4a High level architectuur GGI-Netwerk - VNG Realisatie...2.2 Ontwerpeisen architectuur GGI-Netwerk...
Transcript of 4a High level architectuur GGI-Netwerk - VNG Realisatie...2.2 Ontwerpeisen architectuur GGI-Netwerk...
1 VNG Realisatie
Realisatie
Architectuur GGI-Netwerk
2 VNG Realisatie
3 VNG Realisatie
1. Inleiding
Gemeenten hebben VNG en VNG Realisatie opdracht gegeven in het kader van Samen Organiseren te werken aan meer collectiviteit in ICT-voorzieningen. Hier wordt invulling aan gegeven door het ontwikkelen van de Gemeentelijke Gemeenschappelijke Infrastructuur (GGI). Onderdeel van de GGI is het GGI-Netwerk: een beveiligd datanetwerk speciaal voor gemeenten en gemeentelijke samenwerkingsverbanden. Het GGI-Netwerk zorgt voor veilige dataconnecties met andere overheden waardoor samenwerken tussen gemeenten en andere overheden beter, veiliger en gemakkelijker wordt. GGI-Netwerk wordt gerealiseerd binnen het contract dat is gesloten bij de aanbesteding GT-Vast. Dit houdt in dat de winnaar van dat contract (VodafoneZiggo) het datanetwerk technisch inricht in opdracht van VNG. Gezorgd wordt dat alle gemeenten en gemeentelijke samenwerkingsverbanden kunnen aansluiten op GGI-Netwerk. Tevens wordt GGI-Netwerk aangesloten op de diginetwerkinfrastructuur. Hierdoor kunnen gemeenten via GGI-Netwerk dataverbindingen realiseren met ketenpartners die ook op Diginetwerk zijn aangesloten. Tot slot wordt een aparte zone op GGI-Netwerk gecreëerd voor de ontsluiting van de omgeving van commerciële cloud-leveranciers. Hiermee wordt het eenvoudiger om verbinding met cloud-leveranciers te realiseren en kunnen gemeenten meer grip krijgen op deze leveranciers.
4 VNG Realisatie
2. Vereisten aan GGI-Netwerk
2.1 Generieke principes
De generieke principes die gelden zijn: • GGI-Netwerk reduceert vanuit gemeentelijk perspectief de complexiteit van de benodigde
netwerkinfrastructuur voor de uitvoering van de gemeentelijke taken. • De dienstverlening is voor de op GGI-Netwerk aan te sluiten partijen nauwkeurig beschreven
en transparant. • Eén organisatie is verantwoordelijk en aanspreekbaar voor de GGI-Netwerk dienst en -
dienstverlening. • Afspraken zijn vastgelegd. • GGI-Netwerk is onafhankelijk van het internet. • GGI-Netwerk is government controlled. • GGI-Netwerk conformeert zich aan de wettelijke standaarden, aan de gangbare en Open
Standaarden op de Pas-toe-of-leg uit-lijst zoals vastgesteld door het Forum en College Standaardisatie en aan landelijk vastgestelde standaarden van gemeenten.
• GGI-Netwerk zal op basis van het IPv6 overheidsnummerplan worden ingericht maar ook IPv4 ondersteunen. Deze open standaard wordt hier vanuit functioneel oogpunt expliciet genoemd gezien de noodzaak om de toegankelijkheid tussen gemeenten en de buitenwereld te kunnen waarborgen.
• GGI-Netwerk faciliteert de vorming van een gemeentelijke community cloud infrastructuur.
2.2 Ontwerpeisen architectuur GGI-Netwerk
GGI-Netwerk wordt aangesloten op de infrastructuur van Diginetwerk. Dit betreft een van het internet afgesloten netwerk met alleen bekende (trusted) partijen. Dit deel van GGI-Netwerk is de zone GGI-Netwerk-basis. Daarnaast wordt een afzonderlijke zone ingericht waar commerciële cloud-leveranciers kunnen aansluiten: GGI-Netwerk-markt. De zone GGI-Netwerk-basis fungeert als het koppelvlak tussen enerzijds het Diginetwerk middels de aansluiting op het Koppelpunt Publieke Sector(KPS) en anderzijds de gemeentelijke bedrijfsnetwerken. Vanuit de Diginetwerk architectuur optiek is GGI-Netwerk-basis een koppelnetwerk en dient daarbij te voldoen aan de eisen gesteld in de aansluitvoorwaarden Diginetwerk van Logius. Met de aansluiting op het KPS worden voor de aangesloten gemeenten de GDI-voorzieningen/landelijke bronnen ontsloten. Voor de aansluiting van GGI-Netwerk-basis op het KPS gelden de volgende eisen (NB dit betreft door Logius, de beheerder van Diginetwerk, gestelde eisen aan alle koppelnetwerken):
• GGI-Netwerk-basis is zonder extra maatregelen geschikt voor Gemeentelijk Vertrouwelijk conform Baseline; Informatiebeveiliging Nederlandse Gemeenten en WBP-risicoklasse 2.
• GGI-Netwerk-basis is transparant voor het transport van IP-pakketten. • Het gebruik van Internet-VPN’s binnen Koppelnetwerken Diginetwerk en voor
klantaansluitingen is niet toegestaan. • Er mag vanuit GGI-Netwerk-basis geen communicatie van en naar het internet mogelijk zijn. • Er mogen tussen GGI-Netwerk-basis en het KPS geen blokkerende firewalls aanwezig zijn
voor regulier gebruikersverkeer (HTTP, HTTPS, DNS, SMTP, ICMP, NTP). • De aangesloten apparatuur van de koppelnetwerkbeheerder op het KPS dient te beschikken
over een vaste configuratie van Ethernet-parameters die exact overeenkomt met de door Logius vastgestelde standaard.
• De koppelnetwerkrouters waarmee het Koppelnetwerk op het KPS worden aangesloten zijn voorzien van een door het BKWI verstrekt IP-adres.
5 VNG Realisatie
• Vanuit het Koppelnetwerk worden uitsluitend IP-protocollen op het KPS aangeboden. • Tussen de koppelnetwerken die aangesloten zijn op het KPS wordt IP-verkeer onderling
dynamisch gerouteerd met de door Logius vastgestelde BGP-standaard (BGP-4). • Voor gebruik van het BGP-protocol dient de beheerder van het koppelnetwerk te beschikken
over een Autonomous Sytem Number. Toegestaan zijn: o publieke AS-numbers die door het RIPE NCC (of één van de andere RIR’s) aan de
betreffende organisatie uitgegeven zijn (deze optie heeft de voorkeur), of o private AS-numbers die door Logius uitgegeven en geadministreerd worden.
• Apparatuur dient 32-bit (4-byte) AS-numbers te ondersteunen. • De routers van de koppelnetwerken hebben BGP-verbindingen met de twee routeservers van
het KPS. • Er wordt uitsluitend IP-verkeer gerouteerd afkomstig van die IP-adressen die door Logius zijn
verstrekt en geregistreerd. • ICMP-pakketten van type "Fragmentation Needed and Don't Fragment was Set” (type 3, code
4) dienen waar nodig door routers te worden gegenereerd en niet uitgefilterd. • Het Ethernetverkeer wordt door de Koppelnetwerkbeheerder op basis van de IEEE 802.3-
standaard en RFC 894 aangeboden. • Koppelnetwerkbeheerders zijn verplicht om van hun koppelnetwerk richting KPS uitgaand
verkeer te controleren op source IP-adressen en pakketten met een source IP-adres dat niet tot hun koppelnetwerk behoort te verwijderen alvorens het aangeboden wordt aan het KPS (anti-spoofing protectie).
• De Koppelnetwerkbeheerder is binnen zijn netwerk verplicht voor alle IP-interfaces, die deel uitmaken van een routeerbaar pad door Diginetwerk, ICMP/UDP-verkeer zodanig te ondersteunen dat alle andere Koppelnetwerkbeheerders door middel van een Traceroute het volledige routeerbare pad kunnen bepalen.
Voor de aansluiting van gemeentelijke bedrijfsnetwerken (klantaansluiting) op GGI-Netwerk-basis gelden de volgende aanvullende eisen:
• De te leveren klantaansluitingen en koppelvlakken tussen koppelnetwerken op laag 1 en laag 2 zijn:
o Koper: Ethernet 100 Mbps, 1 Gbps of 10 Gbps; Full duplex, auto negotiate; o Glas: Ethernet 100 Mbps, 1 Gbps of 10 Gbps;
• Naast enkelvoudige aansluitingen, dienen redundante aansluitingen naar één of meer koppelnetwerken geboden te kunnen worden.
• Een klantaansluiting dient te voldoen aan de randvoorwaarden vastgelegd in de Aansluitvoorwaarden Diginetwerk.
• De klantaansluiting is een overgang van Diginetwerk naar een ander beveiligingsniveau en er dient derhalve een beveiligd koppelvlak gebruikt te worden dat logging en inspectie mogelijk maakt.
• De eindgebruiker is zelf verantwoordelijk voor de beveiligingsmaatregelen op hun aansluiting op GGI-Netwerk-basis.
2.3 Beveiliging
Vanuit beveiligingsoptiek zijn de BIG en de BIR van belang. De BIG omdat gemeenten daaraan moeten kunnen voldoen bij gebruik van GGI-Netwerk. En de BIR omdat Logius dit voorschrijft vanuit de eisen aan Diginetwerk. GGI-Netwerk wordt technisch gezien gerealiseerd vanuit het contract dat is gesloten vanuit de aanbesteding GT-Vast. Bij die aanbesteding is het in het programma van eisen opgenomen dat de diensten aan de BIG dienen te voldoen. De aanbieder heeft zich hieraan geconformeerd. Bij realisatie wordt hier op gecontroleerd, onder meer door testen. De voor GGI-Netwerk relevante hoofdstukken uit de BIG/Tactische Baseline Informatiebeveiliging zijn: 6.2, 10.6, 11.4, 13 en 15. Vanuit Logius wordt de BIR verplicht gesteld. Hieruit volgt de verplichting tot actieve
6 VNG Realisatie
netwerkmonitoring. Het programma GGI geeft hier invulling aan door gebruik te gaan maken van de inkoop in het kader van GGI-Veilig van SIEM/SOC diensten.
2.4 Beschikbaarheid, capaciteit en Quality of Service
Voor GGI-Netwerk als geheel gelden op het gebied van beschikbaarheid, capaciteit en Quality of Service de volgende algemene eisen:
• GGI-Netwerk is 7 x 24 uur beschikbaar met een beschikbaarheidseis van >99,9% • GGI-Netwerk is opgebouwd met redundante aansluitingen met een automatische
herroutering. • GGI-Netwerk is schaalbaar tot klantaansluitingen van maximaal 10 Gbps. • De maximale Round trip delay van klantaansluiting tot KPS bedraagt 10 ms (gemeten met een
pakket van 100 Bytes bij een belasting van minder dan 80 % van de maximale capaciteit). QoS klassen zijn nog niet gedefinieerd. Voor de deelnemende gemeenten kan in de Expertgroep GGI-Netwerk worden onderzocht of daar behoefte aan is en zo ja hoe deze QoS-klassen er dan uit moeten zien. Als beperking hierbij geldt enerzijds de mogelijkheden die de GT-Vast partij daarbij biedt. Anderzijds geldt voor de zone GGI-Netwerk-basis, wanneer opportuun, of dit op Diginetwerk gerealiseerd kan worden. Voor Diginetwerk geldt dat Quality of Service niet is gedefinieerd. Uitgangspunt bij Diginetwerk is voldoende bandbreedte ter beschikking te hebben zodat congestie niet of niet merkbaar voor kan komen. Indien de behoefte voor QoS in een later stadium wel wenselijk wordt geacht (voor bijvoorbeeld voice- of videoverkeer), dan dienen alle koppelnetwerken dit te kunnen ondersteunen.
7 VNG Realisatie
3. Architectuur uitwerking
3.1 GGI-Netwerk stakeholders en diensten
Onderstaande plaat geeft een overzicht van de stakeholders en diensten van GGI-Netwerk.
Afbeelding 1: GGI-Netwerk: Stakeholders en Diensten1
3.2 Toelichting elementen GGI-Netwerk
Element Beschrijving Elementtype Bestuurder BusinessRole Collectieve diensten eigenaar
De eigenaar van gemeentelijke collectieve voorziening is verantwoordelijk voor de realisatie en beheer Voorzieningen die op de rol staan om te worden gerealiseerd danwel waarvan het gebruik wordt verbreed e/o opgeschaald zijn bijvoorbeeld:
i. Landelijke online diensten (landelijke verhuisservice, digitale aangifte overlijden en geplande uitbreiding voor akten)
BusinessRole
1 De meest recente - en interactieve - versie van deze plaat is te raadplegen op internet, zie: https://www.gemmaonline.nl/index.php/GGI-Netwerk
8 VNG Realisatie
ii. Gemeentelijke gegevensplatform (uit visienota)
iii. GBI (Gemeentelijke Basisprocessen Inkomen incl. voorzieningen)
iv. Collectieve voorzieningen voor uitvoering van de omgevingswet;
Deelnemer GT-vast Gemeente of samenwerking die gebruik maakt van de collectief afgesloten overeenkomst voor voor data en spraak dienstverlening (GT Vaste Communicatie)
BusinessRole
Dienstverleningscontract Contract Diginetwerk - Veilige communicatie tussen overheden
Diginetwerk is een stelsel van besloten netwerken. Diginetwerk biedt de connectiviteit waarmee elke organisatie binnen het publieke domein elke andere organisatie daarbinnen kan bereiken, op eenvoudige en gestandaardiseerde wijze via geharmoniseerde en in samenhang gekoppelde netwerken en zonder afhankelijkheid van internet.
BusinessService
Diginetwerk _ architectuur en aansluitvoorwaarden
De diginetwerk aansluitvoorwaarden bevatten de eisen aan de koppelnetwerkbeheerder, de verantwoordelijkheden en de technische aansluitvoorwaarden.
Constraint
Diginetwerk beheerder De beheerder DigiNetwerk ontwikkelt de architectuur en stelt als regievoerder van het afsprakenstelsel Diginetwerk aansluitvoorwaarden op. Met de aansluitvoorwaarden en de overeenkomsten worden alle aangesloten organisaties en de koppelnetwerkaanbieders gehouden aan de gestelde eisen om de goede en veilige werking van Diginetwerk te waarborgen. De aangesloten organisaties en de koppelnetwerken zijn zelf verantwoordelijk voor het naleven van de afspraken en de verantwoording hierover.
BusinessRole
Diginetwerk koppelnetwerken
Diginetwerk maakt het mogelijk dat op basis van één koppeling aan een Netwerk dat deel uitmaakt van Diginetwerk alle netwerkaansluitingen van alle Netwerken te bereiken zijn die deel uitmaken van Diginetwerk.
BusinessService
Diginetwerk mail Diginetwerk Mail maakt het mogelijk maken dat email tussen overheidsorganisaties over het besloten Diginetwerk uitgewisseld wordt in plaats van over het publieke internet
BusinessService
GGI Adviesraad BusinessActor GGI verantwoordelijke De service-eigenaar GGI is
verantwoordelijk voor beschikbaarheid, continuïteit, serviceniveaus, beveiliging, toegang, support, incident- en
BusinessRole
9 VNG Realisatie
problemmanagement en onderhoud en doorontwikkeling van de GGI-diensten. Hierbij hoort passende collectieve sturing met kenmerken als lange adem, duurzame financiering, ontkoppeling van de waan van de dag en kennis van regievoering van vraagbundeling, kwaliteits- en lifecyclemanagement van grootschalige ICT/IV.
Taken en verantwoordelijkheden:
• Vraagbundeling, • Product lifecyclemanagement • Kwaliteits- en
servicelevelmanagement • Technische regie/monitoring
– Afbakening hiervan moet nog worden vastgesteld
• Contract, supplychain en leveranciersmanagement
• Financieel beheer, prijsbeleid en doorbelasting afspraken
• ... GGI-Afspraken GGI-Afspraken: Afsprakenstelsel voor
het aansluiten van Cloud-oplossingen van leveranciers, hiermee wordt de gemeente in hoge mate ontzorgd voor het integreren van cloudoplossingen binnen het eigen applicatielandschap, gemeenten hoeven hier dan niet zelf op aan te sluiten.
Constraint
GGI-Netwerk afnemer Een GGI-Netwerk afnemer maakt gebruik van de GGI-Netwerk diensten
BusinessRole
GGI-Netwerk intern De GGI-Netwerk intern netwerkdiensten worden gebruikt door de op het GGI-Netwerk aangeboden GGI-diensten, waaronder: • GGI-Veilig • GGI-Services • en eventuele (nog te realiseren)
gemeentelijke voorzieningen Feitelijk betreft het hier het aanleg, inrichting en het beheer van het GGI bedrijfsnetwerk. Een niet uitputtende lijst van de benodige netwerkdiensten
• Eventueel gescheiden netwerken voor test, acceptatie, productie en beheer
• Internettoegang • PKI certificaat services • Firewall services • DNS services • ... De benodige netwerkservices worden eenmalig ingericht en (her)gebruikt door alle afnemers van GGI-Netwerk, tenzij
BusinessService
10 VNG Realisatie
dit om beveiligingstechnische of andere redenen niet mogelijk is.
Netwerk-diensten die niet gedeeld kunnen worden, worden apart voor een GGI-dienst ingericht.
GGI-Netwerk-dienstverlening
De GGI-Netwerk-dienstverlening bevat de voor alle afnemers geldende diensten die worden aangeboden aan gemeenten, samenwerkingen en leveranciers De diensten worden opgenomen in de GGI producten en diensten catalogus.
De GGI-Netwerk-dienstverlening bestaat uit:
• aan/afsluiten gemeenten en samenwerkingen op commerciele SAAS diensten
• aan/afsluiten gemeenten en samenwerkingen op landelijke gegevensdiensten
BusinessService
GGI-Netwerkdienst geen GT-vast deelnemer
Het GGI-Netwerkdienst-niet GT-vast deelnemer biedt afnemers die géén deelnemer zijn van GT-vast toegang tot het GGI-Netwerk-basis. De GGI-koppelpunt niet GT-vast deelnemer bestaat uit:
• aan/afsluiten gemeenten en samenwerkingen
BusinessService
GGI-Netwerkdienst-basis De GGI-Netwerkdienst-basis biedt afnemers die deelnemer zijn van GT-vast toegang tot het GGI-Netwerk-basis. De GGI-Netwerk-basis-service bestaat uit:
• aan/afsluiten gemeenten en samenwerkingen
BusinessService
GGI-Netwerkdienst-markt
De GGI-Netwerk-markt-service biedt aanbieders van SAAS diensten toegang tot het GGI-Netwerk. De GGI-Netwerk-markt-service bestaat uit:
• aan/afsluiten leveranciers van SAAS diensten
• aan/afsluiten leveranciers van SAAS diensten op landelijke gegevensdiensten
• aan/afsluiten leveranciers van SAAS diensten op gemeenten en samenwerkingen
Om aan te mogen sluiten op het GGI-Netwerk moet een aanbieder van SAAS diensten voldoen aan de GGI-Afspraken
BusinessService
GGI-Services-dienstverlening
De GGI-services bieden leveranciers en gemeenten de mogelijkheid om
BusinessService
11 VNG Realisatie
koppelingen en API's aan te bieden en af te nemen op een flexibele manier.
GGI-Veilig-dienstverlening
GGI-Veilig-dienstverlening bestaat uit de operationele informatiebeveiliging op GGI-Netwerk en binnengemeentelijke bedrijfsnetwerken/ICT-infrastructuren
BusinessService
GT-vast dienstverlening Uit de "Overeenkomst GT Vaste Communicatie" In bijlage 6 is de Producten- en Dienstencatalogus opgenomen. Met de Producten- en Dienstencatalogus wordt een overzicht gegeven van de Standaard Diensten die onder de Overeenkomst voor GT Vaste Communicatie afgenomen kunnen worden. Deze Producten- en Dienstencatalogus (PDC) kan gedurende de looptijd van de overeenkomst aangevuld en bijgesteld worden via de procedure dienstverleningsverbetering.
Voor GGI worden nu onderkende relevante diensten getoond, namelijk Internet en VPN-diensten.
BusinessService
Geen deelnemer GT-vast Gemeente of samenwerking die zelf een overeenkomst voor data heeft afgesloten.
BusinessRole
Gemeente BusinessActor Gemeentelijke samenwerking
Een samenwerking (of samenwerkingverband) is een juridische vorm waarin gemeenten vastleggen welke specifiek omschreven taken en bevoegdheden aan de samenwerking worden gedelegeerd.
BusinessActor
IPVPN dienst Uit de "Overeenkomst GT Vaste Communicatie" IPVPN-diensten. Dit zijn laag-3 datadiensten om tussen locaties op IP-niveau een besloten virtueel netwerk te creëren.
BusinessService
Landelijke gegevensdiensten beheerder
Aanbieders van gegevensdiensten op Diginetwerk (waaronder de GDI): • de verstrekkers van basisregistraties • kadaster • etc De gegevensdiensten van de aanbieders kunnen via de GGI
• voor gemeenten ontsloten worden of
• gemeentelijk gegevens geleverd krijgen
BusinessRole
Leverancier BusinessActor Logius Logius zorgt voor producten en diensten
voor de digitale overheid. We bieden ICT-oplossingen en standaarden die alle overheidsorganisaties gebruiken in hun digitale dienstverlening. Zo helpen we overheid, bedrijven en burgers om snel,
BusinessActor
12 VNG Realisatie
eenvoudig en veilig met elkaar te communiceren.
Netwerkdiensten beheerder
De aanbieder netwerkdiensten is verantwoordelijk voor het leveren van telecommunicatiediensten
BusinessRole
Overeenkomst GT Vaste Communicatie
De overeenkomst GT Vaste Communicatie is het resultaat van de tweede gezamenlijke aanbesteding van Gemeentelijke Telecommunicatie voor spraak en data. Op 21 september 2017 sloten VodafoneZiggo en VNG de overeenkomst GT Vaste Communicatie. In de overeenkomst zijn de Diensten omschreven alsmede de voorwaarden waaronder deze worden geleverd.
Contract
Regie en management Regievoering op planning, inhoud, requirements, kwaliteit van collectieve voorzieningen die zijn of worden gerealiseerd
BusinessRole
SaaS dienstverlener (cloud)
Een SaaS-dienstverlener biedt op de (gemeentelijke) markt in de cloud functionaliteit aan.
BusinessRole
Taskforce “Samen organiseren”
BusinessActor
VNG realisatie BusinessActor Zakelijke internetdiensten
Uit de "Overeenkomst GT Vaste Communicatie" Zakelijke internetdiensten: Dit zijn diensten die gebruikelijk in de zakelijke markt geleverd worden om locaties met internet te verbinden. Voor deze diensten gelden dezelfde gegarandeerde servicelevels zoals die ook gelden voor Datadiensten.
BusinessService
Ziggo Vodafone De leverancier Ziggo Vodafone is de aanbieder van GGI-Netwerkdiensten op grond van het GT-VAST contract
BusinessActor
13 VNG Realisatie
4. High level design GGI-Netwerk
4.1 Overzicht GGI-Netwerk
4.2 Inrichting GGI-Netwerk
17
GT-vast
GGI-Netwerk
Markt
Basis
KPS
Leverancier 2
Leverancier 1
SaaS
Cloud
GGI CentraleOmgeving
DNS
Mail relay
Lokale applicaties
Decentrale componenten
NietDeel-nemer
Lokale applicaties
Decentrale componenten Deel-
nemer
AansluitvoorzieningNiet-Deelnemers