Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

BATbern48_Zero Trust Architektur des ISC-EJPD.pdf

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Wird geladen in …3
×

Hier ansehen

1 von 18 Anzeige

BATbern48_Zero Trust Architektur des ISC-EJPD.pdf

Herunterladen, um offline zu lesen

Das Zero-Trust-Modell ist ein Sicherheitskonzept, das auf dem Grundsatz basiert, keinem Gerät, Nutzer oder Dienst innerhalb oder ausserhalb des eigenen Netzwerks zu vertrauen. Dieses Konzept wird im EJPD schon seit 2003 – Einführung des SSO-Portals – aktiv umgesetzt.

Das Zero-Trust-Modell ist ein Sicherheitskonzept, das auf dem Grundsatz basiert, keinem Gerät, Nutzer oder Dienst innerhalb oder ausserhalb des eigenen Netzwerks zu vertrauen. Dieses Konzept wird im EJPD schon seit 2003 – Einführung des SSO-Portals – aktiv umgesetzt.

Anzeige
Anzeige

Weitere Verwandte Inhalte

Weitere von BATbern (20)

Aktuellste (20)

Anzeige

BATbern48_Zero Trust Architektur des ISC-EJPD.pdf

  1. 1. Eidgenössisches Justiz- und Polizeidepartement EJPD Informatik Service Center ISC-EJPD Zero Trust Architektur des EJPD Matthias German Leiter Architektur ISC-EJPD Pit Andres CTO ISC-EJPD
  2. 2. 2 Vorstellung Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD
  3. 3. 3 Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD
  4. 4. 4 Auftrag des ISC-EJPD Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Wahrung der inneren (IT-) Sicherheit der Schweiz … zur Sicherstellung der
  5. 5. 5 Etwas Geschichte … wir schreiben das Jahr 1998 … Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Host HP Nonstop Terminal EJPD WAN Client RZ EJPD closed user group / dedicated network (EJPD WAN) Kern-Anforderungen der neuen Sicherheitsarchitektur • Keine nicht-authentisierten Request ins Backbone (RZ) EJPD • Single-Sign-on über alle Fachapplikationen des EJPD
  6. 6. 6 Die Geburtsstunde von Zero Trust Architektur EJPD Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD
  7. 7. 7 Theorie und Praxis rund um Zero Trust Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD
  8. 8. 8 Die Zero Trust Grundsätze im EJPD Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Die Grundsätze von Zero Trust im EJPD Keine Gerät, keinem Netzwerk, keinem User wird per default vertraut. Zero Trust – Always Verify Interne und externe Bedrohungen sind jederzeit Vorhanden – Netzwerkzugehörigkeit reicht nicht aus um Vertrauen zu schaffen Full TLS Visibility & Inspection Ein Benutzer hat per Default keine Rechte und keine Zugriffe. Alle werden authentisiert und autorisiert Least Privilege –Deny by Default Richtlinien bilden de Grundlage für die Zero Trust Architektur des EJP Security by Design & Default
  9. 9. 9 Das Zero Trust Modell im EJPD – Sowohl als Auch Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Policies, Prozess und Awareness Physikalische Sicherheit Perimeter Netzwerk Server-Systeme Identity & IAM Anwendungen Daten Sicherung der Rechenzentren Plattformen, Schwachstellenmanagement, Härten Referenzarchitekturen, Policies, Reviews Firewall, Gateway, IDS, IPS Physikalische Trennung, Segmentierung, interne Gateway, Zonenübergänge Authentisierung / Autorisierung / AAA Security by default & design, zero trust Access, Encryption Sicherheitsarchitektur des EJPD Zero Trust Architektur EJPD
  10. 10. 10 Basis von Zero Trust: Die Referenzarchitekturen Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Sicherheits - Referenzarchitektur Netzwerke & Protokolle Portal, Authentisierung & Identitäten Verschlüsselungen / Signaturen Integrations - Referenzarchitektur Zonenübergänge PEP & Gateways Pattern Software - Referenzarchitektur Architektur , Design & Einbettung Autorisierung Protokollierung
  11. 11. 11 Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Perimeter / Netzwerk (schematisch und stark vereinfacht) PEZ Server Zone Spezialzone(n) Server Zone Plus Enhanced (PaaS Private Cloud) Management DMZ Portal DMZ Internet HTTP- Proxy Internet-Proxy portal.ejpd.admin.ch Strong Auth Strong Apps SOA - Proxy Strong Auth Strong Services HTTP Proxy Intranet-Proxy portal.ejpd.admin.ch Strong Auth Strong Apps SOA Proxy Strong Service Strong Auth Internet KOM-BV KOM-BV 4 Segment, Namespace Segment, Namespace Segment, Namespace Segment, Namespace PEZ XML Gateway SVCGW-ESB PEZ Partner Proxy Interpol Schengen Weitere Infra Infra Infra Infra
  12. 12. Client-Zone Access-Zone PEP (policy enforcement point) IAM Identitäts- verwaltung Backend / PaaS EJPD Web- Proxy Identitäts- Provider Service- Provider Client Authentisierung Klasse B Zertifikat Authorisierung Application A Microservice A1 Application B Integration PEZ Service-Gateway Microservice A2 Microservice B1 Microservice B2 XML-Gateway 12 Internes Netzwerk / Integrationsarchitektur (Zero Trust) Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD EPI IPI
  13. 13. 13 Identity Authentisierung (Starke 2FA) Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD
  14. 14. 14 Anwendung Autorisierung / Accounting Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Client-Zone Access-Zone PEP (policy enforcement point) IAM Identitäts- verwaltung Schnitt stelle Backend / PaaS EJPD Web- Proxy Identitäts- Provider Service- Provider Client JFA Authentisierung Microservice s DB - Server DB-Server Klasse B Zertifikat Runtime JFAToken Servletfilter SecToken JFA Token Java Access Token Portal ID Token
  15. 15. 15 Vergleichen wir mit einer modernen OAuth2 Architektur Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Client API Gateway (Reverse Proxy) IDM IdP (Authentisierung) JFA (Autorisierung) Portal ID Token Anwendungen Services Java Acces Token
  16. 16. 16 Mutations- und Anfrageprotokollierung Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Client-Zone Access-Zone PEP (policy enforcement point) IAM Identitäts- verwaltung Backend / PaaS EJPD Web- Proxy Identitäts- Provider Service- Provider Client Authentisierung Klasse B Zertifikat Authorisierung Fachapplikation Microservice A1 PROTOC Anwendung Microservice A2 PROTOC Service Datenbank DB A PROTOC DB Protokollierung der Mutationen und Anfragen für besonders schützenswerte Personendaten gemäss VDSG Art 10 plus neues DSG Protokollierung Anwendung Protokollierung Service DB
  17. 17. 17 Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD
  18. 18. Informatik Service Center ISC-EJPD Eichenweg 3 3003 Bern www.isc-ejpd.admin.ch LinkedIn Kontakt: 18 Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Matthias Germann Peter Andres Zero Trust Architektur für die inneren Sicherheit der CH für … Fragen und Diskussion Dich Mich

×