SSA-D

Side 46 av 65

Bilag 3: Beskrivelse av det som skal driftes

1 Innledning I dette bilaget beskrives arkitektur og systemlandskap for Visma Flyt PPT.

2 Visma Flyt Plattform

Visma Flyt PPT er bygget på Vismas Flyt Plattform som defineres som følger:

en infrastruktur for SaaS-tjenester levert av VES Development

en infrastruktur som skal operasjonalisere

tjenester på toppen av infrastruktur krevet for å kunne levere en SaaS-platform for

offentlig sektor.

tjenester er basert på ITIL-rammeverk og VITC sin tjenestekatalog.

full redundant 3-lags infrastruktur for å kunne hoste 3-lags SaaS-tjenester

infrastruktur, hosts, tjenester og kontrakter godt dokumentert.

realisering av produksjons- og stagingmiljø.

Sistnevnte er en kopi av produksjonsmiljøet.

SSA-D

Side 47 av 65

Nettverkstopologi: Figur 2.1 nedenfor gir en overordnet oversikt over nettverkstilkoblinger og soner i Visma FLYT-Plattformen sitt produksjonsmiljø. Den synliggjør grenser til eksterne tilkoblinger og sikkerhetssoner i tjenesten.

Figur: 2.1 Nettverkstopologi Grenser: Trekantene markerer grensene mellom løsningene. To grenser er definert i denne figuren:

FLYT - produksjon som inneholder alle FLYT dedikerte servere og tjenester VIT - drift som inneholder alle tjenester VIT har bruk for å administrere løsningen,

som backup, overvåking, hypervisor tilgang, AD domenekontroller for Visma driftspersonell og mer.

VIT - ADM som inneholder en proxy-tjeneste, som gjør det mulig for godkjent(whitelisted) internett trafikk

Aksesspunkter:

Tilgang fra internett eller Helsenett til løsningen. Standard tilgang via HTTP(S). Tilgangen vil være beskyttet av en applikasjon lastbalanseringtjeneste, med brannmurfunksjonalitet, DDOS-beskyttelse og applikasjonsbrannmur.

Tilgang fra Visma sitt admin nettverk for support, drift og administrasjon formål. Dette admin-nettverket er kun tilgjengelig via en egen administrativ AD konto som krever 2FA godkjenning.

Sikkerhetssoner: FLYT produksjon (og staging) nettverk er delt inn i to sikkerhetssoner. Kommunikasjonen mellom de forskjellige sonene er begrenset med brannmurer og er styrt med følgende prinsipper:

SSA-D

Side 48 av 65

Kommunikasjon mellom sonene er stengt, med mindre eksplisitt åpnet. Det vil ikke være noen kommunikasjon til internett fra servere i sikker sone med

unntak av tjenester som ID-Porten og Folkeregisteret. Følgende sikkerhetssoner er implementert:

DMZ-sone - som håndterer trafikk fra internett eller Helsenett. Den vil ikke ha direkte tilgang til databaseservere. Av sikkerhetsmessige grunner vil alle servere i denne sonen kun få tilgang til Read Only Domain Controller (RODC)

Sikker sone - denne sonen vil inneholde alle andre servere som ikke trenger direkte

tilgang fra internett. De vil bare være tilgjengelig fra DMZ sonen.

Visma admin nettverk - denne sonen ligger utenfor Visma FLYT løsningen Dette er en intern sikker sone der hele drifts infrastrukturen ligger (for eksempel sikkerhetskopiering, logging og overvåking)

Se også SSA_D Bilag 6 kapittel 2.7.3 for sikkerhetspolicy.

3 Visma Flyt PPT Testmiljøet for Visma Flyt PPT består av en server, mens både staging- og produksjonsmijøet har fullt sett av like servere til hvert sitt formål. Utviklingsteamet har ingen tilgang til produksjonsmiljøet (hverken webservere eller databaser) og det er egne rutiner på hvem som har tilgang til AdminTools og produksjonsmiljøet.

SSA-D

Side 49 av 65

Figur: 3.1: Miljøer for Visma Flyt PPT

med AngularJS frontend og Asp.Net Web Api på backend.

API og nettsider hostes av IIS på et sett av web-servere som ligger bak en load-balancer.

Visma Flyt PPT lagrer informasjonen i all hovedsak i en felles MariaDB relasjonsdatabase. Det er redundans på database-serverne som er spredt på fysiske lokasjoner.

Importerte og produserte PDF dokumenter lagres i OpenStackSwift som også har redundans og er spredt på fysiske lokasjoner (her blir hver pdf kryptert med eget passord i tillegg)

AdminTools er verktøyet som Visma bruker for å opprette og administrere kundene (er kun tilgjengelig på innsiden av produksjonsmiljøet og med 2FA pålogging).

PPT website er kun tilgjengelig via helsenett. Sluttbruker må bruke en sikker nettleser på en desktop i helsenett, eller en sikker nettleser fra et MDM-verktøy (for eksempel AirWatch) om den

SSA-D

Side 50 av 65

skal nås via mobil enhet. PPT Website er ikke åpen på helsenett - det gis kun tilgang fra kundene sine ip-adresser.

All back-end kommunikasjon mellom kunden sine servere og PPT foregår også i helsenett (for eksempel arkivering og kommunikasjon med exchange-server).

All kommunikasjon krypteres med TLS 1.1 eller TLS 1.2. SSL 3.0 og eldre tillates ikke (dette gjelder både backend og mot PPT Website).

Skannede dokumenter som skal importeres til Visma Flyt PPT lagres i en mappe og blir plukket opp av Visma Link som installeres hos kunde som så sender de til Visma Flyt PPT. Visma Link bruker blant annet forretningssertifikater for autentisering.

Arkivering skjer enten mot "Visma Samhandling Arkiv" hos Visma, eller mot lokalt arkiv hos kunden via Noark5-tjenestegrensesnitt. Arkivering blir initiert av Visma Link hos kunde - og går direkte mot Noark5-grensesnittet til Arkivet

Innlegging av PPT-Avtaler i Exchange samt uthenting av avtaler fra Exchange initieres av Visma Link hos kunde. Visma Link benytter da Exchangeserver sitt API.

Visma Link bruker en lokal ms sql database for å lagre transaksjonslogger etc. Visma Link har også et GUI for å inspisere logger og redigere oppsett.

En del back-end kommunikasjon fra PPT må gjøres ut mot det ordinære Internett. Dette gjelder tjenester som SvarUt, Evry's tjenester for folkeregister og enhetsregister samt IDPorten. Detaljert skisse

Figur: 3.2: Skisse for kommunikasjon mot kundens tjenester