Technische architectuur, data en cloudgebruik (Ajax Systems)
Technische infrastructuur en datastromen
De Ajax‑oplossing is opgebouwd rond een hybride architectuur waarin lokale componenten (Hub, NVR, camera’s, randapparatuur) veilig communiceren met de Ajax Cloud. De cloud fungeert als verbindende laag tussen gebruikersapplicaties (apps en desktopsoftware) en de geïnstalleerde systemen, zonder dat directe inkomende IP‑verbindingen naar de apparatuur noodzakelijk zijn.
Alle communicatie verloopt via uitgaande verbindingen vanaf de hub of NVR. Dit betekent dat er standaard geen inkomende netwerktoegang tot het systeem nodig is, met als uitzondering camera’s waarbij ONVIF expliciet is geactiveerd.
Poortnummers
De
| Adres / Hostname | IP-adres | Poort | Bestemming / Functie |
| VIDEO | |||
| video.prod.ajax.systems | 52212160139 54.72.205.214 52.16.120.150 |
443 | Hoofdcommunicatiekanaal tussen de video edge en de server |
| video-relay-1.prod.ajax.systems video-relay-2.prod.ajax.systems video-relay-3.prod.ajax.systems video-relay-99.prod.ajax.systems video-relay-100.prod.ajax.systems |
Geen vaste IP‑adressen | 1337 | Relayservers voor WebRTC – noodzakelijk voor videostreaming vanaf NVR / Ajax‑camera’s. IP‑adressen wijzigen bij herdeployments. Huidig actief: video-relay-1 t/m video-relay-4. Extra relayservers kunnen op elk moment worden |
| prod-main-video-svc-firmware-image.s3.eu-west-1.amazonaws.com | Geen vaste IP‑adressen | 443 | Firmware‑server |
| — | — | 8080 | Ajax‑camera’s communiceren met de Ajax NVR |
| 8554 | |||
| 8443 | |||
| — | — | 80 | Camera’s van derden communiceren met de Ajax NVR (ONVIF- en RTSP‑protocollen) |
| 554 | |||
| — | — | UDP |
Gebruikt |
| INBRAAK | |||
|
ax.systems
|
Totaal 4 IP‑adressen: 2 uit deze lijst: 34.249.240.61 63.34.34.82 63.32.200.183 2 uit deze lijst: 52.57.175.225 52.57.131.150 178.62.38.104 167.99.19.236 157.230.78.73 |
80 2020 |
Hoofdcommunicatiekanaal tussen hubs en de server. Van toepassing op alle hubs met Malevich tot en met v2.16, inclusief Hub met Malevich v2.15.4 |
| hts-hubs.prod.ajax.systems | 34.249.240.61 63.34.34.82 63.32.200.183 |
— | Hoofdcommunicatiekanaal tussen hubs en de server. Voor alle hubs met Malevich v2.16 en hoger |
| (geen domeinnaam) | 35.180.2.46 | 1789 (UDP) | Hub Logs‑server (UDP‑protocol) |
| hubs-logs.prod.ajax.systems | 54.216.172.252 | 1789 (UDP) | Hub Logs‑server (UDP‑protocol). |
| 5059 | Voor alle hubs met Malevich v2.28 en hoger | ||
| — (backup‑IP’s) | 52.57.175.225 52.57.131.150 178.62.38.104 167.99.19.236 157.230.78.73 |
— | Deze IP‑adressen kunnen in alle Malevich‑versies worden gebruikt als back‑upadressen voor verbinding met Ajax Cloud en moeten daarom op de whitelist staan |
Cloudomgeving en datacenters
De Ajax Cloud draait op AWS‑infrastructuur binnen Europa. De gebruikte datacenters bevinden zich in:
- Ierland
- Frankrijk
- Duitsland
Hierdoor blijft data binnen de EU en wordt voldaan aan Europese regelgeving rondom gegevensbescherming.
Soorten data in de cloud en dataminimalisatie
In de cloud worden uitsluitend functionele en operationele gegevens opgeslagen die noodzakelijk zijn voor het functioneren van het systeem. Het gaat hierbij om:
- Systeemconfiguraties
- Systeemlogs
- Systeemgebeurtenissen (events)
- Camerabeelden, alleen indien cloudopslag wordt gebruikt, met een maximale bewaartermijn van 30 dagen
Er worden geen onnodige persoonsgegevens opgeslagen. Het uitgangspunt is dat zo min mogelijk (persoonsgebonden) data wordt verwerkt (“data minimization”). Verdere details hierover zijn vastgelegd in:
- GDPR Whitepaper: https://ajax.systems/gdpr-white-paper/
- Richtlijnen voor persoonsgegevens: https://support.ajax.systems/en/guidelines-for-working-with-personal-data/
Scheiding van klantomgevingen (tenant‑isolatie)
Elke klantomgeving is logisch gescheiden binnen de cloud. Gebruikers hebben uitsluitend toegang tot systemen waaraan zij expliciet zijn toegevoegd.
- Elke gebruiker beschikt over een eigen account
- Rechten worden per systeem ingesteld
- Standaardgebruikers kunnen alleen hun eigen gegevens zien
- Alleen beheerders of privacy managers kunnen uitgebreidere informatie inzien
Deze scheiding voorkomt dat data van klant A inzichtelijk is voor klant B en maakt onderdeel uit van de algemene beveiligingsarchitectuur, inclusief periodieke beveiligingstests.
Encryptie en beveiliging van dataverkeer
Alle communicatie tussen apparatuur, cloud en applicaties is versleuteld. Hierbij wordt gebruikgemaakt van:
- mTLS (mutual TLS)
- TLS
- HtS
Dit beschermt data zowel tijdens transport als tegen ongeautoriseerde toegang of manipulatie.
Afhankelijkheid van de cloud
Bij een eventuele uitval van de cloud blijft het systeem lokaal functioneren:
- Lokale bediening via keypads en afstandsbedieningen blijft mogelijk
- Alarmering en basisfunctionaliteit blijven actief
Wat niet meer beschikbaar is bij clouduitval:
- Beheer op afstand via apps en desktopsoftware
- Cloudgebaseerde videodiensten en koppelingen
Camerabeelden en cloudgebruik
Het is mogelijk om camerabeelden volledig buiten de cloud te houden. Dit kan door gebruik te maken van een NVR uit de H‑serie:
- Lokale opslag
- Lokale HDMI‑uitgang voor live‑weergave
- Export van videobeelden via USB
Wanneer camerabeelden of videolinks via SIA naar een CMS moeten worden doorgestuurd, is een actieve cloudverbinding noodzakelijk. Volledig cloudloos werken voor dit specifieke gebruik is dan niet mogelijk.
Communicatie tussen app, cloud en apparatuur
De cloud fungeert als beveiligde relay tussen de app/pro desk en de hub of NVR. De communicatie verloopt uitsluitend via uitgaande verbindingen en versleutelde protocollen. De functionele werking wordt ondersteund door een onderliggend technisch schema waarin deze datastromen en protocollen zijn uitgewerkt.
Bandbreedtegebruik
Het bandbreedtegebruik is afhankelijk van configuratie en schaal:
- NVR’s en camera’s: tot circa 100 Mbit/s (afhankelijk van aantal camera’s, resolutie en instellingen)
- Hub: tot circa 3 Mbit/s
Authenticatie en gebruikersbeheer
Authenticatie naar de cloud en applicaties is beveiligd ingericht. Single Sign‑On (SSO) wordt ondersteund voor toegang tot apps en desktopsoftware, waardoor lokale gebruikersaccounts niet noodzakelijk zijn.
Platformbeveiliging en certificeringen
Ajax hanteert eigen beveiligingsstandaarden en certificeringen, los van de gebruikte AWS‑infrastructuur. Een overzicht hiervan is te vinden op:
- https://ajax.systems/standards/
Netwerktoegang en authenticatie
De apparatuur accepteert standaard geen inkomende IP‑verbindingen. 802.1X netwerktoegang wordt momenteel niet ondersteund; apparaten worden bijvoorbeeld via MAC‑ID bypass op het netwerk geplaatst. Er zijn geen openbare details beschikbaar over toekomstige ondersteuning van 802.1X of certificaatgebaseerde netwerktoegang.
API en integratiemogelijkheden
Ajax stelt een REST API beschikbaar voor integraties en automatisering. De volledige documentatie en beschikbare commando’s zijn te vinden via:
- https://api.ajax.systems/swagger-ui/#/
Momenteel zijn exports van installaties beschikbaar in PDF‑formaat. Een export in CSV‑formaat (bijvoorbeeld voor grote omgevingen met meerdere locaties en componenten) kan als feature‑verzoek worden ingediend.