Diginetwerk

Uit NORA Online
Ga naar: navigatie, zoeken




Bouwsteen.png
Naam: Diginetwerk
ID: Diginetwerk
Type: Bouwsteen
Laag 5: Netwerklaag
Status actualiteit: Actueel

Beschrijving

Diginetwerk is een afsprakenstelsel van besloten netwerken. Het netwerk is ontstaan uit het koppelen van een aantal van deze besloten netwerken voor de overheid waardoor minder kruisverbanden nodig waren en kosten bespaard konden worden. Door gemeenschappelijk afspraken te maken op het gebied van connectiviteit, beschikbaarheid, beveiliging en het gebruik van standaarden kan iedere aangesloten organisatie communiceren met elke andere aangesloten organisatie.

Binnen Diginetwerk beschouwen we een netwerk als een infrastructuur (transportmedium), bestaande uit fysieke en logische verbindingen voorzien van koppelvlakken. Netwerken kunnen daarbij worden opgedeeld in compartimenten, waarbij meerdere systemen logisch met elkaar gekoppeld zijn binnen één compartiment. Transport via Diginetwerk verloopt in de regel via een vast patroon. Systemen communiceren met elkaar via de zogenaamde koppelnetwerken. Daarbij wordt een tal van koppelvlakken gepasseerd met verschillende eigenaren. De systemen met data staan in logisch gescheiden klantomgevingen, compartimenten, bij een dienstverlener en die compartimenten kunnen gekoppeld zijn met Diginetwerk koppelnetwerken.

Diginetwerk:voorkeurskanaal voor interne overheidscommunicatie

  • Diginetwerk betekent door het besloten karakter dat alle deelnemende organisaties bekend zijn.
  • Diginetwerk is door het besloten karakter een veiliger alternatief, zonder de risico’s die met het internet samenhangen (bijvoorbeeld DDOS-aanvallen, hacking en malware), voor het uitwisselen van gegevens tussen overheidsorganisaties.
  • Diginetwerk maakt mogelijk om via één netwerkaansluiting efficiënt en betrouwbaar te communiceren met alle aangesloten overheidsorganisaties,
  • Het beheer en de beveiliging van de gekoppelde besloten netwerken worden op een gestandaardiseerde wijze verzorgd.

De gelaagdheid in beveiliging

Diginetwerk gaat uit van gelaagde beveiliging en voldoet aan de BIO BBN1-niveau. Aansluitende organisaties die een hoger niveau van beveiliging willen, bijvoorbeeld vanwege de gevoeligheid van informatie die zij willen uitwisselen, moeten zelf voor zorgdragen dat op andere lagen boven het transportniveau beveiligingsmaatregelen moeten worden genomen. Dit betekent dat bijvoorbeeld op de applicatie/informatielaag extra maatregelen worden getroffen, zoals encryptie van de informatie.

Compartiment: Diginetwerk

NORA beschouwingsmodel zonering: Semi-vertrouwd

VIR-BI: Dept.V

BIO Transportlaag: BBN1


Vertrouwen en naleving van afspraken in de keten

Informatiebeveiliging wordt geregeld door afspraken, veelal vastgelegd in contracten. Ieder organisatie is verantwoordelijk voor eigen informatiebeveiliging en voldoet aan de BIO bij het aansluiten aan Diginetwerk. In de BIO wordt bij het van toepassing verklaren van controls en overheidsmaatregelen geen onderscheid gemaakt in interne of externe dienstenleveranciers. Ook bij de wijze waarop verantwoording wordt afgelegd over hun diensten worden interne en externe dienstenleveranciers gelijk behandeld. Dit betekent bijvoorbeeld voor alle dienstenleveranciers het periodiek leggen alle dienstenleveranciers verantwoording af. Dit vormt de basis voor vertrouwen in keten.

Voor meer informatie, zie Aansluitvoorwaarden Diginetwerk (logius.nl).

Governance

Het ministerie van Binnenlandse Zaken (BZK) is de opdrachtgever voor het afsprakenstelsel Diginetwerk. De regie voor het afsprakenstelsel heeft BZK gedelegeerd aan Logius.

Toekomstige ontwikkelingen

Diginetwerk is één van de meest succesvolle bouwstenen van de Generieke Digitale Infrastructuur (GDI). Het heeft een heldere focus en levert bewezen meerwaarde aan de aangesloten overheidsorganisaties. Deze meerwaarde uit zich ook in de ontwikkelingen blijven volgen en Diginetwerk up-to-date te houden. Een aantal van deze ontwikkelingen zijn hieronder aangegeven.

Zero Trust Netwerk Architectuur

Vanuit Diginetwerk werken we aan Zero Trust Netwerk Architectuur. Zero trust-netwerken (ook zero trust-netwerkarchitectuur, zero trust-beveiligingsmodel) beschrijft op het gebied van informatietechnologie (IT) een benadering van het ontwerp en de implementatie van IT-systemen. Het belangrijkste concept achter zero trust is dat apparaten, zoals laptops, standaard niet vertrouwd mogen worden, zelfs niet als ze zijn verbonden met een beheerd bedrijfsnetwerk of als ze eerder zijn geverifieerd. Netwerk segmentatie speelt hierbij een belangrijk rol. Het NCSC-NL heeft al eerder geschreven over zero trust in verschillende factheets (ransomware, cloud verkenning). Hierin staan concepten van zero trust beschreven, zoals netwerksegmentatie en autorisatie.

Nieuwe aansluitmogelijkheden voor IoT devices

De rol van Diginetwerk bevindt zich traditioneel op gegevensverkeer tussen organisaties. De laatste decennia is het aantal met het internet verbonden apparaten exponentieel gegroeid. Het blijkt dat juist deze apparaten, met beperkte beveiligingscapaciteit, een aanvalsvector zijn geworden voor kwaadwillenden. Er wordt onderzocht of het routeren van dergelijk verkeer van publieke organisaties over Diginetwerk een bijdrage zou kunnen leveren aan het mitigeren van deze risico’s.

Dienstenuitbreidingen en cloud-diensten

Door technische ontwikkelingen veranderen gebruikerswensen aan netwerkverbindingen veranderen. Overheidsorganisaties maken steeds beter gebruik van cloud-diensten. In deze ontwikkeling zijn de randvoorwaarden voor deze cloud omgevingen een bron van zorg. Het is voor overheden vaak niet mogelijk of niet wenselijk om de aanbiedingen van commerciële cloud providers te gebruiken. Er wordt onderzocht welke mogelijkheden er zijn dat private aanbieders van clouddiensten aangesloten kunnen worden op Diginetwerk. Zo wordt het mogelijk dat een besloten cloud-omgeving in het overheidsdomein wordt geplaatst die opereert onder dezelfde veiligheidsrandvoorwaarden als Diginetwerk zelf.

Kenmerkende uitdagingen voor koppelingen in ketens

Door koppeling van netwerken ontstaan er wederzijdse afhankelijkheden op het gebied van informatiebeveiliging (IB). Kenmerkende uitdagingen voor dergelijke (infrastructurele) afhankelijkheden zijn:

  • De uitdaging om vanuit een bij alle partijen bekende context, invalshoek en definities, efficiënt te kunnen afstemmen en de juiste informatiebeveiligings-afwegingen te kunnen maken. Dat wil zeggen: niet onnodig zware en kostbare maatregelen, niet te lichte maatregelen en ook geen maatregelen die de connectiviteit onnodig belemmeren.
  • De uitdaging dat de keuzen ten aanzien van de toegepaste beveiligingsmaatregelen gefundeerd, op elkaar afgestemd en uitlegbaar zijn. Het voordeel van transparantie en harmonisatie van de toegepaste beveiligingsmaatregelen is dat maatregelen die anderen hebben getroffen, niet onnodig behoeven te worden herhaald of overtroffen en de connectiviteit niet onnodig belemmeren. Daarnaast verlaagt transparantie de auditlast.

Om de wederzijdse IB maatregelen op elkaar te laten aansluiten in de keten is het IB-model ontwikkeld. Het IB-model reikt een methodiek aan om bij het gewenste gebruik van de besloten netwerken gestructureerd en gefundeerd maatregelen te definiëren inclusief afstemming daarover, dan wel het verklaren waarom welke maatregelen zijn genomen. Deze methode is bedoeld voor individueel gebruik, maar vooral ook in gevallen waarbij verschillende partijen betrokken zijn.

Meer informatie over het IB-model, zie IB-model Overheid; een handreiking voor connectiviteit- en communicatiebeveiliging.

Informatie

Opdrachtgever

Ministerie van Binnenlandse Zaken (BZK)

Beheerder

Logius



Toepassing standaarden

StandaardToelichtingOordeelRelevantieVolgens bronGepubliceerd op
DNSSECDNSSEC valt voor het besloten netwerk buiten het afsprakenstelsel. Een aantal deelnemers maakt echter gebruik van de diginetwerk domeinnamen om ook op het openbare internet hun dienst ter beschikking te stellen. Hiervoor is besloten wel gebruik te maken van DNSSEC. Gepland voor 2020.geplandvan toepassingMonitor Open Standaarden 201927 maart 2020
IPv6 en IPv4IPv4 is geïmplementeerd door de deelnemers aan Diginetwerk. De implementatie van IPv6 stond gepland voor Q4 2018 en wordt 2020. Vanwege aanbesteding KPS (koppelpunt van Diginetwerk) is ondersteuning van IPv6 gepland als onderdeel van de migratie naar de nieuwe KPS leverancier.geplandvan toepassingMonitor Open Standaarden 201927 maart 2020
NEN-EN-ISO/IEC 27001:2017 (Managementsystemen voor informatiebeveiliging - Eisen)
NEN-EN-ISO/IEC 27002:2017 (Praktijkrichtlijn met beheersmaatregelen op het gebied van informatiebeveiliging)
Deze standaard is onderdeel van het algemene beveiligingsbeleid van Logius. Logius voldoet aan deze standaard en Diginetwerk is ook gebaseerd op deze standaard.voldoetvan toepassingMonitor Open Standaarden 201927 maart 2020

Toelichting: Bouwstenen en gebruikte standaarden

Zie verder

Rijksoverheidsnetwerk (RON)