TECHNISCHE UMSETZUNG DES IT-NETZGESETZES Gabriele Goldacker, Jens Tiemann; 3. Fachkongress des IT-PLR am 12./13. Mai 2015 Frank Meyer (IT.Niedersachsen)
ÜBERSICHT Ausgangslage / Herausforderungen / Anforderungen Lösungsebene Anwendung Lösungsebene Netz Empfehlungen 2
AUSGANGSLAGE 3 Datenaustausch über das Verbindungsnetz Der Datenaustausch zwischen dem Bund und den Ländern erfolgt über das Verbindungsnetz. IT-NetzG & geschärftes Bewusstsein für IT-Sicherheit Betroffen u. a. OSCI-basierte Fachverfahren: Kommunikation über E-Government-Infrastruktur und/oder Internet E-Mail: indirekte Kommunikation über Server im Netz ( Store & Forward ) Web-basierte Verfahren: direkte Kommunikation zwischen Organisationen Middleware : OSCI-Transport, DVDV Zugänge zu Verwaltungsnetzen: Verbindungsnetz, Landes- / kommunale Netze Internet-Zugänge: Kommunikation mit Bürgern / Wirtschaft Rechenzentren: ggf., durch Verlagerung von Komponenten 3
HERAUSFORDERUNG: SICHERE, GESETZESKONFORME KOMMUNIKATION? Verwaltungsnetz(e) Bund / Land / Kommune Bund / Land / Kommune Internet Wahl des Netzes für einen bestimmten Partner / bestimmte Sicherheitsanforderungen? Sichere Trennung der Netze? Effiziente/r, kostengünstige/r Konfiguration und Betrieb? Bürger / Wirtschaft / Externe Organisationen Land / Kommune 4
ANFORDERUNGEN AN LÖSUNGEN wenige Änderungen an den Fachverfahren: Investitionsschutz (Aber: zu spezifische Programmierung kann zum Problem werden!) wenige Änderungen an den Arbeitsplätzen / in den Arbeitsplatznetzen: zahlreich, viele Fehlermöglichkeiten möglichst zentralisierte Konfiguration der Kommunikationspfade: Effizienz, Sicherheit, weniger Fehlermöglichkeiten Verantwortung für Dienst und Zugriffsregeln möglichst in einer Hand: Effizienz, Vermeidung von Fehlkonfiguration weitestgehende Standard-Konformität: Fehlervermeidung, leichtere Fehlersuche, Zukunftssicherheit 5
LÖSUNGSRAUM Beispiele Anwendung Verzeichnisdienst - DVDV Mailertable Netz Domain Name System (DNS) Statische Konfiguration SINA Box IP(v6)-Adressen Übertragung Nutzung sicherer Netze 6
LÖSUNGSEBENE ANWENDUNG: NETZAUSWAHL (1) Steuerung der Netzauswahl über Ergebnis der Verzeichnis-Abfrage: Verfügbarkeit von Pfaden über Verwaltungsnetze Geeignete Reihenfolge / Kennzeichnung der gelieferten Adressen DVDV-Server Intermediär (1) (2) Arbeitsplatz ÖV A OSCI-Sender (Verwaltungs-)Netze Fachverfahren ÖV B 7
LÖSUNGSEBENE ANWENDUNG: NETZAUSWAHL (2) Unterschiedliche Antworten vom DVDV-Server je nach Anfrager (ÖV / Nicht-ÖV) (oder nach vom Anfrager genutzten Pfad) Verwaltungsnetze OSCI-Sender ÖV A (1a) (2a) (3) OSCI-Empfänger (1b) DVDV-Server Intermediär ÖV B (2b) OSCI-Sender Externe Organisation Internet 8
LÖSUNGSEBENE NETZ: 2-BEINIGER INTERMEDIÄR Verbindungsnetz SINA Paketfilter Intermediär Verbindungsnetz- Anschluss Proxy Paketfilter Backend Internet Paketfilter Proxy DMZ Internet-Anschluss 9
LÖSUNGSEBENE NETZ: KOMPONENTENVERLAGERUNG Dienstleister Verbindungsnetz SINA Paketfilter Intermediär Verbindungsnetz- Anschluss Proxy Paketfilter PAP Backend Internet Paketfilter Proxy DMZ Internet-Anschluss 10
LÖSUNGSEBENE NETZ: DNS-BASIERTE ADRESSAUFLÖSUNG Unterschiedliche Antworten vom DNS Server je nach Anfrager (ÖV / Nicht-ÖV) Verteilte DNS-Systeme reduzieren Skalierungsprobleme der Mailertable Mail Transfer Agent / DNS Resolver ÖV A (1a ) Verwaltungsnetze (1a) DNS Server liefert ÖV- bzw. Nicht-ÖV-IP-Adresse des E-Mail-Servers ÖV- + Nicht-ÖV-IP-Adresse Mail Transfer Agent / DNS Resolver Externe Organisation Internet 11 E-Mail-Server ÖV B
EMPFEHLUNGEN (1) Allgemein! Konsolidierung von Infrastrukturen zentralisierte, sichere Netzzugänge in Organisationen! verstärkte Nutzung von Landes- / kommunalen Netzen / Dienstleistern / Rechenzentren Häufig kostengünstigerer Zugang zum Verbindungsnetz, insbes. für kleine Kommunen / Organisationen Einheitliche Konfiguration und einheitlicher Betrieb erleichtern gemeinsame Änderungen und die Fehlersuche 12
EMPFEHLUNGEN (2) Anwendungsebene sichere und leistungsfähige OSCI- / DVDV-Infrastruktur vorhanden! Anpassung dieser Infrastruktur für die sichere, automatisierte Wahl des korrekten Pfades für ÖV- und Nicht-ÖV-Organisationen über Verzeichnisse! Anpassung dieser Infrastruktur für die sichere, kosteneffiziente Anbindung der Intermediäre und den korrekten Zugang dazu für ÖV- und Nicht-ÖV-Organisationen Netzebene! verstärkte Nutzung global standardisierter Verzeichnisdienste wie DNS unterschiedliche Sichten sind DNS-Standard (und in der Wirtschaft im Einsatz) reduziert Skalierungsprobleme! IPv6-Einführung eindeutige Zuordnung zur Verwaltung über das IPv6-Rahmenkonzept möglich 13
Gabriele Goldacker Jens Tiemann Gabriele.Goldacker@fokus.fraunhofer.de 030 3463-7120 Jens.Tiemann@fokus,fraunhofer.de 030 3463-7341 Fraunhofer FOKUS www.fokus.fraunhofer.de Kompetenzzentrum Öffentliche IT www.oeffentliche-it.de Kaiserin-Augusta-Allee 31 10589 Berlin Frank Meyer IT.Niedersachsen (Landesbetrieb) Fachgebiet 38 Infrastrukturdienste Göttinger Chaussee 259 30459 Hannover Frank.Meyer@it.niedersachsen.de 0511 9898-7087 14