Neues Kapitel:
Ein Anbieter TI-Gateway muss sich drei IP-Adressbereiche delegieren lassen :
Die Bereiche sind definiert in gemSpec_Net:
Zusätzlich kann das TI-Gateway den Netzbereich "TI-Gateway (intern)" für interne Kommunikation verwenden, wobei IP-Adresskonflikte mit Diensten in der TI ausgeschlossen sind. Eine Delegation ist für diesen Bereich nicht notwendig.
Die Komponenten des TI-Gateways können direkt an den SZZP oder über ein Transfernetz angeschlossen werden. Da die IP-Adressen des Transfernetzes nur von lokaler Relevanz sind, sollten sie dem privaten IP-Adressbereich entnommen werden (RFC 1918#Kap.3.) und der genaue IP-Bereich und Netzmaske mit dem Anbieter Zentraler Plattformdienste (AZPD = Arvato) abgestimmt werden. Alternativ können delegierte IP-Adressen aus dem IP-Adressbereich "TI-Gateway" verwendet werden.
Netzbereich "Konnektoren, Consumer und Highspeed Konnektoren":
Kommunikation der HSK Instanzen zu den offenen und gesicherten Fachdiensten sowie zu den weiteren Anwendungen im Gesundheitswesen.
Netzbereich "TI-Gateway":
Kommunikation der Systemdienste im TI-Gateway zu den zentralen Diensten der TI, z.B. Namens- und Zeitdienst oder den OCSP-Responder der Komponenten PKI.
Netzbereich "Gesicherte Fachdienste":
Kommunikation des Intermediär zu den zentralen Diensten sowie Erreichbarkeit für die HSK.
Netzbereich "TI-Gateway (intern)":
Kommunikation innerhalb des TI-Gateways z.B. zwischen dem VPN-Client in der Leistungserbringerumgebung und der zugehörigen HSK-Instanz oder zwischen den HSK-Instanzen und den Systemdiensten.
Die Registrierung der Systemdienste und die daraus resultierende Freischaltung erfolgt durch den AZPD über die folgenden TINA-Schnittstellen.
Der Netzbereich "TI-Gateway" ist für die Registrierung der folgenden Schnittstellen zu nutzen:
Der Netzbereich "Konnektoren, Consumer und Highspeed-Konnektoren" ist für die Registrierung der folgenden Schnittstellen zu nutzen:
Die Registrierung erfolgt für eine IP-Adresse oder einen IP-Adresspool und genau eine Schnittstelle. Die Registrierung einer IP-Adresse für mehrere Schnittstellen ist nur für spezifizierte Ausnahmen gestattet, z.B. für alle Systemdienste in einem HSK-Server.
Abbildung 1 Aufbau 1 - Eigenständige Systemdienste
Das TI-Gateway unterteilt sich in eine Front-Zone und eine Back-Zone.
Die Front-Zone besteht aus:
Die Netzwerkkonzeption für das Zugangsmodul und die Front-Zone obliegt dem Anbieter des TI-Gateway. Prinzipiell kann der Betreiber TI-Gateway in der Front-Zone IP-Adressen aus dem Netzbereich TI-Gateway (intern) verwenden, sofern die Komponenten nicht mit der TI kommunizieren. Der Betreiber TI-Gateway muss die IP-Verwaltung für diesen Netzwerkbereich eigenständig durchführen.
A_26387 - Verwendung IP-Adressen TI-Gateway (intern)
Der Anbieter TI-Gateway DARF IP-Adressen aus dem Netzbereich "TI-Gateway (intern)" NICHT für die Kommunikation in die TI verwenden. [<=]
Die Back-Zone besteht aus:
Die IP-Adressen für die interne Kommunikation zwischen HSK bzw. den HSK-Instanzen mit den Systemdiensten im TI-Gateway können ebenfalls dem Netzbereich "TI-Gateway (intern)" entnommen werden.
Die NAT Server verwenden als Netzmaske mindesten /26 idealerweise /24 und arbeiten im Source-NAT.
Hinweis: Die NAT-Server können auch mit den IP-Adressen aus dem NAT-Bereich an den SZZP angeschlossen werden.
In diesem Aufbau sind Caching-Nameserver, NTP-Server, http-forwarder, und KSR-Client separate Dienste mit eigener IP-Adresse, die einzeln für die zugehörige Schnittstelle freigeschaltet werden.
A_26386 - Freischaltung Systemdienste des TI-Gateways
Der Anbieter TI-Gateway MUSS folgenden Diensten IP-Adressen aus dem Bereich "TI-Gateway" zuordnen und für die entsprechende Schnittstelle registrieren
| Dienst | Schnittstelle |
|---|---|
| Caching Nameserver | C201 |
| NTP-Server | C202 |
| http-Forwarder | C203 |
| KSR-Client | C204 |
A_26384 - Freischaltung virtuelle HSK-Instanzen
Der Anbieter TI-Gateway MUSS für den NAT-Server, über den die virtuellen HSK-Instanzen mit zentralen Diensten und gesicherten Fachdiensten kommunizieren, einen IP-Adresspool aus dem Bereich "Konnektoren, Consumer und Highspeed-Konnektoren" verwenden und auf die Schnittstelle C210 registrieren. [<=]
A_26385 - Freischaltung offene Fachdienste & WANDA
Der Anbieter TI-Gateway MUSS für den NAT-Server, über den Nutzer mit offenen Fachdiensten und WANDA kommunizieren, einen IP-Adresspool aus dem Bereich "Konnektoren, Consumer und Highspeed-Konnektoren" verwenden und auf die Schnittstelle C211 registrieren. [<=]
A_26414 - Freischaltung Betriebsdaten-Client
Der Anbieter TI-Gateway MUSS für den Betriebsdaten-Client des Zugangsmoduls eine dedizierte IP-Adresse aus dem Bereich "TI-Gateway" verwenden, und für die Schnittstelle C205 registrieren. [<=]
Weitere Funktionen, die aus den virtuellen Instanzen im Basissystem des HSK zentralisiert werden (z.B. TSL-Client) müssen eine dedizierte IP-Adresse aus dem Bereich "Konnektoren, Consumer und Highspeed Konnektoren" verwenden, die für die Schnittstelle C210 registriert wird.
Nach [gemSpec_Net#GS-A_4782, GS-A_5076] muss bei Nutzung eines gemeinsamen SZZP-Anschluss die Kommunikation über diesen geführt werden.
Der Intermediär ist ein gesicherter Fachdienst. Damit benötigt der Anbieter TI-Gateway IP-Adressen aus dem Netzbereich "gesicherte Fachdienste".
Für den Intermediär müssen zwei Registrierungen/Freischaltungen erfolgen:
Abbildung 2 Aufbau 2 - Systemdienste in den HSK-Servern
A_26388 - Zusammenfassung der Schnittstellen für Systemdienste
Der Anbieter TI-Gateway SOLL, wenn die Systemdienste Caching-Nameserver, NTP-Server, http-Forwarder und KSR-Client in den HSK-Server integriert sind, pro Server eine IP-Adressen für die Schnittstellen C201-C204 verwenden und diese IP-Adresse für alle diese Schnittstellen zusammen registrieren. [<=]
Jeder HSK-Server braucht somit TI-seitig mindestens eine IP-Adresse aus dem Bereich TI-Gateway für C201-C204 und mindestens eine IP-Adresse für den NAT-Server C210. Wenn mehrere HSK-Server eingesetzt werden, bekommen diese jeweils eigene IP-Adressen.
Die Kommunikation zu offenen Fachdiensten und WANDA erfolgt wie in Aufbau 1 über einen separaten NAT-Server, der für C211 freigeschaltet ist.
Wenn der HSK-Server nicht nur die Gateway-Dienste wie in Aufbau 2, sondern auch die Durchleitung von offenen Fachdiensten & Wanda übernimmt, so braucht er TI-seitig mindestens drei IP-Adressen:
Wie bei den anderen Aufbauten wird der Betriebsdaten-Client an den HSK-Servern vorbei mit dem SZZP verbunden.