1 VNG Realisatie

Realisatie

Architectuur GGI-Netwerk

2 VNG Realisatie

3 VNG Realisatie

1. Inleiding

Gemeenten hebben VNG en VNG Realisatie opdracht gegeven in het kader van Samen Organiseren te werken aan meer collectiviteit in ICT-voorzieningen. Hier wordt invulling aan gegeven door het ontwikkelen van de Gemeentelijke Gemeenschappelijke Infrastructuur (GGI). Onderdeel van de GGI is het GGI-Netwerk: een beveiligd datanetwerk speciaal voor gemeenten en gemeentelijke samenwerkingsverbanden. Het GGI-Netwerk zorgt voor veilige dataconnecties met andere overheden waardoor samenwerken tussen gemeenten en andere overheden beter, veiliger en gemakkelijker wordt. GGI-Netwerk wordt gerealiseerd binnen het contract dat is gesloten bij de aanbesteding GT-Vast. Dit houdt in dat de winnaar van dat contract (VodafoneZiggo) het datanetwerk technisch inricht in opdracht van VNG. Gezorgd wordt dat alle gemeenten en gemeentelijke samenwerkingsverbanden kunnen aansluiten op GGI-Netwerk. Tevens wordt GGI-Netwerk aangesloten op de diginetwerkinfrastructuur. Hierdoor kunnen gemeenten via GGI-Netwerk dataverbindingen realiseren met ketenpartners die ook op Diginetwerk zijn aangesloten. Tot slot wordt een aparte zone op GGI-Netwerk gecreëerd voor de ontsluiting van de omgeving van commerciële cloud-leveranciers. Hiermee wordt het eenvoudiger om verbinding met cloud-leveranciers te realiseren en kunnen gemeenten meer grip krijgen op deze leveranciers.

4 VNG Realisatie

2. Vereisten aan GGI-Netwerk

2.1 Generieke principes

De generieke principes die gelden zijn: • GGI-Netwerk reduceert vanuit gemeentelijk perspectief de complexiteit van de benodigde

netwerkinfrastructuur voor de uitvoering van de gemeentelijke taken. • De dienstverlening is voor de op GGI-Netwerk aan te sluiten partijen nauwkeurig beschreven

en transparant. • Eén organisatie is verantwoordelijk en aanspreekbaar voor de GGI-Netwerk dienst en -

dienstverlening. • Afspraken zijn vastgelegd. • GGI-Netwerk is onafhankelijk van het internet. • GGI-Netwerk is government controlled. • GGI-Netwerk conformeert zich aan de wettelijke standaarden, aan de gangbare en Open

Standaarden op de Pas-toe-of-leg uit-lijst zoals vastgesteld door het Forum en College Standaardisatie en aan landelijk vastgestelde standaarden van gemeenten.

• GGI-Netwerk zal op basis van het IPv6 overheidsnummerplan worden ingericht maar ook IPv4 ondersteunen. Deze open standaard wordt hier vanuit functioneel oogpunt expliciet genoemd gezien de noodzaak om de toegankelijkheid tussen gemeenten en de buitenwereld te kunnen waarborgen.

• GGI-Netwerk faciliteert de vorming van een gemeentelijke community cloud infrastructuur.

2.2 Ontwerpeisen architectuur GGI-Netwerk

GGI-Netwerk wordt aangesloten op de infrastructuur van Diginetwerk. Dit betreft een van het internet afgesloten netwerk met alleen bekende (trusted) partijen. Dit deel van GGI-Netwerk is de zone GGI-Netwerk-basis. Daarnaast wordt een afzonderlijke zone ingericht waar commerciële cloud-leveranciers kunnen aansluiten: GGI-Netwerk-markt. De zone GGI-Netwerk-basis fungeert als het koppelvlak tussen enerzijds het Diginetwerk middels de aansluiting op het Koppelpunt Publieke Sector(KPS) en anderzijds de gemeentelijke bedrijfsnetwerken. Vanuit de Diginetwerk architectuur optiek is GGI-Netwerk-basis een koppelnetwerk en dient daarbij te voldoen aan de eisen gesteld in de aansluitvoorwaarden Diginetwerk van Logius. Met de aansluiting op het KPS worden voor de aangesloten gemeenten de GDI-voorzieningen/landelijke bronnen ontsloten. Voor de aansluiting van GGI-Netwerk-basis op het KPS gelden de volgende eisen (NB dit betreft door Logius, de beheerder van Diginetwerk, gestelde eisen aan alle koppelnetwerken):

• GGI-Netwerk-basis is zonder extra maatregelen geschikt voor Gemeentelijk Vertrouwelijk conform Baseline; Informatiebeveiliging Nederlandse Gemeenten en WBP-risicoklasse 2.

• GGI-Netwerk-basis is transparant voor het transport van IP-pakketten. • Het gebruik van Internet-VPN’s binnen Koppelnetwerken Diginetwerk en voor

klantaansluitingen is niet toegestaan. • Er mag vanuit GGI-Netwerk-basis geen communicatie van en naar het internet mogelijk zijn. • Er mogen tussen GGI-Netwerk-basis en het KPS geen blokkerende firewalls aanwezig zijn

voor regulier gebruikersverkeer (HTTP, HTTPS, DNS, SMTP, ICMP, NTP). • De aangesloten apparatuur van de koppelnetwerkbeheerder op het KPS dient te beschikken

over een vaste configuratie van Ethernet-parameters die exact overeenkomt met de door Logius vastgestelde standaard.

• De koppelnetwerkrouters waarmee het Koppelnetwerk op het KPS worden aangesloten zijn voorzien van een door het BKWI verstrekt IP-adres.

5 VNG Realisatie

• Vanuit het Koppelnetwerk worden uitsluitend IP-protocollen op het KPS aangeboden. • Tussen de koppelnetwerken die aangesloten zijn op het KPS wordt IP-verkeer onderling

dynamisch gerouteerd met de door Logius vastgestelde BGP-standaard (BGP-4). • Voor gebruik van het BGP-protocol dient de beheerder van het koppelnetwerk te beschikken

over een Autonomous Sytem Number. Toegestaan zijn: o publieke AS-numbers die door het RIPE NCC (of één van de andere RIR’s) aan de

betreffende organisatie uitgegeven zijn (deze optie heeft de voorkeur), of o private AS-numbers die door Logius uitgegeven en geadministreerd worden.

• Apparatuur dient 32-bit (4-byte) AS-numbers te ondersteunen. • De routers van de koppelnetwerken hebben BGP-verbindingen met de twee routeservers van

het KPS. • Er wordt uitsluitend IP-verkeer gerouteerd afkomstig van die IP-adressen die door Logius zijn

verstrekt en geregistreerd. • ICMP-pakketten van type "Fragmentation Needed and Don't Fragment was Set” (type 3, code

4) dienen waar nodig door routers te worden gegenereerd en niet uitgefilterd. • Het Ethernetverkeer wordt door de Koppelnetwerkbeheerder op basis van de IEEE 802.3-

standaard en RFC 894 aangeboden. • Koppelnetwerkbeheerders zijn verplicht om van hun koppelnetwerk richting KPS uitgaand

verkeer te controleren op source IP-adressen en pakketten met een source IP-adres dat niet tot hun koppelnetwerk behoort te verwijderen alvorens het aangeboden wordt aan het KPS (anti-spoofing protectie).

• De Koppelnetwerkbeheerder is binnen zijn netwerk verplicht voor alle IP-interfaces, die deel uitmaken van een routeerbaar pad door Diginetwerk, ICMP/UDP-verkeer zodanig te ondersteunen dat alle andere Koppelnetwerkbeheerders door middel van een Traceroute het volledige routeerbare pad kunnen bepalen.

Voor de aansluiting van gemeentelijke bedrijfsnetwerken (klantaansluiting) op GGI-Netwerk-basis gelden de volgende aanvullende eisen:

• De te leveren klantaansluitingen en koppelvlakken tussen koppelnetwerken op laag 1 en laag 2 zijn:

o Koper: Ethernet 100 Mbps, 1 Gbps of 10 Gbps; Full duplex, auto negotiate; o Glas: Ethernet 100 Mbps, 1 Gbps of 10 Gbps;

• Naast enkelvoudige aansluitingen, dienen redundante aansluitingen naar één of meer koppelnetwerken geboden te kunnen worden.

• Een klantaansluiting dient te voldoen aan de randvoorwaarden vastgelegd in de Aansluitvoorwaarden Diginetwerk.

• De klantaansluiting is een overgang van Diginetwerk naar een ander beveiligingsniveau en er dient derhalve een beveiligd koppelvlak gebruikt te worden dat logging en inspectie mogelijk maakt.

• De eindgebruiker is zelf verantwoordelijk voor de beveiligingsmaatregelen op hun aansluiting op GGI-Netwerk-basis.

2.3 Beveiliging

Vanuit beveiligingsoptiek zijn de BIG en de BIR van belang. De BIG omdat gemeenten daaraan moeten kunnen voldoen bij gebruik van GGI-Netwerk. En de BIR omdat Logius dit voorschrijft vanuit de eisen aan Diginetwerk. GGI-Netwerk wordt technisch gezien gerealiseerd vanuit het contract dat is gesloten vanuit de aanbesteding GT-Vast. Bij die aanbesteding is het in het programma van eisen opgenomen dat de diensten aan de BIG dienen te voldoen. De aanbieder heeft zich hieraan geconformeerd. Bij realisatie wordt hier op gecontroleerd, onder meer door testen. De voor GGI-Netwerk relevante hoofdstukken uit de BIG/Tactische Baseline Informatiebeveiliging zijn: 6.2, 10.6, 11.4, 13 en 15. Vanuit Logius wordt de BIR verplicht gesteld. Hieruit volgt de verplichting tot actieve

6 VNG Realisatie

netwerkmonitoring. Het programma GGI geeft hier invulling aan door gebruik te gaan maken van de inkoop in het kader van GGI-Veilig van SIEM/SOC diensten.

2.4 Beschikbaarheid, capaciteit en Quality of Service

Voor GGI-Netwerk als geheel gelden op het gebied van beschikbaarheid, capaciteit en Quality of Service de volgende algemene eisen:

• GGI-Netwerk is 7 x 24 uur beschikbaar met een beschikbaarheidseis van >99,9% • GGI-Netwerk is opgebouwd met redundante aansluitingen met een automatische

herroutering. • GGI-Netwerk is schaalbaar tot klantaansluitingen van maximaal 10 Gbps. • De maximale Round trip delay van klantaansluiting tot KPS bedraagt 10 ms (gemeten met een

pakket van 100 Bytes bij een belasting van minder dan 80 % van de maximale capaciteit). QoS klassen zijn nog niet gedefinieerd. Voor de deelnemende gemeenten kan in de Expertgroep GGI-Netwerk worden onderzocht of daar behoefte aan is en zo ja hoe deze QoS-klassen er dan uit moeten zien. Als beperking hierbij geldt enerzijds de mogelijkheden die de GT-Vast partij daarbij biedt. Anderzijds geldt voor de zone GGI-Netwerk-basis, wanneer opportuun, of dit op Diginetwerk gerealiseerd kan worden. Voor Diginetwerk geldt dat Quality of Service niet is gedefinieerd. Uitgangspunt bij Diginetwerk is voldoende bandbreedte ter beschikking te hebben zodat congestie niet of niet merkbaar voor kan komen. Indien de behoefte voor QoS in een later stadium wel wenselijk wordt geacht (voor bijvoorbeeld voice- of videoverkeer), dan dienen alle koppelnetwerken dit te kunnen ondersteunen.

7 VNG Realisatie

3. Architectuur uitwerking

3.1 GGI-Netwerk stakeholders en diensten

Onderstaande plaat geeft een overzicht van de stakeholders en diensten van GGI-Netwerk.

Afbeelding 1: GGI-Netwerk: Stakeholders en Diensten1

3.2 Toelichting elementen GGI-Netwerk

Element Beschrijving Elementtype Bestuurder BusinessRole Collectieve diensten eigenaar

De eigenaar van gemeentelijke collectieve voorziening is verantwoordelijk voor de realisatie en beheer Voorzieningen die op de rol staan om te worden gerealiseerd danwel waarvan het gebruik wordt verbreed e/o opgeschaald zijn bijvoorbeeld:

i. Landelijke online diensten (landelijke verhuisservice, digitale aangifte overlijden en geplande uitbreiding voor akten)

BusinessRole

1 De meest recente - en interactieve - versie van deze plaat is te raadplegen op internet, zie: https://www.gemmaonline.nl/index.php/GGI-Netwerk

8 VNG Realisatie

ii. Gemeentelijke gegevensplatform (uit visienota)

iii. GBI (Gemeentelijke Basisprocessen Inkomen incl. voorzieningen)

iv. Collectieve voorzieningen voor uitvoering van de omgevingswet;

Deelnemer GT-vast Gemeente of samenwerking die gebruik maakt van de collectief afgesloten overeenkomst voor voor data en spraak dienstverlening (GT Vaste Communicatie)

BusinessRole

Dienstverleningscontract Contract Diginetwerk - Veilige communicatie tussen overheden

Diginetwerk is een stelsel van besloten netwerken. Diginetwerk biedt de connectiviteit waarmee elke organisatie binnen het publieke domein elke andere organisatie daarbinnen kan bereiken, op eenvoudige en gestandaardiseerde wijze via geharmoniseerde en in samenhang gekoppelde netwerken en zonder afhankelijkheid van internet.

BusinessService

Diginetwerk _ architectuur en aansluitvoorwaarden

De diginetwerk aansluitvoorwaarden bevatten de eisen aan de koppelnetwerkbeheerder, de verantwoordelijkheden en de technische aansluitvoorwaarden.

Constraint

Diginetwerk beheerder De beheerder DigiNetwerk ontwikkelt de architectuur en stelt als regievoerder van het afsprakenstelsel Diginetwerk aansluitvoorwaarden op. Met de aansluitvoorwaarden en de overeenkomsten worden alle aangesloten organisaties en de koppelnetwerkaanbieders gehouden aan de gestelde eisen om de goede en veilige werking van Diginetwerk te waarborgen. De aangesloten organisaties en de koppelnetwerken zijn zelf verantwoordelijk voor het naleven van de afspraken en de verantwoording hierover.

BusinessRole

Diginetwerk koppelnetwerken

Diginetwerk maakt het mogelijk dat op basis van één koppeling aan een Netwerk dat deel uitmaakt van Diginetwerk alle netwerkaansluitingen van alle Netwerken te bereiken zijn die deel uitmaken van Diginetwerk.

BusinessService

Diginetwerk mail Diginetwerk Mail maakt het mogelijk maken dat email tussen overheidsorganisaties over het besloten Diginetwerk uitgewisseld wordt in plaats van over het publieke internet

BusinessService

GGI Adviesraad BusinessActor GGI verantwoordelijke De service-eigenaar GGI is

verantwoordelijk voor beschikbaarheid, continuïteit, serviceniveaus, beveiliging, toegang, support, incident- en

BusinessRole

9 VNG Realisatie

problemmanagement en onderhoud en doorontwikkeling van de GGI-diensten. Hierbij hoort passende collectieve sturing met kenmerken als lange adem, duurzame financiering, ontkoppeling van de waan van de dag en kennis van regievoering van vraagbundeling, kwaliteits- en lifecyclemanagement van grootschalige ICT/IV.

Taken en verantwoordelijkheden:

• Vraagbundeling, • Product lifecyclemanagement • Kwaliteits- en

servicelevelmanagement • Technische regie/monitoring

– Afbakening hiervan moet nog worden vastgesteld

• Contract, supplychain en leveranciersmanagement

• Financieel beheer, prijsbeleid en doorbelasting afspraken

• ... GGI-Afspraken GGI-Afspraken: Afsprakenstelsel voor

het aansluiten van Cloud-oplossingen van leveranciers, hiermee wordt de gemeente in hoge mate ontzorgd voor het integreren van cloudoplossingen binnen het eigen applicatielandschap, gemeenten hoeven hier dan niet zelf op aan te sluiten.

Constraint

GGI-Netwerk afnemer Een GGI-Netwerk afnemer maakt gebruik van de GGI-Netwerk diensten

BusinessRole

GGI-Netwerk intern De GGI-Netwerk intern netwerkdiensten worden gebruikt door de op het GGI-Netwerk aangeboden GGI-diensten, waaronder: • GGI-Veilig • GGI-Services • en eventuele (nog te realiseren)

gemeentelijke voorzieningen Feitelijk betreft het hier het aanleg, inrichting en het beheer van het GGI bedrijfsnetwerk. Een niet uitputtende lijst van de benodige netwerkdiensten

• Eventueel gescheiden netwerken voor test, acceptatie, productie en beheer

• Internettoegang • PKI certificaat services • Firewall services • DNS services • ... De benodige netwerkservices worden eenmalig ingericht en (her)gebruikt door alle afnemers van GGI-Netwerk, tenzij

BusinessService

10 VNG Realisatie

dit om beveiligingstechnische of andere redenen niet mogelijk is.

Netwerk-diensten die niet gedeeld kunnen worden, worden apart voor een GGI-dienst ingericht.

GGI-Netwerk-dienstverlening

De GGI-Netwerk-dienstverlening bevat de voor alle afnemers geldende diensten die worden aangeboden aan gemeenten, samenwerkingen en leveranciers De diensten worden opgenomen in de GGI producten en diensten catalogus.

De GGI-Netwerk-dienstverlening bestaat uit:

• aan/afsluiten gemeenten en samenwerkingen op commerciele SAAS diensten

• aan/afsluiten gemeenten en samenwerkingen op landelijke gegevensdiensten

BusinessService

GGI-Netwerkdienst geen GT-vast deelnemer

Het GGI-Netwerkdienst-niet GT-vast deelnemer biedt afnemers die géén deelnemer zijn van GT-vast toegang tot het GGI-Netwerk-basis. De GGI-koppelpunt niet GT-vast deelnemer bestaat uit:

• aan/afsluiten gemeenten en samenwerkingen

BusinessService

GGI-Netwerkdienst-basis De GGI-Netwerkdienst-basis biedt afnemers die deelnemer zijn van GT-vast toegang tot het GGI-Netwerk-basis. De GGI-Netwerk-basis-service bestaat uit:

• aan/afsluiten gemeenten en samenwerkingen

BusinessService

GGI-Netwerkdienst-markt

De GGI-Netwerk-markt-service biedt aanbieders van SAAS diensten toegang tot het GGI-Netwerk. De GGI-Netwerk-markt-service bestaat uit:

• aan/afsluiten leveranciers van SAAS diensten

• aan/afsluiten leveranciers van SAAS diensten op landelijke gegevensdiensten

• aan/afsluiten leveranciers van SAAS diensten op gemeenten en samenwerkingen

Om aan te mogen sluiten op het GGI-Netwerk moet een aanbieder van SAAS diensten voldoen aan de GGI-Afspraken

BusinessService

GGI-Services-dienstverlening

De GGI-services bieden leveranciers en gemeenten de mogelijkheid om

BusinessService

11 VNG Realisatie

koppelingen en API's aan te bieden en af te nemen op een flexibele manier.

GGI-Veilig-dienstverlening

GGI-Veilig-dienstverlening bestaat uit de operationele informatiebeveiliging op GGI-Netwerk en binnengemeentelijke bedrijfsnetwerken/ICT-infrastructuren

BusinessService

GT-vast dienstverlening Uit de "Overeenkomst GT Vaste Communicatie" In bijlage 6 is de Producten- en Dienstencatalogus opgenomen. Met de Producten- en Dienstencatalogus wordt een overzicht gegeven van de Standaard Diensten die onder de Overeenkomst voor GT Vaste Communicatie afgenomen kunnen worden. Deze Producten- en Dienstencatalogus (PDC) kan gedurende de looptijd van de overeenkomst aangevuld en bijgesteld worden via de procedure dienstverleningsverbetering.

Voor GGI worden nu onderkende relevante diensten getoond, namelijk Internet en VPN-diensten.

BusinessService

Geen deelnemer GT-vast Gemeente of samenwerking die zelf een overeenkomst voor data heeft afgesloten.

BusinessRole

Gemeente BusinessActor Gemeentelijke samenwerking

Een samenwerking (of samenwerkingverband) is een juridische vorm waarin gemeenten vastleggen welke specifiek omschreven taken en bevoegdheden aan de samenwerking worden gedelegeerd.

BusinessActor

IPVPN dienst Uit de "Overeenkomst GT Vaste Communicatie" IPVPN-diensten. Dit zijn laag-3 datadiensten om tussen locaties op IP-niveau een besloten virtueel netwerk te creëren.

BusinessService

Landelijke gegevensdiensten beheerder

Aanbieders van gegevensdiensten op Diginetwerk (waaronder de GDI): • de verstrekkers van basisregistraties • kadaster • etc De gegevensdiensten van de aanbieders kunnen via de GGI

• voor gemeenten ontsloten worden of

• gemeentelijk gegevens geleverd krijgen

BusinessRole

Leverancier BusinessActor Logius Logius zorgt voor producten en diensten

voor de digitale overheid. We bieden ICT-oplossingen en standaarden die alle overheidsorganisaties gebruiken in hun digitale dienstverlening. Zo helpen we overheid, bedrijven en burgers om snel,

BusinessActor

12 VNG Realisatie

eenvoudig en veilig met elkaar te communiceren.

Netwerkdiensten beheerder

De aanbieder netwerkdiensten is verantwoordelijk voor het leveren van telecommunicatiediensten

BusinessRole

Overeenkomst GT Vaste Communicatie

De overeenkomst GT Vaste Communicatie is het resultaat van de tweede gezamenlijke aanbesteding van Gemeentelijke Telecommunicatie voor spraak en data. Op 21 september 2017 sloten VodafoneZiggo en VNG de overeenkomst GT Vaste Communicatie. In de overeenkomst zijn de Diensten omschreven alsmede de voorwaarden waaronder deze worden geleverd.

Contract

Regie en management Regievoering op planning, inhoud, requirements, kwaliteit van collectieve voorzieningen die zijn of worden gerealiseerd

BusinessRole

SaaS dienstverlener (cloud)

Een SaaS-dienstverlener biedt op de (gemeentelijke) markt in de cloud functionaliteit aan.

BusinessRole

Taskforce “Samen organiseren”

BusinessActor

VNG realisatie BusinessActor Zakelijke internetdiensten

Uit de "Overeenkomst GT Vaste Communicatie" Zakelijke internetdiensten: Dit zijn diensten die gebruikelijk in de zakelijke markt geleverd worden om locaties met internet te verbinden. Voor deze diensten gelden dezelfde gegarandeerde servicelevels zoals die ook gelden voor Datadiensten.

BusinessService

Ziggo Vodafone De leverancier Ziggo Vodafone is de aanbieder van GGI-Netwerkdiensten op grond van het GT-VAST contract

BusinessActor

13 VNG Realisatie

4. High level design GGI-Netwerk

4.1 Overzicht GGI-Netwerk

4.2 Inrichting GGI-Netwerk

17

GT-vast

GGI-Netwerk

Markt

Basis

KPS

Leverancier 2

Leverancier 1

SaaS

Cloud

GGI CentraleOmgeving

DNS

Mail relay

Lokale applicaties

Decentrale componenten

NietDeel-nemer

Lokale applicaties

Decentrale componenten Deel-

nemer

AansluitvoorzieningNiet-Deelnemers