ICT Emmaüs vzw Emmaüs. Maatschappelijke zetel: Edgar Tinellaan 1c 2800 Mechelen
1
Technische richtlijnen Emmaüs implementatie
Versiebeheer
Versie
Datum
Naam
Opmerking
Versie 1.9
04-MAA-2015
Wim Van Poel
Verduidelijking ivm de switches Switches moeten managed zijn en worden door ICT Emmaüs geleverd
Versie 1.8
02-JAN-2015
Wim Van Poel
Versie 1.7
20-mei-2014
Wim Van Poel
Feedback OO verwerkt
Versie 1.6
11-apr-2014
Wim Van Poel
Feedback Marc V. verwerkt
Versie 1.5
9-apr-2014
Wim Van Poel
Feedback Walter verwerkt
Versie 1.4
26-maa-2014
Wim Van Poel
Feedback Veerle verwerkt
Versie 1.3
15-maa-2014
Wim Van Poel
Context en richtlijnen herschikt
Versie 1.2
20-nov-2013
Wim Van Poel
Max aantal files in folder
Versie 1.1
30-mei-2013
Wim Van Poel
Onafhankelijkheid van systemen toegevoegd.
Versie 1.0
18-jan-2013
Wim Van Poel
Creatie
2
Naam databank wordt door Emmaüs bepaald
Context
Dit document bevat richtlijnen voor de implementatie van systemen/applicaties binnen Emmaüs. Afwijkingen op de richtlijnen kunnen enkel na overleg en akkoord van de Emmaüs projectleider verantwoordelijk voor de implementatie (die hiervoor overleg zal plegen met de betrokken verantwoordelijken voor veiligheid, architectuur, budget, …). Het doel van de richtlijnen zijn best practises, security en standaardisatie om de operationele werking van applicaties zo efficiënt mogelijk te maken binnen een Emmaüs omgeving. De richtlijnen verwijzen vaak naar gedetailleerde procedures die steeds op vraag kunnen bekomen worden.
Technische richtlijnen Emmaüs implementatie.docx
p 1/7
ICT Emmaüs vzw Emmaüs. Maatschappelijke zetel: Edgar Tinellaan 1c 2800 Mechelen
3 3.1
Technische richtlijnen Emmaüs implementatie
Richtlijnen Implementatie richtlijnen
3.1.1 Server installaties 1) Servers zijn gebaseerd op een van de volgende gevirtualiseerde operating systemen: a. Windows 2012 Standard edition b. Windows 2008 R2 Standard edition 2) Services (maar ook andere processen die onder een applicatie account uitgevoerd worden) die geïnstalleerd worden draaien een service account (naamgevingsprefix ‘s-‘) specifiek per leverancier/systeem/omgeving. Systeem = de scope van een toepassing/suite: bv epd, zis, …; indien er scheiding is per voorziening dan wordt dit doorgetrokken in de service accounts. Omgeving = test/acceptatie/productie 3) Het systeem wordt zo geconfigureerd dat output op disk (tijdelijke bestanden, output bestanden, log bestanden, …) niet op het systeemvolume (c:) komt. We voorzien voor deze output een d: disk (of andere indien d: voor een ander doel voorbehouden is) 4) Applicaties gebruiken UNC paden voor remote servers en zijn dus niet afhankelijk van driveletters. 5) Applicaties die services of programma’s van andere servers gebruiken maken gebruik van dns aliasen en niet van de servernaam of ip address. 6) Emmaüs bepaalt de naam van de server(s) en doet de installatie tot en met het OS en alle systeem toepassingen (IIS, .NET, …). 7) De systemen worden zodanig opgezet dat ze maximaal onafhankelijk zijn van de beschikbaarheid van andere servers en systemen. Voorbeeld: services schrijven/lezen bestanden lokaal of hebben retry/hold mechanismen om te herstellen van onbeschikbaarheid van de remote locatie 8) De installatie documentatie vermeldt alle dependencies op niet-eigen systeem of applicatie componenten (bv. .NET framework, db-connectivity-client, drivers voor scan apparatuur, …) 9) Websites worden bij voorkeur gehost met IIS , gebaseerd op .NET/ASPX technologie. 10) Websites krijgen altijd een DNS alias voor oproepen door gebruikers of systemen. 11) Voor installatie worden volgende gegevens opgeleverd ifv sizing van de benodigde infrastructuur: a. Minimale configuratie nodig voor onze implementatie Technische richtlijnen Emmaüs implementatie.docx
p 2/7
ICT Emmaüs vzw Emmaüs. Maatschappelijke zetel: Edgar Tinellaan 1c 2800 Mechelen
Technische richtlijnen Emmaüs implementatie
b. Aangeraden configuratie nodig voor onze implementatie c. Parameters die de configuratie beïnvloeden en hun impact (bv. concurrent gebruikers, aantal onderzoeken, aantal aangesloten machines, …) d. Benodigde diskruimte: initieel en maandelijkse groei. 12) Folders bevatten maximaal 20.000 bestanden. Bij noodzaak aan meer bestanden wordt gewerkt met subfolders. 13) Alle virtuele server data (uitgezonderd Microsoft SQL databases) worden via snapshots gebackuped. Uitzondering hierop is mogelijk mits overleg en akkoord van de projectleider. 3.1.2 DB installaties 1) Als database systeem gebruiken we één van de volgende Microsoft SQL servers: a. SQL 2012 Standard edition x64 b. SQL 2008 R2 Standard edition x64 2) De database zal op een gesupporteerd service pack level blijven. Indien het systeem enkel door een externe partij beheerd en gesupporteerd wordt, is die partij verantwoordelijk voor opvolging en installatie. 3) Voor installatie worden volgende gegevens opgeleverd: a. Minimale configuratie nodig voor onze implementatie b. Aangeraden configuratie nodig voor onze implementatie c. Parameters die de configuratie beïnvloeden en hun impact (bv. concurrent gebruikers, aantal onderzoeken, aantal aangesloten machines, …) d. Benodigde diskruimte: initieel en maandelijkse groei. 4) Het aanmaken van de databank gebeurt door ICT Emmaüs. Eens aangemaakt kan de installatieapplicatie of leverancier een account krijgen met alle rechten op de databank zelf maar geen rechten op het SQL instance (geen rechten om SQL te herstarten of zelf een databank te creëren). 5) Connecties naar de databank worden gemaakt aan de hand van een DNS alias (voor de serververwijzing) en ahv Windows Integrated Security. 6) De naam van de databank wordt bepaald door ICT Emmaüs 3.1.3 Security 1) Alle connecties door de firewall naar buiten het Emmaüs LAN, worden zo klein mogelijk gedefinieerd en moeten expliciet akkoord van de Security Officer krijgen. Dit akkoord wordt aangevraagd met een gedetailleerde beschrijving van de minimale connectie. Dit geldt ook voor internet toegang vanaf servers of clients.
Technische richtlijnen Emmaüs implementatie.docx
p 3/7
ICT Emmaüs vzw Emmaüs. Maatschappelijke zetel: Edgar Tinellaan 1c 2800 Mechelen
Technische richtlijnen Emmaüs implementatie
2) Iedere server draait Anti Virus software en exclusions op de scanregels moeten expliciet door de Security Officer goedgekeurd worden en zijn in regel enkel mogelijk op applicatie specifieke folders en bestanden (vb. niet c:\windows\temp, wel c:\program files\vendor\app\app.exe) 3) Iedere server krijgt security patches. Indien het beheer en support volledig door een externe partij gebeurt, zal die partij verantwoordelijk zijn voor de installatie van de patches die aangeboden worden via WSUS binnen een redelijke termijn. 4) Paswoorden worden altijd encrypted opgeslagen (bv. in configuratie tekstbestanden of registry). 5) Service- en task-accounts krijgen minimaal noodzakelijke rechten toegewezen op een door Emmaüs operationeel haalbare manier. De minimaal benodigde rechten zijn opgenomen in de documentatie van het systeem. Voorbeeld 1: Indien een applicatie account rechten moet hebben om in een folder x bestanden te wijzigen en y te lezen, dan zal Emmaüs dat account read/write rechten geven op de volledige folder. Voorbeeld 2: Indien een applicatie account leesrechten moet hebben op x database tabellen en moet kunnen schrijven in een aantal andere, dan zal Emmaüs dat account read/write rechten geven op de volledige databank. 6) Service- en task-accounts krijgen geen lokale-, db- of globale-administrator rechten. 7) Er wordt een gedetailleerde beschrijving aangeleverd hoe het paswoord van applicatie-, serviceen task-accounts kan gewijzigd worden en welke configuratie wijzigingen dit vereist alsook de impact hiervan op de beschikbaarheid van het systeem. 8) Publieke applicaties die we aanbieden aan externe gebruikers (eventueel via een beveiligde toegang) zijn veilig gebouwd volgens de principes van OWASP. Als die applicaties patiënt- , persoons-, medische-, financiële- of andere confidentiële gegevens bevat, dan moet de toegang ertoe beveiligd worden in overleg en met akkoord van de Security Officer. 9) Servers zijn afgemeld in hun operationele toestand. Achtergrond taken op de server draaien als services. 10) Verkeer naar internet van clients gaat over een proxy device voor malware en virus bescherming. Uitzonderingen hierop zijn enkel mogelijk mits expliciet akkoord van de Security Officer. 11) Applicatie resources (shares, files & folders, websites, …) worden qua rechten afgeschermd tot identificeerbare groepen/individuen en laten geen Anonymous noch Everyone access toe.
Technische richtlijnen Emmaüs implementatie.docx
p 4/7
ICT Emmaüs vzw Emmaüs. Maatschappelijke zetel: Edgar Tinellaan 1c 2800 Mechelen
Technische richtlijnen Emmaüs implementatie
3.1.4 Netwerk 1) Iedere client (= netwerk gekoppeld device dat niet in het datacenter staat) krijgt een IP adres van de Emmaüs DHCP servers (vaste adressen worden toegekend op basis van MAC reservaties) 2) Netwerkverkeer tussen clients en servers gaat over een gerouteerd L3 netwerk 3) Clients en/of eindpunten kunnen in verschillende L2 netwerk segmenten zitten. 4) Alle verkeer tussen clients onderling moet op voorhand en gedetailleerd worden beschreven en ahv die beschrijving en in overleg een akkoord van de Emmaüs Security Officer krijgen. 5) Netwerkverkeer tussen clients en servers wordt in regel steeds geïnitieerd vanaf de client. Waar afwijkend wordt dit duidelijk gespecifieerd. 6) Verkeer tussen gebruikers en servers zal over WAN verbindingen lopen met hogere latency. 7) Draadloze netwerk connecties moeten steeds beveiligd worden met akkoord van onze Security Officer. 8) Alle switches die een connectie hebben met het Emmaüs LAN, zijn managed switches, aangekocht, geïnstalleerd en geconfigureerd door ICT Emmaüs 3.1.5 Client installatie 1) De toepassing is compatible voor alle volgende operating systemen: a. Windows 7 Enterprise x64 b. Gevirtualiseerde Windows 2008 R2 Standard x64 (Citrix) 2) De installatie en volledige de-installatie is automatiseerbaar en unattended uitvoerbaar met mogelijkheid om nadien het succesvolle verloop of fouten en waarschuwingen (bv. reboot nodig na installatie) op te vragen. 3) De applicatie is geschikt om in een Citrix omgeving te draaien op een gevirtualiseerd server OS en springt zuinig en correct om met resources zodat zeker 20 gebruikers eenzelfde server (2 vCPU, 16 GB RAM) kunnen delen 4) Cliënt applicaties (op Citrix of desktops/laptops) worden steeds geïnstalleerd door ICT Emmaüs 5) De applicatie is geschikt om gevirtualiseerd te worden aan de hand van Microsoft App-V 6) Iedere client krijgt security patches die gedistribueerd worden door Emmaüs 7) Iedere client heeft antivirus en firewall software en exclusions op de scanregels moeten expliciet door de Security Officer goedgekeurd worden en zijn in regel enkel mogelijk op applicatie
Technische richtlijnen Emmaüs implementatie.docx
p 5/7
ICT Emmaüs vzw Emmaüs. Maatschappelijke zetel: Edgar Tinellaan 1c 2800 Mechelen
Technische richtlijnen Emmaüs implementatie
specifieke folders en bestanden (vb. niet c:\windows\temp, wel c:\program files\vendor\app\app.exe). 8) De installatie documentatie vermeldt alle dependencies op niet-eigen systeem of applicatie componenten (bv. .NET framework, db-connectivity-client, drivers voor scan apparatuur, …) 9) Verwijzingen naar servers gebeurt via een dns alias. Dit geldt voor alle verwijzingen zoals connectie strings, shares, url’s, … 10) Cliënt applicaties worden steeds in systeem context geïnstalleerd en niet in een user context. Voorbeeld 1: Applicaties kunnen wel bij installatie registry keys aanmaken in HKLM maar niet onder HKCU. Voorbeeld 2: Applicaties kunnen wel bij installatie ODBC koppelingen aanmaken in systeem context maar niet onder gebruikers context.
3.2
Operationele richtlijnen
3.2.1 Backup/restore 1) Ieder systeem heeft gedocumenteerde instructies om een consistente backup en restore uit te voeren. Het nemen van de backup gebeurt geautomatiseerd en unattended en heeft de mogelijkheid om de succesvolle status van dit proces te monitoren. 2) De opgeleverde documentatie moet volstaan om een gecertificeerde medewerker van de leverancier de omgeving te laten begrijpen, aan te passen en te configureren tot het niveau dat een restore uitgevoerd kan worden. 3) Alle te backuppen data staat centraal in het datacenter. Er is geen ‘levende’ data op clients of decentrale storage die gebackuped moet worden. 3.2.2 Remote support door niet-Emmaüs medewerkers 1) Remote support over Internet is mogelijk via een standaard Emmaüs procedure waarbij de gebruiker een specifiek userid krijgt met strong authentication (ahv eID , indien onmogelijk en geargumenteerd via een token). De remote toegang geeft lokale administrator toegang via RDP waarbij er ook de mogelijkheid is om bestanden over te zetten. 2) De RDP client moet door de externe gebruiker zelf geïnstalleerd worden op zijn machine en is gratis downloadbaar van de Microsoft website. 3) Servers waar de externe medewerkers volledige toegangsrechten op nodig hebben, zijn dedicated voor deze leverancier. Voorbeeld 1: een externe medewerker heeft geen administrator rechten op een gedeelde SQL server maar is wel DB owner van zijn eigen databases
Technische richtlijnen Emmaüs implementatie.docx
p 6/7
ICT Emmaüs vzw Emmaüs. Maatschappelijke zetel: Edgar Tinellaan 1c 2800 Mechelen
Technische richtlijnen Emmaüs implementatie
4) Remote toegang tot de VMWare beheer omgeving is niet mogelijk. 5) Virtuele werkstations of Citrix toegang kan voorzien worden om client applicaties remote te ondersteunen. De client applictie en eventuele bijkomende client afhankelijkheden (bv. MSOffice, Adobe Reader, …) wordt met dit doel niet op de (applicatie)server geïnstalleerd. 3.2.3 Monitoring 1) Monitoring binnen Emmaüs gebeurt ahv Microsoft System Center Operations Manager. Het systeem beschikt over documentatie die beschrijft hoe de beschikbaarheid van de verschillende systeemcomponenten kan gemonitord worden. 2)
Indien het systeem gesupporteerd wordt door Emmaüs moet ook aangegeven zijn wat de correctieve acties zijn in geval een systeemcomponent onbeschikbaar is.
3) Het systeem logt informatie die toelaat om trends in de performantie van het systeem objectief op te volgen. Loginformatie is zodanig georganiseerd dat eenvoudig archivering en opkuis kan opgezet worden. Er wordt duidelijk aangegeven hoeveel logdata gegenereerd wordt per tijdseenheid. 3.2.4 Updates 1) Updates en nieuwe versies van de applicatie of zijn configuratie parameters worden enkel na expliciet akkoord van Emmaüs, gepland en onder begeleiding geïnstalleerd. 2) Indien een test en/of acceptatie systeem beschikbaar is voor de toepassing, dan worden updates steeds hierop eerst uitgevoerd en getest en pas na validatie door Emmaüs op de productieomgeving geplaatst. 3) Updates zijn gedocumenteerd met installatie instructies, lijst met wijzigingen die de release installeert (change log / release notes) op een niveau dat toelaat om correct risico, testing en beschikbaarheidsimpact in te schatten. 4) Installaties van updates en versies op een productie versie, worden maximaal 4x / jaar uitgevoerd. Frequentere updates enkel na overleg en met akkoord van de projectleider. 5) Van elke update wordt door de leverancier aangegeven wat de mogelijkheden zijn om een geleidelijke productie uitrol uit te voeren en dus in productie (tijdelijk) met meerdere versies actief te zijn.
Technische richtlijnen Emmaüs implementatie.docx
p 7/7
