Information Security

OpenSource Solutions im Health Care Modell – Ein Erfahrungsbericht

Information Security

Chris Rüttimann ICT Enterprise Architect Senior

Red Hat Certified Engineer seit 2002

Red Hat Trainer im Raum EU 2003-2007, 2019

Kernkompetenzen• Automatisierung (Ansible, Puppet, OpenShift, vRealize Orchestration/Automation)

• Monitoring: Nagios, Icinga, Zabbix

• Troubleshooting/Tuning

• Reverse Engineering (Root Cause Analysis)

• Pentesting

• Hardening

• Engineering

OS KnowHow• Red Hat / CentOS: 18 Jahre (Kerngebiet, Praxis)

• Ubuntu / Debian: 9 Jahre (Praxis)

• SuSE, SLES: 5 Jahre (vRealize VA)

• Photon OS: 3 Jahre (VCSA Troubleshooting, uQc Kurse)

• Alpine: 3 Jahre (Container/Cloud OS)

• OpenWRT, LEDE: 6 Jahre (Embedded/IoT OS)

Information Security

Chris Rüttimann ICT Enterprise Architect Senior

Red Hat Certified Engineer seit 2002

Red Hat Trainer im Raum EU 2003-2007, 2019

Auszug an umgesetzten OpenSource Projekten im Health Care Modell

• Technische Einführung von Synedra AIM in der Schweiz

• HA Cluster für HealthCare Kunden

• LDAP Security Gateway für externe AD-Anbindung medizinischer Bildungseinrichtungen

• Design, Aufbau und Betreuung einer Learning Plattform für medizinische Bildungseinrichtungen

• Ticketing nach ITIL mit OTRS für Kunden im medizinischem Bereich

• Nextcloud Sharing Plattform für medizinische Bildungseinrichtungen

• Veeam Proxy Appliance als Endpoint für NAS Storage Backends

• Betreuung heterogener Umgebungen

Information SecurityCompany Name Here

4uniQconsulting ag – Your Experts in IT

Design, Implementation und Betrieb von

kompletten IT-Basisinfrastrukturen für ein

redundantes leistungsfähiges Datacenter

und ICT-Umgebung.

Sicherer, schneller Zugriff auf

Geschäftsdaten, egal wo Sie

sich gerade befinden und mit

welchem Gerät Sie auf Ihre

Infrastruktur zugreifen.

Expert Helpdesk & Service Organisation

mit Standort in der Schweiz und

7/24 Stunden x 365 Abdeckung bei

IT-Service-Management Dienstleistungen.

Datacenter Solutions Enduser Computing Managed Service

Information Security

Information Security

5

Information Security

uniQconsulting ag – Kundenstruktur

75% Health Care

Banking/Finance I Education I Industry

Seit mehr als 20 Jahren betreut uniQconsulting Ihre

Kunden mit nachhaltigen IT-Infrastruktur Lösungen.

Durch die eigens entwickelte modern Workspace

Lösung «Dynamic Desktop» genannt, hatte

uniQconsulting die Bedürfnisse von Spitälern und

Kliniken optimal gelöst.

Nachhaltig – Partnerschaftlich – Persönlich

Information Security

6

Information Security

Cloud Services

AWS, Azure, GoogleCloud,

AliCloud, Rackspace,….

Technologien

VMware, Pure Storage, Dell EMC,

Splunk, Avamar,…

.

Internet

Smart Phones

OpenSource – Teil Ihrer ICT Strategie?Oder, was wäre eine Welt ohne…

Information Security

7

Information Security

OpenSource – Aktuelle Entwicklung

OS

03 04

0601

02 05

Novell kauft SuSe

Oracle kauft Sun

Oracle kauft Hudson

Microsoft stellt Patente

unter OpenSource

IBM kauft RedHat

Microsoft kauft Github

Information Security

OpenSourceTeilen der Ergebnisse und des Wissens zur freien Verwendung

Copyleft

Copyright

Free SpeechFree Beer

The Cathedral and the Bazaar

Haftungsschutz

Information Security

9

Information Security

Kein SLA ohne Haftung.

Von OpenSource zu OpenSource Enterprise

Eine OpenSource Lösung enthält duzende von eigenständigen Komponenten.

Öffentliche Build und QA Systeme sind zum Standard geworden.

Information Security

10

Information Security

Planung

Implementierung

Betrieb

Wartung

Wenn Sie das SLA vom Hersteller beziehen, unterscheidet sich der Einstieg

in OpenSource nicht dem Ihnen gewohnten Weg.

Einstieg OpenSource – Planungsstufen Der Hersteller bürgt mit einem SLA für seine OpenSource Lösung

Information SecurityCompany Name Here

11

Im Unternehmen muss

KnowHow aufgebaut werden

Betriebssystem muss die

SLA-Kriterien erfüllen können

Ausgebildete, erfahrene Fachleute

sind schwer zu finden

Die Konsequenz

Es fehlen die Erfahrungswerte

Das wird nie bewilligt…Ich will dennoch von

OpenSource profitieren.

Information Security

12

Information Security

Eintritt in OpenSource – ja, ich will!

OS

Dienstleister

03 04

0601

02 05

Langjährige Erfahrung

Betrieb von externen

und eigenen SLA’s

Herstellerunabhängigkeit

bei Consulting & Dienstleistungen

KnowHow bei der

Evaluation von OpenSource Lösungen

Helpdesk- und Pikettorganisation

Projektbegleitung

und Unterstützung

OpenSource Partner für einen effizienten Einstieg.

Information Security

13

uniQconsulting trägt zur wirtschaftlichen Lösung bei und begleitet Sie langfristig.

• Monitoring & Betrieb

inhouse durch Kunde

• Partner patched proaktiv

• Support nach Bedarf

• Partner übernimmt SLA und

Betrieb

• Partner bietet OpenSource

Consulting Dienstleistungen

• Partner coacht und schult

Ihre System Engineers

01 02 03

OpenSource – die nächsten Schritte

Wenig Linux Linux-Bedarf

steigtLinux ist zentral

Information Security

1ST FLOOR

2ND FLOOR

OpenSource Lösungen im Health CareHochsensible Sicherheitsanforderungen, komplex vernetzte Infrastrukturen,

enorme Datenmengen und 7/24 Betriebszeiten

Information Security

1ST FLOOR

2ND FLOOR

Die Suche nach der Nadel im Heuhaufen

• Verschiedene Geräte und Betriebssysteme

• Unterschiedliche Log Formate

• Grosse Datenmengen

• Hohe Sicherheits-Standards und Audits

Graylog Solution – zentrales Logmanagement

Information Security

16

Information Security

OpenSource Software / Dienstleistung durch uniQconsulting

• Der First Level Support sollte Zugriff auf die Exchange Logs haben

• Die IT würde gerne die Logs der WLAN AccessPoints verfolgen

• Der Ausfall des ersten redundanten Netzteils blieb leider unbemerkt

• Wenn diese Meldung auf einem Drucker Auftritt würden wir gerne

automatisch ein Ticket eröffnen.

• Welche erfolgreichen Logins haben wir ausserhalb der EU

• Tritt diese Meldung eigentlich auf allen Server auf?

• Wenn Ja, seit wann?

• uvm...

Any

Device

Graylog

Log

Graylog – zentrales Logmanagement

Information Security

17

Information Security

Syslog (RFC-3164 – Jg. 2001)

• 8 Stufen der Priorisierung (Debug…Emergency)

• 24 Kategorien (Kernel, Printer, …local7)

• Maximale Nachrichtenlägen 1024 Byte

GELF (Graylog Extended Log Format)

• Dynamische Datentypen (Feldbenennung)

• JSON Datenformat

• Features (Komprimierung, Linebreak, …)

Any

Device

Graylog

Log

Graylog – ErfahrungsberichtOpenSource Software / Dienstleistung durch uniQconsulting

Information Security

18

Information Security

Rückblick 5 Jahre Betrieb

• Message Volumen pro Device/y/5GB

• Gerätekonfiguration standardisieren / Syslog Facility

• Automatisierung

• Ansible Example

• GELF mit NXLog und Windows

• Backup…

• Log Management Portal

• Zugriff auf Infrastruktur ohne Admin-Zugang

Any

Device

Graylog

Log

Graylog – ErfahrungsberichtOpenSource Software / Dienstleistung durch uniQconsulting

Information Security

1ST FLOOR

Sicherer Zugriff / einfacher Filetransfer

Guacamole Solution – HTML5 Access Gateway

Information Security

1ST FLOOR

Sicherer Zugriff / einfacher Filetransfer

Guacamole Solution – HTML5 Access Gateway

• DevOps Team benötigt Ressourcen für aussenstehende Entwickler

• Aufzeichnung von Zugriffen (Audit)

• Zugriffsregelung für externe Mitarbeiter oder Dienstleister

• Hohe Sicherheitsanforderungen bei Zugriffen

Information Security

21

Information Security

Für die kommenden 3 Monate braucht Entwickler Zugriff

auf die DEV Umgebung.

• Die Sessions sollten aufgezeichnet werden

• Der Zugriff darf nur 5x8 erfolgen

• Filetransfer sollte einfach und einheitlich sein

Guacamole Solution

Information Security

22

Information Security

• Automatisches stoppen der Zugriffsberechtigung

• 2-Faktor Authentifikation

• Auditierung der Zugriffe

Guacamole Solution

Information Security

1ST FLOOR

Applikationsfirewall für Ihr Activ Directory

OpenLDAP Solution – Schützt auch Ihr AD!

Information Security

1ST FLOOR

Applikationsfirewall für Ihr Activ Directory

OpenLDAP Solution – Schützt auch Ihr AD!

• Zugriffe von externen Geräten auf das Activ Directory

• Schemaübersetzung für externe Geräte

• Zugriffsrechte für externe Zugriffe regeln

• Erhöhung der Sicherheit

Information Security

25

Information Security

Security Dienstleistung implementiert durch uniQconsulting

Rückblick aus dem operativen Betrieb

• Alle Zugriffe von externen Applikationen werden geloggt

• Anzeige von Attributen können dezidiert zugeteilt werden

• Externer Access von Switch AAI wird via SSL erzwungen

• Access über Account Namen, UPN, Email

OpenLDAP Solution – Erfahrungsbericht

Information Security

26

Information Security

Innovative Lösungen / vom Spezialisten implementiert

Kompatibilität mit anderen

Softwarelösungen und

Systemen.

Offene Standards

Offene Quellcodes garantieren

Transparenz und langfristige

Unabhängigkeit von Hersteller

oder IT-Dienstleister

Transparenz & Unabhängigkeit

Geringe Lizenzgebühren

gegenüber höheren

Dienstleistungen.

Kosten & Lizenzgebühren

Beliebige Anpassung an die

unternehmenseigenen

Bedürfnisse.

Flexibilität & Anpassbarkeit

Hohe Sicherheits- und

Qualitätsstandards.

Sicherheitslücken werden

schnell geschlossen.

Qualität & Sicherheit

Schnelle und kontinuierliche

Weiterentwicklung der

Software durch eine breite

Community.

Innovation & Entwicklung

Fazit

Information Security

Wann starten wir?Have a nice day and success

Information Security

uniQconsulting ag Zürich, St. Gallen, Basel

uniQconsulting ag

Grindelstrasse 9

CH-8303 Bassersdorf

044 838 64 64

www.uniQconsulting.ch

info@uniQconsulting.ch

Chris Rüttimann I cruettimann@uniQconsulting.ch