Einführung des ALKIS -Verfahrens im Land Brandenburg IT-Feinkonzept

Einführung des ALKIS -Verfahrens im Land Brandenburg IT-Feinkonzept

2 Das IT-Feinkonzept zum ALKIS -Verfahren führt Festlegungen und ausführliche Festlegungen zu folgenden Themenfeldern zusammen Topologie Hardwaresysteme und Systemsoftware Netzwerk mit AD-Struktur Komponenten zur Betriebsabwicklung Sicherheitsbelange Service und Maintenance

Topologie der IT-Infrastruktur 3 Standort Rechenzentrum des ZIT-BB in Potsdam ALKIS -Produktions- und Pilotierungssysteme Zugangspunkt ins LVN Standort Betriebssitz der LGB in Frankfurt (Oder) ALKIS -Test-/Entwicklungs- und Notfallsysteme Zugangspunkt ins LVN Arbeitsplätze für ALKIS -EQK und ALKIS -DHK 18 Katasterbehörden in den Landkreisen und kreisfreien Städten Arbeitsplätze für ALKIS -EQK Zugang ins LVN über die Kopfstellen Betriebssitze der LGB in Potsdam und Prenzlau Arbeitsplätze für ALKIS -EQK Zugang ins LVN

Hardwaresysteme 4 Produktion und Pilotierung HP-Blade-Server, HP-EVA-Storage, Overland-Libraries, Netzwerkkomponenten Test/Entwicklung und Notfall HP-Blade-Server, HP-EVA-Storage, Netzwerkkomponenten, Administrationssysteme Katasterbehörden Desktop-PCs, Drucker und Plotter weitere Dienstsitze der LGB Desktop-PCs, Drucker und Plotter, Netzwerkkomponenten

Hardwaresysteme Produktion und Pilotierung sowie Test/Entwicklung und Notfall 5 HP-Blade-Server HP-EVA-Storage Overland-Libraries Netzwerkkomponenten

Hardwaresysteme Produktion und Pilotierung sowie Test/Entwicklung und Notfall 6 HP-Blade-Server Die erforderlichen Server werden innerhalb eines Bladesystems HP_C7000 zur Verfügung gestellt. Folgende Blades kommen zum Einsatz: HP_BL490c_G6 und HP_BL460c_G6 8 Blades ESX Serverfarm (Infrastrukturdienste, XenApp EQK, DHK) - CPU 2* Quad-Core 2,93 GHz, RAM 144 GB 2 Blades Datenbank Oracle-RAC - CPU 2* Quad-Core 2,93 GHz, RAM 144 GB 1 Blade Backupserver - CPU 1* Quad-Core 2,4 GHz, RAM 12 GB, FP 72 GB

Hardwaresysteme Produktion und Pilotierung sowie Test/Entwicklung und Notfall 7 HP-EVA-Storage Den benötigten Plattenplatz liefert den Systemen innerhalb eines Storage Area Network eine EVA4400, die redundante Anbindung erfolgt über 8Gb Fibre Channel Module. Die Plattenkapazität wird in der ersten Ausbaustufe, mit 48(max.96) * 450 GB 15K Fibre Chanel Festplatten (netto 16 TB), über ein Enterprise Virtual Array (EVA) zur Verfügung gestellt.

Hardwaresysteme Produktion und Pilotierung sowie Test/Entwicklung und Notfall 8 Overland-Libraries Die Backuphardware besteht aus einer Overland REO 4600 mit einer Netto-Kapazität von 16.558GB. Die REO 4600 wird als Backup-to-Disk-Appliance verwendet. Für die Sicherungskopie auf Band steht eine Overland NEO 2000e mit zwei LTO-4 Laufwerken und 30Slots für Bänder zur Verfügung, die eine Nettokapazität von 24TB hat.

Systemsoftware 9 Virtualisierung VMware Enterprise Plus Edition Betriebssysteme Windows Server2008 R2 Datacenter Edition SUSE Linux Enterprise Server 11 Terminalservices Citrix XenApp Platinum Edition Datenbanken Oracle Standard Edition MS SQL Standard Edition

Systemsoftware Citrix Terminalservices 10 Auf die AAA-Umgebung wird von den Anwendern ausschließlich über ein CITRIX Access Gateway Enterprise zugegriffen. Daher kommt hier die Platinum Edition zum Einsatz. Es handelt sich um einen NetScaler Typ MPX 5500 (als Cluster) mit der lizenzierten Funktionalität eines Access Gateway Enterprise Edition (AGEE). Das Gerät wird als ICA- Proxy programmiert und stellt somit für den Anwender eine SSL-gesicherte URL bereit, über welche er sich via Zweifaktor-Authentifizierung anmeldet. Das AGEE prüft daraufhin die eingegebenen Anmeldeinformationen einerseits gegen den RADIUS-Server und andererseits gegen das Active Directory. Sind beide Anmeldungen erfolgreich, wird der Anwender auf eine Website geleitet, von der aus er seine Published Application starten kann. Dabei wird die gesamte Kommunikation zwischen AGEE und dem Endgerät des Anwenders per SSL getunnelt (Port 443).

Systemsoftware Citrix Deployment / Update XenApp Farmen 11 Für die Bereitstellung und das Update der XenApp Server werden wir die Citrix Provisioning Services (PVS) zum Einsatz bringen. Master Server, ein Image über den PVS erstellt, welches den anderen XenApp Servern zum Boot bereitgestellt wird. die Server der XenApp Farm entsprechen alle dem Stand des Master Servers das angebotene Image wird im Read only Verfahren genutzt Differenzen innerhalb der XenApp Server können nur während der Laufzeit der Server entstehen. Sobald die XenApp Server neu gestartet werden, befinden sie sich auf dem Stand des Images. Eine lokale Festplatte für das Betriebssystem ist nicht mehr notwendig. Da das Image nicht beschreibbar ist, benötigt der XenApp jedoch einen Ablageort für eine Cache-Datei, in die alle Schreiboperationen gegen das Image umgeleitet werden (diese Datei wird bei jedem Neustart gelöscht). Eine lokale Festplatte in der Konfiguration der VM von 20 GB. Neben dem Cache-File werden wir auf diese Festplatte auch das Pagefile auslagern.

IP-Netzwerk 12 Standortevernetzung über das LVN Brandenburg Anbindung der Katasterbehörden mit mind. 2MBit/s Anbindung des Produktionssystems und Pilotierungsumgebung im Rechenzentrum des ZIT-BB mit mind. 40 Mbit/s Anbindung der Test-/Entwicklungs- und Notfallsysteme in Frankfurt (Oder) mit mind. 40 Mbit/s Verfügbarkeit der Verbindungen während der Betriebszeiten des ALKIS - Verfahrens >= 99% Anbindung der Katasterbehörden in Notfällen über das Internet

Netzwerk 13

Netzwerk 14 AD-Struktur AAA und Standorte

IP-Netzwerk Standortevernetzung über das LVN und Internet (bei LVN Problem) 15

Komponenten zur Betriebsabwicklung 16 Commvault Simpana mit Agents für VTL und Library zur Datensicherung Nagios als verteilte Implementierung zur Systemüberwachung Track-IT zum zentralen Ticketmanagement McAfee als Virenschutz-Software

Commvault Simpana mit Agents für VTL und Library zur Datensicherung 17 Das Datensicherungssystem (Backupsystem) ist zweistufig aufgebaut, durch eine Virtual-Tape- Library (SATA Festplatten) und einer Tape-Library und orientiert sich an die vorhandene Sicherungsumgebung in der LGB. Der Standort ZIT Potsdam wird als 3. Standort verwaltungstechnisch in das Backupsystem integriert werden. Administrativ liegt dieser in der Verantwortlichkeit des LGB Frankfurt/Oder. Als Backuplösung dient das in der LGB eingesetzte Produkt CommVault SIMPANA. Dabei erfolgt die Steuerung des gesamten Backupprozesses über die Commcelle aus der LGB. Der Prozess selber läuft autark am Standort ZIT-BB ab. LGB-P Sicherung mit Simpana über Backupmanagement -server LGB-FFO Simpana Verwaltung mit Client ZIT-BB (AAA-Produktion) Sicherung mit Simpana Backupserver mit REO/NEO LGB-FFO (AAA-Ausfall- /Entwicklungssystem) (Simpana)

Nagios als verteilte Implementierung zur Systemüberwachung 18 Überwachung von Netzwerk-Services und Ressourcen je Standort ein Nagios Host zur aktiven Überwachung im jeweiligem Netzwerksegment Der Frankfurter Nagiosserver hat die zentrale Stellung. Er übernimmt die Checks der Satelliten als passive Checks. Im Falle eines Satellitenausfall wird automatisch ein aktiver Check des jeweiligen Service von zentralen Nagios Server durchgeführt. (freshness Test). Benachrichtigung per Mail, öffnen eines Tickets (TrackIT), per SMS ZIT-BB LGB-FFO

Track-IT zum zentralen Ticketmanagement 19 Zentrales Ticketmanagement Anfragen an den IT-Support werden zentral erfasst, vorqualifiziert, bearbeitet und dokumentiert Bestätigungsnachricht per E-Mail mit Ticketnummer ( Rückfragen ) Es gibt folgende Möglichkeiten eine Anfragen an den IT Support zu stellen per E-Mail Betriebsstelle Frankfurt/Oder: support_frankfurt@geobasis-bb.de per Telefon Betriebsstelle Frankfurt/Oder: +49(0)335 5582 744 Technische Stelle der LGB alkis@geobasis-bb.de per Telefon 0335-5582 508

McAfee als Virenschutz-Software 20 In der LGB wird die zentrale Virenschutzlösung epolicyorchestrator von McAfee eingesetzt. Der zentrale epo-server verwaltet diese Umgebung. Darin werden auch die Umgebungen im ZIT sowie in FF integriert. Die FF-Umgebung verwendet das in FF vorhandene Repository und im ZIT ist ein zusätzliches Repository eingerichtet, das vom epo-server mit aktuellen Patches versorgt wird. Von diesem vor Ort - Repository erhalten die mit dem Client ausgestatteten Server die aktuellen Virenpattern. Performanceverbesserung durch Richtlinienanpassung (Ausnahmeregelung)

Sicherheitsbelange 21 Sicherheitsbelange Aufsetzend auf die Schutzbedarfsfeststellung wurde durch ein externes Beratungsunternehmen für IT-Sicherheit ein Sicherheitskonzept nach dem Standard ISO 27001 auf der Basis von IT-Grundschutz des BSI für den Informationsverbund des AAA-Verfahrens mit Schwerpunkt ALKIS erstellt. Es erfolgte und erfolgt auf dieser Grundlage die Umsetzung der Anforderungen. PinSafe als zusätzliches Authentifizierungssystem K-iS EPA MultiScan VirusScan als Endpointanalyse für Citrix Access Gateway

PINsafe als zusätzliches Authentifizierungssystem 22 Multi-Faktor-Authentifizierung ohne weitere Hardware (wie Token) der Benutzer benötigt nur den zufällig erzeugten Security Code und die nur ihm bekannte PIN-Nummer, um sich authentifizieren zu können. Die One Time Code (OTC) Extraktion ist sehr einfach anzuwenden: die PIN bestimmt, welche Stellen aus dem Security Code in welcher Reihenfolge als OTC eingegeben werden müssen. Zum Beispiel: die PIN-Nummer 2 4 3 6 ergibt den OTC 5 8 7 4

K-iS EPA MultiScan VirusScan (Endpointanalysen für Citrix Access Gateway) 23 Höhere Anwendungssicherheit und optimierte Zugriffskontrolle Zum sicheren Netzwerkzugriff werden Endpoint-Analysen (EPAs) eingesetzt, um zu überprüfen, ob das jeweilige Endgerät alle erforderlichen Sicherheitskriterien erfüllt. Erst dann erhält der Benutzer Zugriff auf die für ihn freigegebenen unternehmensinternen Ressourcen. Dieser Scan prüft, ob auf dem Client ein Virenscanner installiert ist, der von K-iS MultiScan VirusScan unterstützt wird. Gleichzeitig checkt die Lösung, ob dieser Virenscanner aktuell und aktiviert ist. Wenn ein Update erforderlich ist, öffnet sich automatisch ein Benachrichtigungsfenster. Es gibt auch die Möglichkeiten der Citrix-eigenen Endpoint-Analysen, diese sind jedoch in der Anzahl unterstützter Virenscanner beschränkt. eine Liste der unterstützten Virenscanner ist unter http://www.k-is.de einzusehen Ihr Produkt ist nicht dabei? Kein Problem... geben Sie uns eine kurze Info!

Service und Maintenance 24 Für alle Komponenten der IT-Infrastruktur wird eine weitgehend einheitliche Service- und Maintenanceregelung angestrebt. Wartungs- und Pflegeverträge werden mit einer dreijährigen Laufzeit abgeschlossen und bei Bedarf danach mit jeweils 12-monatiger Laufzeit verlängert. Komponenten bedingt kommt es in Einzelfällen zu abweichenden Vertragslaufzeiten.

25 Vielen Dank für Ihre Aufmerksamkeit!