opensource im healthcare · 2019-06-05 · guacamole solution –html5 access gateway • devops...
TRANSCRIPT
Information Security
OpenSource Solutions im Health Care Modell – Ein Erfahrungsbericht
Information Security
Chris Rüttimann ICT Enterprise Architect Senior
Red Hat Certified Engineer seit 2002
Red Hat Trainer im Raum EU 2003-2007, 2019
Kernkompetenzen• Automatisierung (Ansible, Puppet, OpenShift, vRealize Orchestration/Automation)
• Monitoring: Nagios, Icinga, Zabbix
• Troubleshooting/Tuning
• Reverse Engineering (Root Cause Analysis)
• Pentesting
• Hardening
• Engineering
OS KnowHow• Red Hat / CentOS: 18 Jahre (Kerngebiet, Praxis)
• Ubuntu / Debian: 9 Jahre (Praxis)
• SuSE, SLES: 5 Jahre (vRealize VA)
• Photon OS: 3 Jahre (VCSA Troubleshooting, uQc Kurse)
• Alpine: 3 Jahre (Container/Cloud OS)
• OpenWRT, LEDE: 6 Jahre (Embedded/IoT OS)
Information Security
Chris Rüttimann ICT Enterprise Architect Senior
Red Hat Certified Engineer seit 2002
Red Hat Trainer im Raum EU 2003-2007, 2019
Auszug an umgesetzten OpenSource Projekten im Health Care Modell
• Technische Einführung von Synedra AIM in der Schweiz
• HA Cluster für HealthCare Kunden
• LDAP Security Gateway für externe AD-Anbindung medizinischer Bildungseinrichtungen
• Design, Aufbau und Betreuung einer Learning Plattform für medizinische Bildungseinrichtungen
• Ticketing nach ITIL mit OTRS für Kunden im medizinischem Bereich
• Nextcloud Sharing Plattform für medizinische Bildungseinrichtungen
• Veeam Proxy Appliance als Endpoint für NAS Storage Backends
• Betreuung heterogener Umgebungen
Information SecurityCompany Name Here
4uniQconsulting ag – Your Experts in IT
Design, Implementation und Betrieb von
kompletten IT-Basisinfrastrukturen für ein
redundantes leistungsfähiges Datacenter
und ICT-Umgebung.
Sicherer, schneller Zugriff auf
Geschäftsdaten, egal wo Sie
sich gerade befinden und mit
welchem Gerät Sie auf Ihre
Infrastruktur zugreifen.
Expert Helpdesk & Service Organisation
mit Standort in der Schweiz und
7/24 Stunden x 365 Abdeckung bei
IT-Service-Management Dienstleistungen.
Datacenter Solutions Enduser Computing Managed Service
Information Security
Information Security
5
Information Security
uniQconsulting ag – Kundenstruktur
75% Health Care
Banking/Finance I Education I Industry
Seit mehr als 20 Jahren betreut uniQconsulting Ihre
Kunden mit nachhaltigen IT-Infrastruktur Lösungen.
Durch die eigens entwickelte modern Workspace
Lösung «Dynamic Desktop» genannt, hatte
uniQconsulting die Bedürfnisse von Spitälern und
Kliniken optimal gelöst.
Nachhaltig – Partnerschaftlich – Persönlich
Information Security
6
Information Security
Cloud Services
AWS, Azure, GoogleCloud,
AliCloud, Rackspace,….
Technologien
VMware, Pure Storage, Dell EMC,
Splunk, Avamar,…
.
Internet
Smart Phones
OpenSource – Teil Ihrer ICT Strategie?Oder, was wäre eine Welt ohne…
Information Security
7
Information Security
OpenSource – Aktuelle Entwicklung
OS
03 04
0601
02 05
Novell kauft SuSe
Oracle kauft Sun
Oracle kauft Hudson
Microsoft stellt Patente
unter OpenSource
IBM kauft RedHat
Microsoft kauft Github
Information Security
OpenSourceTeilen der Ergebnisse und des Wissens zur freien Verwendung
Copyleft
Copyright
Free SpeechFree Beer
The Cathedral and the Bazaar
Haftungsschutz
Information Security
9
Information Security
Kein SLA ohne Haftung.
Von OpenSource zu OpenSource Enterprise
Eine OpenSource Lösung enthält duzende von eigenständigen Komponenten.
Öffentliche Build und QA Systeme sind zum Standard geworden.
Information Security
10
Information Security
Planung
Implementierung
Betrieb
Wartung
Wenn Sie das SLA vom Hersteller beziehen, unterscheidet sich der Einstieg
in OpenSource nicht dem Ihnen gewohnten Weg.
Einstieg OpenSource – Planungsstufen Der Hersteller bürgt mit einem SLA für seine OpenSource Lösung
Information SecurityCompany Name Here
11
Im Unternehmen muss
KnowHow aufgebaut werden
Betriebssystem muss die
SLA-Kriterien erfüllen können
Ausgebildete, erfahrene Fachleute
sind schwer zu finden
Die Konsequenz
Es fehlen die Erfahrungswerte
Das wird nie bewilligt…Ich will dennoch von
OpenSource profitieren.
Information Security
12
Information Security
Eintritt in OpenSource – ja, ich will!
OS
Dienstleister
03 04
0601
02 05
Langjährige Erfahrung
Betrieb von externen
und eigenen SLA’s
Herstellerunabhängigkeit
bei Consulting & Dienstleistungen
KnowHow bei der
Evaluation von OpenSource Lösungen
Helpdesk- und Pikettorganisation
Projektbegleitung
und Unterstützung
OpenSource Partner für einen effizienten Einstieg.
Information Security
13
uniQconsulting trägt zur wirtschaftlichen Lösung bei und begleitet Sie langfristig.
• Monitoring & Betrieb
inhouse durch Kunde
• Partner patched proaktiv
• Support nach Bedarf
• Partner übernimmt SLA und
Betrieb
• Partner bietet OpenSource
Consulting Dienstleistungen
• Partner coacht und schult
Ihre System Engineers
01 02 03
OpenSource – die nächsten Schritte
Wenig Linux Linux-Bedarf
steigtLinux ist zentral
Information Security
1ST FLOOR
2ND FLOOR
OpenSource Lösungen im Health CareHochsensible Sicherheitsanforderungen, komplex vernetzte Infrastrukturen,
enorme Datenmengen und 7/24 Betriebszeiten
Information Security
1ST FLOOR
2ND FLOOR
Die Suche nach der Nadel im Heuhaufen
• Verschiedene Geräte und Betriebssysteme
• Unterschiedliche Log Formate
• Grosse Datenmengen
• Hohe Sicherheits-Standards und Audits
Graylog Solution – zentrales Logmanagement
Information Security
16
Information Security
OpenSource Software / Dienstleistung durch uniQconsulting
• Der First Level Support sollte Zugriff auf die Exchange Logs haben
• Die IT würde gerne die Logs der WLAN AccessPoints verfolgen
• Der Ausfall des ersten redundanten Netzteils blieb leider unbemerkt
• Wenn diese Meldung auf einem Drucker Auftritt würden wir gerne
automatisch ein Ticket eröffnen.
• Welche erfolgreichen Logins haben wir ausserhalb der EU
• Tritt diese Meldung eigentlich auf allen Server auf?
• Wenn Ja, seit wann?
• uvm...
Any
Device
Graylog
Log
Graylog – zentrales Logmanagement
Information Security
17
Information Security
Syslog (RFC-3164 – Jg. 2001)
• 8 Stufen der Priorisierung (Debug…Emergency)
• 24 Kategorien (Kernel, Printer, …local7)
• Maximale Nachrichtenlägen 1024 Byte
GELF (Graylog Extended Log Format)
• Dynamische Datentypen (Feldbenennung)
• JSON Datenformat
• Features (Komprimierung, Linebreak, …)
Any
Device
Graylog
Log
Graylog – ErfahrungsberichtOpenSource Software / Dienstleistung durch uniQconsulting
Information Security
18
Information Security
Rückblick 5 Jahre Betrieb
• Message Volumen pro Device/y/5GB
• Gerätekonfiguration standardisieren / Syslog Facility
• Automatisierung
• Ansible Example
• GELF mit NXLog und Windows
• Backup…
• Log Management Portal
• Zugriff auf Infrastruktur ohne Admin-Zugang
Any
Device
Graylog
Log
Graylog – ErfahrungsberichtOpenSource Software / Dienstleistung durch uniQconsulting
Information Security
1ST FLOOR
Sicherer Zugriff / einfacher Filetransfer
Guacamole Solution – HTML5 Access Gateway
Information Security
1ST FLOOR
Sicherer Zugriff / einfacher Filetransfer
Guacamole Solution – HTML5 Access Gateway
• DevOps Team benötigt Ressourcen für aussenstehende Entwickler
• Aufzeichnung von Zugriffen (Audit)
• Zugriffsregelung für externe Mitarbeiter oder Dienstleister
• Hohe Sicherheitsanforderungen bei Zugriffen
Information Security
21
Information Security
Für die kommenden 3 Monate braucht Entwickler Zugriff
auf die DEV Umgebung.
• Die Sessions sollten aufgezeichnet werden
• Der Zugriff darf nur 5x8 erfolgen
• Filetransfer sollte einfach und einheitlich sein
Guacamole Solution
Information Security
22
Information Security
• Automatisches stoppen der Zugriffsberechtigung
• 2-Faktor Authentifikation
• Auditierung der Zugriffe
Guacamole Solution
Information Security
1ST FLOOR
Applikationsfirewall für Ihr Activ Directory
OpenLDAP Solution – Schützt auch Ihr AD!
Information Security
1ST FLOOR
Applikationsfirewall für Ihr Activ Directory
OpenLDAP Solution – Schützt auch Ihr AD!
• Zugriffe von externen Geräten auf das Activ Directory
• Schemaübersetzung für externe Geräte
• Zugriffsrechte für externe Zugriffe regeln
• Erhöhung der Sicherheit
Information Security
25
Information Security
Security Dienstleistung implementiert durch uniQconsulting
Rückblick aus dem operativen Betrieb
• Alle Zugriffe von externen Applikationen werden geloggt
• Anzeige von Attributen können dezidiert zugeteilt werden
• Externer Access von Switch AAI wird via SSL erzwungen
• Access über Account Namen, UPN, Email
OpenLDAP Solution – Erfahrungsbericht
Information Security
26
Information Security
Innovative Lösungen / vom Spezialisten implementiert
Kompatibilität mit anderen
Softwarelösungen und
Systemen.
Offene Standards
Offene Quellcodes garantieren
Transparenz und langfristige
Unabhängigkeit von Hersteller
oder IT-Dienstleister
Transparenz & Unabhängigkeit
Geringe Lizenzgebühren
gegenüber höheren
Dienstleistungen.
Kosten & Lizenzgebühren
Beliebige Anpassung an die
unternehmenseigenen
Bedürfnisse.
Flexibilität & Anpassbarkeit
Hohe Sicherheits- und
Qualitätsstandards.
Sicherheitslücken werden
schnell geschlossen.
Qualität & Sicherheit
Schnelle und kontinuierliche
Weiterentwicklung der
Software durch eine breite
Community.
Innovation & Entwicklung
Fazit
Information Security
Wann starten wir?Have a nice day and success
Information Security
uniQconsulting ag Zürich, St. Gallen, Basel
uniQconsulting ag
Grindelstrasse 9
CH-8303 Bassersdorf
044 838 64 64
www.uniQconsulting.ch
Chris Rüttimann I [email protected]