auf der Plattform des Trust Centers der Deutschen Telekom betrieben.
• Der CA-Service der DOI-CA steht 7x24 Stunden zur Verfügung. • Die Zertifikate können somit für folgende Zwecke genutzt werden:
– E-Mail Sicherheit durch standardkonforme Signatur (“fortgeschrittene Signatur“) und Verschlüsselung
– Signatur („fortgeschrittene Signatur“) und Verschlüsselung von Dateien
– Sicherer Datenaustausch über OSCI– sichere Authentifikation von Servern gegenüber Anwendungen
und Benutzern– sichere Authentifikation von Benutzern gegenüber Servern,
Anwendungen und Netzwerken
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009Dienstag, 10. November 2009 11
Kryptomanagement (1/2)
• Das Kryptomanagement wird beim BVA bereitgestellt und betrieben.
• Der Zugriff auf die Kryptoendgeräte erfolgt über eine gesicherte Anbindung erfolgt. Hierzu verfügt das BVA über eine redundante Anbindung an das DOI-Koppelnetz.
• Das Management der Kryptoendgeräte erfolgt zentral und ist u. a. mit folgenden Tätigkeiten verbunden:– initiale Einrichtung einer Kryptobox und Konfiguration der IPsec-
Sicherheitsbeziehungen (Security Association)– Einrichtung und Anpassungen der Sicherheitsbeziehungen einer
Kryptoverbindung im Wirkbetrieb– Fehlerbehebung im Zusammenhang mit den IPSec-VPN– Management der zum Betrieb der VPNs notwendigen Schlüssel
und Zertifikate
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009Dienstag, 10. November 2009 12
Kryptomanagement (2/2)
• Mit dem Kryptomanagement werden die Konfiguration und die Administration der Kryptoendgeräte (Krypto-EG) im Netzwerk vorgenommen.
• Einfache und benutzerfreundliche Verwaltung von Sicherheitsbeziehungen
• Modularer Aufbau• Skalierbarkeit• Redundanz• Mandantenfähigkeit
DOI-Netz
PE
DOI-Teilnehmer A
PE
CE CE
CE
PE
Krypto-EG Krypto-EGDOI-Teilnehmer B
Krypto-EG
SC-Leser
Krypto -Management-System (BVA)
Mitarbeiter des Krypto-und Netz-Management
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 13
Sicherheit im DOI-Netz- Sicherheitskonzept (1/2)
• Ziele– Mit dem Sicherheitskonzept wird ein generischer Rahmen geschaffen,
auf dessen Basis den Teilnehmern von DOI eine sichere Kommunikationsinfrastruktur bereitgestellt wird.
– Basierend auf dem generisches Sicherheitskonzept erfolgt die Fortschreibung des Konzeptes durch den Betreiber
� Zertifizierungsfähiges Sicherheitskonzept bis Ende 2010
• Rahmenparameter und grundlegende Eckpunkte – Es werden Rahmenbedingungen berücksichtigt, die als
Sicherheitsanforderungen (z.B. Anforderungen aus Verwaltungsnetzen, TESTA-D) mit den verantwortlichen Bereichen definiert wurden.
– Es wurden keine weiteren Anforderungen aus den Fachverfahren derNutzer erhoben. Diese müssen durch die Verfahrensverantwortlichen mit einer Schutzbedarfsfeststellung ermittelt werden.
– Grundsätzlich dürfen auf der DOI-Plattform nur Verfahren betrieben werden, die maximal einen hohen Schutzbedarf haben. Anwendungen und Verfahren mit einem sehr hohen Schutzbedarf dürfen aus heutiger Sicht nicht auf der DOI-Plattform betrieben werden.
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 14
Sicherheit im DOI-Netz- Sicherheitskonzept (2/2)
• Kernaussagen und grundlegende konzeptionelle Eckpunkte – Für die Kernkomponenten im Backbone und dem DOI-
Dienstebereich wird grundsätzlich ein hoher Schutzbedarf definiert.
– Für den Access-Bereich wird grundsätzlich ein normaler Schutzbedarf angenommen.
– Sollten die Teilnehmer der DOI-Plattform den Bedarf bzw. die Anforderung für einen hohen Schutzbedarf haben, können diese über differenzierte Anschlussmöglichkeiten realisiert werden z.B. durch die Nutzung von unterschiedlichen VPN Typen.
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 15
Sicherheit im DOI-Netz- Sicherheitskonzept / Architekturbild
Der Betrachtungsgegenstandes des Sicherheitskonzeptes (gelb hinterlegt) wird in der nachfolgenden Graphik dargestellt.
Teilnehmer Typ C
BVADOI-DienstebereichSchutzbedarf „hoch“
VPN Schutzbedarf „hoch“
Teilnehmer Typ A Teilnehmer Typ B
VPN Schutzbedarf „normal“
VPN Schutzbedarf „normal“
VPN Schutzbedarf „hoch“
Übergang zu anderen Netzen
DNS
Internet
DVDV (Bundesmaster)
Zentrales ALG
CA / PKIsTESTA Business
NdB
VPN Schutzbedarf „normal“
DOI-Gateway
Mail-Relay
VPN Schutzbedarf „hoch“
VB01
VB04
VB03
VB02
VB03VB03
VB04
VB04
VB05
VB04
MPLS BackboneIT-Verbund „DOI“
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 16
Verantwortlichkeiten zur Sicherheit
• Für die Sicherheit im DOI-Netz ist fachlich der DOI-Netz e.V.
verantwortlich. Die Aufrechterhaltung der Sicherheit wird
gewährleistet durch:– die Entwicklung und Fortschreibung des DOI-Sicherheitskonzeptes
durch den Sicherheitsbeauftragten und dem Security-Fachboard– der Einrichtung des Security-Managements und dem Security-
Fachboard– einem jährlichen Sicherheitsreview
• Operativ wird die Sicherheit des DOI-Netzes durch den Netz-
Betreiber gewährleistet durch:– die Vorlage eines zertifizierungsfähigen Sicherheitskonzeptes für das
gesamte DOI-Netz und dem Dienstebereich– die Zusammenarbeit beider Security-Management-Bereiche
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009
Sicherheit im DOI-Netz- Das DOI Sicherheitsmanagement
17
Das DOI-Sicherheitsmanagement- beschreibt die Zielsetzung- definiert den Geltungsbereich- grenzt die Aufgaben zur
Gesamtsicherheit ab- berücksichtigt den Datenschutz
Das DOI-Sicherheitsmanagement
reflektiert:- die vertraglichen Anforderungen- den Sicherheitsmanagement-
Prozess im DOI-Betriebskonzept- den IT-Sicherheitsprozess für
DOI
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009Dienstag, 10. November 2009 18
Sicherheit im DOI-Netz- Die Nutzungsregeln
DOI-Nutzungsregeln definieren die Anforderungen an:
− die Organisation und den IT-Betrieb (z.B. Störungsmanagement-Prozess, Rollen, Verantwortlichkeiten, Ansprechpartner)
− die Technologie (z.B. Anschlussart, Protokolle) und
− die IT-Sicherheit (z.B. teilnehmerseitiges Sicherheitskonzept, Benennung eines Sicherheitsbeauftragter, Schutz vor Schadsoftware und anderen Bedrohungen, etc.)
Grundlagen für den Anschluss eines Verwaltungsnetz ans DOI-Netz *)
*) Diese Regelungen orientieren sich an den „Rahmenbedingungen für den Einsatz und die Nutzung von Verwaltungsnetzen und des Verbundes im Deutschen Verwaltungsnetz (DVN)“ (vom 14.09.2005).
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 19
• Strukturierter Warenkorb für Netzanschlüsse und zentrale Dienste wird über ein Portal bereitgestellt
• Auswahlmöglichkeiten für die Netzanschlüsse zwischen unterschiedlichen Technologien und Bandbreiten
• Differenzierte Verfügbarkeiten und Servicelevel sind bedarfsabhängig wählbar
• Zentrale Dienste werden über die Plattform bereitgestellt (z.B. DNS, PKI und Verzeichnisdienste, E-Mail Gateway, ….)
• Detailiertes Monitoring und Reporting von Service Leveln– Für Services und Betriebsprozesse
• Kostentransparenz für alle Leistungen und Services– Keine Quersubventionierung oder Kostenumlage
Leistungen im Rahmen des DOI-Netzes
www.doi-netz.de
DEUTSCHLANDONLINE
06. November 2009 20
Jetzt - oder jederzeit an
Thomas KrampertLizenzierter ISO 27001-Auditor
DOI-Netz e.V.
Tel 03018 358 7549 oder0171 303 8166
Mail [email protected]
oder [email protected]
Fragen