Layout
Die Maßnahme DEV/NET beschreibt den kontrollierten Datenfluss vom städtischen Netz zu den SCI-Diensten, sowie den Datenfluss zwischen den SCI-Diensten untereinander und die Zugriffe aus/in das Public-Internet. Der Aufbau stellt sicher und schützt die Gesamtheit der Umgebungen durch ein kaskadiertes Firewallkonzept vor unautorisierten Zugriffen.
Kern der Architektur ist ein hochverfügbares Border-Firewall-Cluster am Perimeter, das den Übergang zu Internet und internen Netzen absichert, flankiert von virtuellen Firewalls, welche die internen Funktions- und Projektzonen vollständig und nachvollziehbar voneinander trennen. Die Netzsegmentierung folgt einer klaren Trennung und VLAN-Zuordnung mit reinen, ausschließlich für die Kopplung vorgesehenen Transfernetzen zwischen den Firewall-Ebenen. Datenströme werden sauber klassifiziert in Internet, Service-Netzwerke bzw. SCI-Dienste sowie die Innenanbindung in Richtung Verwaltung; für jede Klasse gelten genehmigte Freigaben mit eindeutigen Richtlinien zu Richtung, Protokollen, Ports und ggf. Inspektionstiefe. Ein durchgängiges IPv4/IPv6-Adressierungskonzept mit konsistenten Regeln stellt Skalierbarkeit und Zukunftsfähigkeit sicher.
Administrativer Zugriff erfolgt ausschließlich über eine abgegrenzte Administrationszone. Zugänge für Beschäftigte und Partner werden personalisiert, regelbasiert und zonenspezifisch über VPN mit Zertifikaten bereitgestellt. Umfassendes Logging und kontinuierliches Monitoring gewährleisten Nachvollziehbarkeit, Revisionssicherheit und Betriebsstabilität.
