Diginetwerk
- Onderdeel van
- Lijsten & Verwijzingen
- Contact
- via NORA Beheer
- Status
- Actueel
- ID
- Diginetwerk
- Type
- Bouwsteen
- Laag binnen vijflaagsmodel
- Laag 5: IT-Infrastructuurlaag
Beschrijving
Een voorziening waarmee overheidsorganisaties een veilige en betrouwbare digitale verbinding met elkaar kunnen realiseren via besloten netwerken.
Het is gebaseerd op een afsprakenstelsel over connectiviteit, beschikbaarheid, beveiliging en het gebruik van standaarden waardoor iedere aangesloten organisatie kan communiceren met elke andere aangesloten organisatie.
Het Diginetwerk is ontstaan uit het koppelen van een aantal besloten netwerken voor de overheid waardoor minder kruisverbanden nodig waren en kosten bespaard konden worden.
Binnen Diginetwerk beschouwen we een netwerk als een infrastructuur (transportmedium), bestaande uit fysieke en logische verbindingen voorzien van koppelvlakken. Netwerken kunnen daarbij worden opgedeeld in compartimenten, waarbij meerdere systemen logisch met elkaar gekoppeld zijn binnen één compartiment.
Transport via Diginetwerk verloopt in de regel via een vast patroon. Systemen communiceren met elkaar via de zogenaamde koppelnetwerken. Daarbij wordt een tal van koppelvlakken gepasseerd met verschillende eigenaren. De systemen met data staan in logisch gescheiden klantomgevingen, compartimenten, bij een dienstverlener en die compartimenten kunnen gekoppeld zijn met Diginetwerk koppelnetwerken.
Diginetwerk: voorkeurskanaal voor interne overheidscommunicatie
- Door het besloten karakter zijn alle deelnemende organisaties bekend.
- Door het besloten karakter is het een veiliger alternatief, zonder de risico’s die met het internet samenhangen (bijvoorbeeld DDOS-aanvallen, hacking en malware), voor het uitwisselen van gegevens tussen overheidsorganisaties.
- Diginetwerk maakt mogelijk om via één netwerkaansluiting efficiënt en betrouwbaar te communiceren met alle aangesloten overheidsorganisaties,
- Het beheer en de beveiliging van de gekoppelde besloten netwerken worden op een gestandaardiseerde wijze verzorgd.
De gelaagdheid in beveiliging
Diginetwerk gaat uit van gelaagde beveiliging en voldoet aan de BIO BBN1-niveau. Aansluitende organisaties die een hoger niveau van beveiliging willen, bijvoorbeeld vanwege de gevoeligheid van informatie die zij willen uitwisselen, moeten zelf voor zorgdragen dat op andere lagen boven het transportniveau beveiligingsmaatregelen moeten worden genomen. Dit betekent dat bijvoorbeeld op de applicatie/informatielaag extra maatregelen worden getroffen, zoals encryptie van de informatie.
- Compartiment: Diginetwerk
- NORA beschouwingsmodel zonering: Semi-vertrouwd
- VIR-BI: Dept.V
- BIO Transportlaag: BBN1
Vertrouwen en naleving van afspraken in de keten
Informatiebeveiliging wordt geregeld door afspraken, veelal vastgelegd in contracten. Ieder organisatie is verantwoordelijk voor eigen informatiebeveiliging en voldoet aan de BIO bij het aansluiten aan Diginetwerk. In de BIO wordt bij het van toepassing verklaren van controls en overheidsmaatregelen geen onderscheid gemaakt in interne of externe dienstenleveranciers. Ook bij de wijze waarop verantwoording wordt afgelegd over hun diensten worden interne en externe dienstenleveranciers gelijk behandeld. Dit betekent bijvoorbeeld voor alle dienstenleveranciers het periodiek leggen alle dienstenleveranciers verantwoording af. Dit vormt de basis voor vertrouwen in keten.
Toekomstige ontwikkelingen
Diginetwerk is één van de meest succesvolle bouwstenen van de Generieke Digitale Infrastructuur (GDI). Het heeft een heldere focus en levert bewezen meerwaarde aan de aangesloten overheidsorganisaties. Deze meerwaarde uit zich ook in de ontwikkelingen blijven volgen en Diginetwerk up-to-date te houden. Een aantal van deze ontwikkelingen zijn hieronder aangegeven.
Zero Trust Netwerk Architectuur
Vanuit Diginetwerk werken we aan Zero Trust Netwerk Architectuur. Zero trust-netwerken (ook zero trust-netwerkarchitectuur, zero trust-beveiligingsmodel) beschrijft op het gebied van informatietechnologie (IT) een benadering van het ontwerp en de implementatie van IT-systemen. Het belangrijkste concept achter zero trust is dat apparaten, zoals laptops, standaard niet vertrouwd mogen worden, zelfs niet als ze zijn verbonden met een beheerd bedrijfsnetwerk of als ze eerder zijn geverifieerd. Netwerk segmentatie speelt hierbij een belangrijk rol. Het NCSC-NL heeft al eerder geschreven over zero trust in verschillende factheets (ransomware, cloud verkenning). Hierin staan concepten van zero trust beschreven, zoals netwerksegmentatie en autorisatie.
Nieuwe aansluitmogelijkheden voor IoT devices
De rol van Diginetwerk bevindt zich traditioneel op gegevensverkeer tussen organisaties. De laatste decennia is het aantal met het internet verbonden apparaten exponentieel gegroeid. Het blijkt dat juist deze apparaten, met beperkte beveiligingscapaciteit, een aanvalsvector zijn geworden voor kwaadwillenden. Er wordt onderzocht of het routeren van dergelijk verkeer van publieke organisaties over Diginetwerk een bijdrage zou kunnen leveren aan het mitigeren van deze risico’s.
Dienstenuitbreidingen en cloud-diensten
Door technische ontwikkelingen veranderen gebruikerswensen aan netwerkverbindingen veranderen. Overheidsorganisaties maken steeds beter gebruik van cloud-diensten. In deze ontwikkeling zijn de randvoorwaarden voor deze cloud omgevingen een bron van zorg. Het is voor overheden vaak niet mogelijk of niet wenselijk om de aanbiedingen van commerciële cloud providers te gebruiken. Er wordt onderzocht welke mogelijkheden er zijn dat private aanbieders van clouddiensten aangesloten kunnen worden op Diginetwerk. Zo wordt het mogelijk dat een besloten cloud-omgeving in het overheidsdomein wordt geplaatst die opereert onder dezelfde veiligheidsrandvoorwaarden als Diginetwerk zelf.
Kenmerkende uitdagingen voor koppelingen in ketens
Door koppeling van netwerken ontstaan er wederzijdse afhankelijkheden op het gebied van informatiebeveiliging (IB). Kenmerkende uitdagingen voor dergelijke (infrastructurele) afhankelijkheden zijn:
- De uitdaging om vanuit een bij alle partijen bekende context, invalshoek en definities, efficiënt te kunnen afstemmen en de juiste informatiebeveiligings-afwegingen te kunnen maken. Dat wil zeggen: niet onnodig zware en kostbare maatregelen, niet te lichte maatregelen en ook geen maatregelen die de connectiviteit onnodig belemmeren.
- De uitdaging dat de keuzen ten aanzien van de toegepaste beveiligingsmaatregelen gefundeerd, op elkaar afgestemd en uitlegbaar zijn. Het voordeel van transparantie en harmonisatie van de toegepaste beveiligingsmaatregelen is dat maatregelen die anderen hebben getroffen, niet onnodig behoeven te worden herhaald of overtroffen en de connectiviteit niet onnodig belemmeren. Daarnaast verlaagt transparantie de auditlast.
Om de wederzijdse IB maatregelen op elkaar te laten aansluiten in de keten is het IB-model ontwikkeld. Het IB-model reikt een methodiek aan om bij het gewenste gebruik van de besloten netwerken gestructureerd en gefundeerd maatregelen te definiëren inclusief afstemming daarover, dan wel het verklaren waarom welke maatregelen zijn genomen. Deze methode is bedoeld voor individueel gebruik, maar vooral ook in gevallen waarbij verschillende partijen betrokken zijn.
Meer informatie over het IB-model, zie IB-model Overheid; een handreiking voor connectiviteit- en communicatiebeveiliging.
Informatie
https://www.logius.nl/diensten/diginetwerk
- Architectuurdocument Diginetwerk (logius.nl)
- Aansluitvoorwaarden Diginetwerk (logius.nl)
- IB-model Overheid (Samenwerkruimte Diginetwerk) - toegang op aanvraag bij Logius: overheidsnetwerken@logius.nl
Opdrachtgever
Ministerie van Binnenlandse Zaken (BZK)
Beheerder
Logius
Realiseert
Deze bouwsteen geeft invulling aan de Generieke functie: GDI-Architectuur, Infrastructuur
Toepassing standaarden
Standaard | Toelichting | Oordeel | Relevantie | Volgens bron | Gepubliceerd op |
---|---|---|---|---|---|
DNSSEC | DNSSEC valt voor het besloten netwerk buiten het afsprakenstelsel. Een aantal deelnemers maakt echter gebruik van de diginetwerk domeinnamen om ook op het openbare internet hun dienst ter beschikking te stellen. Hiervoor is besloten wel gebruik te maken van DNSSEC. Gepland voor 2020. | gepland | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
IPv6 en IPv4 | IPv4 is geïmplementeerd door de deelnemers aan Diginetwerk. De implementatie van IPv6 stond gepland voor Q4 2018 en wordt 2020. Vanwege aanbesteding KPS (koppelpunt van Diginetwerk) is ondersteuning van IPv6 gepland als onderdeel van de migratie naar de nieuwe KPS leverancier. | gepland | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
NEN-ISO/IEC 27001 NEN-ISO/IEC 27002 | Deze standaard is onderdeel van het algemene beveiligingsbeleid van Logius. Logius voldoet aan deze standaard en Diginetwerk is ook gebaseerd op deze standaard. | voldoet | van toepassing | Monitor Open Standaarden 2019 | 27 maart 2020 |
Toelichting: Bouwstenen en gebruikte standaarden