Gå til hovedindhold

Netværkssikkerhed

Når du anvender den fælleskommunale infrastruktur, kan du være sikker på, at sikkerheden er i højsædet.

Supporterede protokoller og ciphers

På Serviceplatformen og Støttesystemer benyttes TLS 1.2 ved udveksling af data og adgang til brugergrænseflader. Præsenteres Serviceplatformen for TLS 1.1 i forhandlingen om TLS-forbindelse med et it-system, kan forbindelsen blive afvist, også selv om TLS 1.2 er en mulighed.

Du kan læse mere om Sikkerhedsopgradering af anvendersystemer i dette dokument

Ciphers - Serviceplatformen

Følgende ciphers kan benyttes på Serviceplatformen:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Cloudflare - Serviceplatformen

Perimetersikring af Serviceplatformen sker via Cloudflare. Cloudflareløsningen sikrer et højt sikkerhedsniveau for Serviceplatformen bl.a. i form af bedre muligheder for beskyttelse mod DDoS angreb samt beskyttelse mod sårbarheder i web-applikationer.

De systemansvarlige for anvendersystemer skal derfor sikre, at der anvendes hostnavne og DNS-opslag til at forbinde til Serviceplatformen. Det gælder både for produktions- og eksternt testmiljø:

Produktionsmiljø

  • prod.serviceplatformen.dk
  • sftp.serviceplatformen.dk

Eksternt testmiljø

  • exttest.serviceplatformen.dk
  • sftpexttest.serviceplatformen.dk

Vi opfordrer til også at kontrollere, at hostnavnene oversættes til IP-adresser via DNS-opslag, og ikke er registreret i /etc/hosts-filen.

IP-adresser - Serviceplatformen

Hvis der hos anvendersystemet anvendes firewall til den udgående trafik mod Serviceplatformen, er det vigtigt, at denne ikke filtrerer på IP-adresser, men på domænenavne. Såfremt en udgående firewall hos et anvendersystem er nødt til at filtrere på IP-adresser, vil de relevante IP-adresser være tilgængelige på dette link: https://www.cloudflare.com/ips/. Det er vigtigt at være opmærksom på, at disse IP-ranges løbende kan ændre sig, så firewall-filtrering baseret på IP-adresser skal løbende opdateres for at fungere. Det vil være anvendersystemets ansvar at sikre, at denne løbende opdatering finder sted.

Relevante porte, der skal være åbne, er: 443 (https) og 22 (sftp).

IBM’s driftscenter for Serviceplatformen benytter to forskellige lokationer. Indgående trafik fra anvendersystemer bliver automatisk balanceret på tværs af lokationerne. Udgående trafik fra driftscentre vil benytte to forskellige IP-adresser (en fra hver lokation):

  • 158.177.18.159
  • 161.156.179.255

Bemærk venligst, at Serviceplatformen er driftet i IBM’s datacentre i Tyskland, og grundet IBM’s cloud setup vil de to IP-adressers geolocation fremgå som værende hjemmehørende i USA. Det er derfor vigtigt at kontrollere, at der ikke er opsat evt. geoblocking i egen infrastruktur.