BATbern48_Zero Trust Architektur des ISC-EJPD.pdf

1. Eidgenössisches Justiz- und Polizeidepartement EJPD Informatik Service Center ISC-EJPD Zero Trust Architektur des EJPD Matthias German Leiter Architektur ISC-EJPD Pit Andres CTO ISC-EJPD

2. 2 Vorstellung Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD

3. 3 Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD

4. 4 Auftrag des ISC-EJPD Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Wahrung der inneren (IT-) Sicherheit der Schweiz … zur Sicherstellung der

5. 5 Etwas Geschichte … wir schreiben das Jahr 1998 … Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Host HP Nonstop Terminal EJPD WAN Client RZ EJPD closed user group / dedicated network (EJPD WAN) Kern-Anforderungen der neuen Sicherheitsarchitektur • Keine nicht-authentisierten Request ins Backbone (RZ) EJPD • Single-Sign-on über alle Fachapplikationen des EJPD

6. 6 Die Geburtsstunde von Zero Trust Architektur EJPD Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD

7. 7 Theorie und Praxis rund um Zero Trust Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD

8. 8 Die Zero Trust Grundsätze im EJPD Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Die Grundsätze von Zero Trust im EJPD Keine Gerät, keinem Netzwerk, keinem User wird per default vertraut. Zero Trust – Always Verify Interne und externe Bedrohungen sind jederzeit Vorhanden – Netzwerkzugehörigkeit reicht nicht aus um Vertrauen zu schaffen Full TLS Visibility & Inspection Ein Benutzer hat per Default keine Rechte und keine Zugriffe. Alle werden authentisiert und autorisiert Least Privilege –Deny by Default Richtlinien bilden de Grundlage für die Zero Trust Architektur des EJP Security by Design & Default

9. 9 Das Zero Trust Modell im EJPD – Sowohl als Auch Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Policies, Prozess und Awareness Physikalische Sicherheit Perimeter Netzwerk Server-Systeme Identity & IAM Anwendungen Daten Sicherung der Rechenzentren Plattformen, Schwachstellenmanagement, Härten Referenzarchitekturen, Policies, Reviews Firewall, Gateway, IDS, IPS Physikalische Trennung, Segmentierung, interne Gateway, Zonenübergänge Authentisierung / Autorisierung / AAA Security by default & design, zero trust Access, Encryption Sicherheitsarchitektur des EJPD Zero Trust Architektur EJPD

10. 10 Basis von Zero Trust: Die Referenzarchitekturen Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Sicherheits - Referenzarchitektur Netzwerke & Protokolle Portal, Authentisierung & Identitäten Verschlüsselungen / Signaturen Integrations - Referenzarchitektur Zonenübergänge PEP & Gateways Pattern Software - Referenzarchitektur Architektur , Design & Einbettung Autorisierung Protokollierung

11. 11 Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Perimeter / Netzwerk (schematisch und stark vereinfacht) PEZ Server Zone Spezialzone(n) Server Zone Plus Enhanced (PaaS Private Cloud) Management DMZ Portal DMZ Internet HTTP- Proxy Internet-Proxy portal.ejpd.admin.ch Strong Auth Strong Apps SOA - Proxy Strong Auth Strong Services HTTP Proxy Intranet-Proxy portal.ejpd.admin.ch Strong Auth Strong Apps SOA Proxy Strong Service Strong Auth Internet KOM-BV KOM-BV 4 Segment, Namespace Segment, Namespace Segment, Namespace Segment, Namespace PEZ XML Gateway SVCGW-ESB PEZ Partner Proxy Interpol Schengen Weitere Infra Infra Infra Infra

12. Client-Zone Access-Zone PEP (policy enforcement point) IAM Identitäts- verwaltung Backend / PaaS EJPD Web- Proxy Identitäts- Provider Service- Provider Client Authentisierung Klasse B Zertifikat Authorisierung Application A Microservice A1 Application B Integration PEZ Service-Gateway Microservice A2 Microservice B1 Microservice B2 XML-Gateway 12 Internes Netzwerk / Integrationsarchitektur (Zero Trust) Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD EPI IPI

13. 13 Identity Authentisierung (Starke 2FA) Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD

14. 14 Anwendung Autorisierung / Accounting Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Client-Zone Access-Zone PEP (policy enforcement point) IAM Identitäts- verwaltung Schnitt stelle Backend / PaaS EJPD Web- Proxy Identitäts- Provider Service- Provider Client JFA Authentisierung Microservice s DB - Server DB-Server Klasse B Zertifikat Runtime JFAToken Servletfilter SecToken JFA Token Java Access Token Portal ID Token

15. 15 Vergleichen wir mit einer modernen OAuth2 Architektur Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Client API Gateway (Reverse Proxy) IDM IdP (Authentisierung) JFA (Autorisierung) Portal ID Token Anwendungen Services Java Acces Token

16. 16 Mutations- und Anfrageprotokollierung Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Client-Zone Access-Zone PEP (policy enforcement point) IAM Identitäts- verwaltung Backend / PaaS EJPD Web- Proxy Identitäts- Provider Service- Provider Client Authentisierung Klasse B Zertifikat Authorisierung Fachapplikation Microservice A1 PROTOC Anwendung Microservice A2 PROTOC Service Datenbank DB A PROTOC DB Protokollierung der Mutationen und Anfragen für besonders schützenswerte Personendaten gemäss VDSG Art 10 plus neues DSG Protokollierung Anwendung Protokollierung Service DB

17. 17 Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD

18. Informatik Service Center ISC-EJPD Eichenweg 3 3003 Bern www.isc-ejpd.admin.ch LinkedIn Kontakt: 18 Informatik-Service Center ISC-EJPD • Zero Trust Modell ISC-EJPD Matthias Germann Peter Andres Zero Trust Architektur für die inneren Sicherheit der CH für … Fragen und Diskussion Dich Mich

BATbern48_Zero Trust Architektur des ISC-EJPD.pdf

Esté a ler uma amostra.

Confira estes a seguir

BATbern48_Zero Trust Architektur des ISC-EJPD.pdf

Mais Conteúdo rRelacionado

Semelhante a BATbern48_Zero Trust Architektur des ISC-EJPD.pdf (20)

Mais de BATbern (20)

Mais recentes (20)