Datafordelerens sikkerhedsmekanismer

Relaterede dokumenter
Teknikken bag Datafordeleren Distribution af data. Fællesoffentlig datadistribution

Grunddata på Datafordeleren

Hændelser på dåtåfordeleren

Forretningsmæssige testscases for Seal.net i relation til anvendelse af NSP services

Bilag 2 - Fælles arkitekturramme for GD1-GD2-GD7. Etablering af datadistribution på den Fællesoffentlige Datafordeler

En del af grunddataprogrammet

CRMProxy. Installation og opsætning

ADGANG TIL EGEN SAG ADGANG TIL EGEN SAG. Integration til Borger.dk baseret på fælleskommunal infrastruktur

1 Indledning. 2 Den fællesoffentlige datafordeler. 1.1 Hvad er grunddata

Gode ejendomsdata på vej Dataforbedringer på ejendomsdataområdet. Peter Lindbo Larsen,

BRUGER VEJLEDNING. til Waoo Telefoni FIBERBREDBÅND TV TELEFONI

Udvidet brug af personligt NemID i erhvervssammenhæng

Retningslinjer for informationssikkerhed i Quick Care

Sikker udstilling af data

Informationssikkerhed

Termer og begreber i NemID

Introduktion til NemID og NemID tjenesteudbyderpakken

STS Driftsvejledning. STS Driftsvejledning

Autencitetssikring. Vejledning til autenticitetssikringsniveau for den fællesoffentlige log-in-løsning. Side 1 af september Version 1.0.

Om håndteringen af forskellige praktiske situationer i forbindelse med Andelsboligbogens overgang til digital tinglysning.

Specifikationsdokument for servicen RID-CPR

STIL BETINGELSER! Med Conditional Access

1. Send Digitalt knappen anvendes til at afsende meddelelsen til de valgte modtagere. (Alt- S)

Bilag 3A.2 Løsningsflow

STS Designdokument. STS Designdokument

Vejledning til leverandører ifm. CPR-abonnement

TEST MED SP. En kort intro

Netprøver.dk. Brugervejledning til skolens it ansvarlige

Guide til NemLog-in Security Token Service

Signaturcentral. Bilag 4: Blueprint om sikkerhed på sundhedsområdet. (Bilag til dagsordenspunkt 5: Arkitekturarbejdet på sundhedsområdet).

Bilag 7 Klient certifikat opsætning til produktion af SLS webservice

Den Gode Webservice 1.1

Hosted NextGen Firewall

PRÆSENTATIONSRAPPORT

BBR - Kontekstdiagram

NemID privat til erhverv

Trådløst Internet i Øer

Vejledning. til. RA-administrator

Serviceplatformen Vejledning til tilslutning af OS2MO som anvendersystem

Oprettelse og vedligeholdelse af rejseprofil hos CWT

Vilkår for integration til SAPA Dialogintegration

INDHOLDSFORTEGNELSE INDLEDNING KAPITEL ET... 9 Gratis Dropbox-konto. KAPITEL TO Dropbox uden installation

Digitaliseringsstyrelsen

Abonnementsvilkår for Mofibo hos YouSee. Maj 2014

BILAG A SPØRGESKEMA. I denne At-vejledning præsenteres et kort spørgeskema med i alt 44 spørgsmål fordelt på otte skalaer.

Quickguide. Waoo! Web TV på ipad

Underbilag 2O Beskedkuvert Version 2.0

Quickguide. Waoo! Web TV på Android telefoner og tablets

Notat om ledige i Rudersdal Kommune ansat med løntilskud, i virksomhedspraktik, i fleksjob eller på ledighedsydelse.

Overordnet løsningsbeskrivelse - Private aktører og borger log-in via SEB / NemLog-in

Ansøgning om tilladelse til ny(e) afdeling(er) - Investeringsforening

Quickguide. Waoo! Web TV på Android telefoner og tablets

1 Introduktion Hvilke nødprocedurer kan tages i brug? Vær forberedt på det uventede!... 4

EW-7438RPn Air Quick Installation Guide

Web governance model for SSI november 2012

Dokumentet beskriver den installation og de opdateringer, der skal foretages på den enkelte klient PC.

Individuel lønforhandling

Kommunikationsstrategi for Jobcenter Esbjergs virksomhedsrettede indsats

AuthorizationCodeService

MM Hul-Igennem-Test i Prod. Information til kunder

Få helt styr på NemID

Forslag til løsning af Opgaver til ligningsløsning (side172)

Vejledning til leverandørers brug af Serviceplatformen

Vejledning i opsætning af NemHandelsprogrammet

Samlet Fast Ejendom (SFE) Bygning På Fremmed Grund (kommende fra Bygning På Lejet Grund ) Ejerlejlighed

Telefoni Brugervejledning

Fællesregional Informationssikkerhedspolitik

Ibrugtagning af Fødselsindberetningsservicen på NSP

Serviceniveau. for. Ledsagelse. efter 85 i. Serviceloven. Tillæg til Aalborg Kommunes overordnede Serviceniveau for socialpædagogisk støtte efter 85

Transkript:

Datafordelerens sikkerhedsmekanismer Version: 1.0, Juni 2016 1

Indholdsfortegnelse 1. INDLEDNING... 3 2. MÅLGRUPPE FOR DOKUMENT... 3 3. GENEREL SIKKERHED OMKRING DATAFORDELER... 3 4. DIAGRAM OVER SIKKERHED FOR DATAFORDELER... 4 5. SIKKERHED FOR DATAANVENDERE... 5 5.1 GENEREL SIKKERHED FOR DATAANVENDERE I DATAFORDELER MILJØET.... 5 5.2 INTEGRATIONSPUNKTER FOR DATAANVENDERE... 5 6. SIKKERHED FOR DATALEVERANDØRER... 6 6.1 GENEREL SIKKERHED FOR DATALEVERANDØRER... 6 6.2 INTEGRATIONSPUNKTER FOR DATALEVERANDØRER... 7 7. INTERN SIKKERHED I DATAFORDELEREN... 8 8. DIAGRAM OVER SIKKERHED FOR DATAANVENDERE OG DATALEVERANDØRER... 10 2

1. Indledning Dokumentet beskriver det sikkerhedsmæssige setup omkring Datafordeleren. Dokumentet fokuserer på beskrivelse af den tekniske sikkerhed og omfatter ingen beskrivelse af oprettelse/fremskaffelse af f.eks. akkreditiver. Dokumentet beskriver setup gældende fra august 2016. 2. Målgruppe for dokument De primære målgrupper for dokumentet er dataanvendere, som vil kalde services på Datafordeleren for at tilgå grunddata samt dataleverandører, dvs. grunddataregistre, der skal levere grunddataopdateringer til Datafordelen. 3. Generel sikkerhed omkring Datafordeler Datafordeleren er opdelt i et antal sikkerhedszoner. For hver zone gælder et sæt af sikkerhedsmekanismer, og dermed vil sikkerhedsmekanismer for services variere, afhængig af hvilken zone services er udstillet i. Navn Beskrivelse Adgangsbegrænsning S5 S3 S0 Zone til opbevaring af personhenførbare, samt fortrolige data. Zonen indeholder systemkomponenter til udstilling og modtagelse af sådanne data. Alle registre sender deres data til systemet via replikeringskanaler i denne zone. Systemkomponenter til konfiguration af systemet herunder oprettelse af systembrugere, administration af brugerrettigheder, start og stop af replikeringskanaler og konfiguration af tjenester. Zone til opbevaring af ikke-fortrolige data og brugerdata. Zonen indeholder systemkomponenter til udstilling af ikke-fortrolige eller personhenførbare data, oprettelse af brugere, bestilling af dataudtræk, oprettelse af abonnementer samt infrastrukturkomponenter til autentifikation og autorisation. De ikke-fortrolige eller personhenførbare data fra registrene modtages via replikeringskanaler i sikkerhedszone S5 (se beskrivelse af S5). Zonen kan kun tilgås fra en på forhånd godkendt ip-adresse via internettet. Al web service kommunikation foregår over en TLS 1.1 (eller nyere) forbindelse til Tjenester og replikeringskanalens webserviceport, der autentificeres med FOCES/VOCES certifikat. FTP-servere i zonen tilgås over SFTP fra en godkendt IP adresse, der autentificeres med en SSH nøgle. Zonen kan kun tilgås fra en godkendt ipadresse via internettet eller via MPLS(tilkøb). Al kommunikation foregår over TLS 1.1 (eller nyere). Adgang via internettet 3

4. Diagram over sikkerhed for Datafordeler Nedenstående diagram viser et overblik for det sikkerhedsmæssige setup for dataanvendere og dataleverandører i forhold til tjenester og hændelser. De enkelte integrationspunkter for Datafordeleren er angivet, og for hvert af disse er opsummeret hvilke sikkerhedsmekanismer, der er gældende. Diagram i stor størrelse findes sidst i dokumentet. Sikkerhed for tjenester på Datafordeler Sikkerhed for Hændelser Push Dataanvender Sikkerhed for Kvitterings-tjeneste Sikkerhed for Tjenester - Anonym anvendelse (ingen credentials) Tjenester Hændelser - Push Kvittering Hændelser Pull Sikkerhed for Hændelser Pull (EventMessages) - SAML token(daf STS) Datafordeler Sikkerhed for SOA Port (RegisterData) SOA port Kvittering SFTP port Sikkerhed for Kvitteringstjeneste (DeliveryReciept) SynchronisationService GetData GetRaster Sikkerhed for SFTP Port - SSH offentlig nøgle Sikkerhed for GetData og GetRaster Sikkerhed for SynchronisationService Dataleverandør 4

5. Sikkerhed for dataanvendere 5.1 Generel sikkerhed for dataanvendere i Datafordelermiljøet. Ip- filtrering (white listing). For dataanvendere kan adgang til Datafordelerportaler og zone 5 services kun ske fra ip-adresser, som er white listede, dvs. ip-adresser hvor der positivt er åbnet for adgang til Datafordeler. Kommunikation fra IP-adresser, der ikke er white listet, vil blive afvist. 5.2 Integrationspunkter for dataanvendere Integrationspunkt Beskrivelse og anvendelse Sikkerhed Tjenester Service som kaldes fra dataanvendere for at hente data på datafordeleren Ip filter for white listed IP-adresse (for detaljer se ovenfor) Kan kaldes med en af følgende metoder til autentifikation Brugerid/password (kun zone 0 tjenester) SAML Token udstedt at Datafordeler STS Certificat (eksempelvis FOCES eller tilsvarende) Ticket udstedt af Datafordeleren (kun zone 0 tjenester) SAML token udstedt af NemLog-in STS Kvittering Hændelser Pull Service, hvor dataanvendere skal kvittere for modtagelse af meddelelser fra Datafordeleren Service som kaldes fra dataanvendere for at hente hændelsesbeskeder som der abonneres på for den specifikke dataanvender 5 Ip filter for white listed ip-adresse (for detaljer se ovenfor) Kan kaldes med en af følgende metoder til autentifikation Brugerid/password (kun zone 0 meddelelser) SAML Token udstedt at Datafordeler STS Ticket udstedt af Datafordeleren (kun zone 0 meddelelser) SAML token udstedt af NemLog-in STS Ip-filter for White listed ip-adresse (for detaljer se ovenfor) Kan kaldes med en af følgende metoder til autentifikation

Hændelser Push Hændelser Push er en service, som dataanvenderen udstiller, og som kaldes fra Datafordeleren. Brugerid/password (kun zone 0 meddelelser) SAML Token udstedt at Datafordeler STS Ticket udstedt af Datafordeleren (kun zone 0 meddelelser) SAML token udstedt af NemLog-in STS Ip-filter for White listed ip-adresse (for detaljer se ovenfor) Skal kaldes med FOCES certificat for kalderen, dvs. FOCES certificat for Datafordeleren. KMD fremsender FOCES certificat til Dataanvender, der udstiller en Hændelser Push service 6. Sikkerhed for dataleverandører 6.1 Generel sikkerhed for dataleverandører Opdatering af data i Datafordeleren sker gennem zone 5, hvorfor følgende altid vil være gældende for opdateringer uanset om dette sker gennem en FTP eller SOA-port: Ipfiltrering (white listing). Adgang til Datafordeler som dataleverandør kan kun ske fra ip-adresser, som er white listede, dvs. ip-adresser hvor der positivt er åbnet for adgang til Datafordeler. Kommunikation fra ip-adresser, der ikke er white listet vil blive afvist. 6

6.2 Integrationspunkter for dataleverandører Integrationspunkt Beskrivelse og anvendelse Sikkerhed SOA Port Anvendes som replikeringskanal mellem register og Datafordeler for opdatering af data som nær-realtidsopdateringer Ip-filter for White listed ip-adresse (for detaljer se ovenfor) SOA port service kan i skrivende stund kun tilgås med et SAML token genereret af Datafordeler STS Det forventes at SOA port i den nærmeste fremtid også vil understøtte certifikater SFTP Port Kvitteringstjeneste SynchronisationService Anvendes som replikeringskanal mellem Register og Datafordeler for opdatering af data ved anvendelse af fil-overførsel Service, hvor register kan forespørge om status for dataleverancer. Servicenavn: DeliveryReciept Service, hvor Datafordeler kan bestille en ekstraordinær synkronisering. Service udstilles af dataleverandøren. Servicenavn: SynchronisationService Ipfilter for White listed ip-adresse (for detaljer se ovenfor) SSH offentlig nøgle. Der anvendes SSH autentifikation for at tilgå SFTP porten. Dataleverandør skal derfor sende den SSH-offentlige nøgle til Datafordeleren, således at signatur ved kald til SFTP-porten kan valideres Det er dataleverandøren, der har ansvar for, at der generes et sæt SSH nøgle, og at den offentlige nøgle fremsendes til Datafordeleren. Ip-filter for White listed ip-adresse (for detaljer se ovenfor) Kan tilgås med et SAML token generet af Datafordeler STS Det forventes at service i den nærmeste fremtid også vil understøtte certifikater som autentifikation FOCES certificat sendes af KMD til dataleverandør TLS 1.1 krypteret forbindelse GetData Service udstillet af register. FOCES certificat sendes af KMD til dataleverandør 7

GetRaster Anvendes ved den proaktive synkronisering som er indbygget i Datafordeleren. GetData er en service, hvor Datafordeler kan forespørge på udvalgte data og benyttes ved tabular data. Service udstilles af dataleverandøren. Servicenavn: GetData Service udstillet af register. Service, hvor Datafordeler kan forespørge på udvalgte data. Anvendes ved den proaktive synkronisering som er indbygget i Datafordeleren. Service anvendes ved filbaseret rasterdata. Service udstilles af dataleverandøren. Servicenavn: GetRaster TLS 1.1 krypteret forbindelse FOCES certificat sendes af KMD til dataleverandør TLS 1.1 krypteret forbindelse 8

6.3 Akkreditiver til tjenester (forskellige kategorier) Zone 0 Zone 5 Anonym bruger Akkreditiver ignoreres N/A Kendt bruger Username/password. N/A Ticket (fra un/pw). FOCES/VOCES. System AD FS SAML-token. NemLog-in STS SAML-token (Primo August). Begrænset adgang Username/password. Ticket (fra un/pw). FOCES/VOCES. System AD FS SAML-token. NemLog-in STS SAML-token (Primo August). FOCES/VOCES + IP-filter. NemLog-in STS SAML-token + IP-filter (Primo August). System AD FS SAML-token + IP-filter. Replikeringstjenester N/A System AD FS SAML-token + IP-filter. FOCES/VOCES + IP-filter (Primo August). Kræver tjenestebruger med særlig autorisation.) SAML-token fra System ADFS fås ved kald med VOCES/FOCES. 9

7. Diagram over sikkerhed for dataanvendere og dataleverandører Sikkerhed for tjenester på Datafordeler Sikkerhed for Hændelser Push Dataanvender Sikkerhed for Kvitterings-tjeneste Sikkerhed for Tjenester - Anonym anvendelse (ingen credentials) Tjenester Hændelser - Push Kvittering Hændelser Pull Sikkerhed for Hændelser Pull (EventMessages) - SAML token(daf STS) Datafordeler Sikkerhed for SOA Port (RegisterData) SOA port Kvittering SFTP port Sikkerhed for Kvitteringstjeneste (DeliveryReciept) SynchronisationService GetData GetRaster Sikkerhed for SFTP Port - SSH offentlig nøgle Sikkerhed for GetData og GetRaster Sikkerhed for SynchronisationService Dataleverandør 10

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback