Ein führendes globales Marketingunternehmen, das strategische, kreative und integrierte Marketingdienstleistungen für das Gesundheitswesen und die medizinische Kommunikation anbietet, hat sich an uns gewandt, um eine Umgebung innerhalb von Amazon Web Services (AWS) aufzubauen.
Die Hauptanliegen des Unternehmens sind Sicherheit und Datenschutz. Die Sicherheit der Patientendaten ist das größte Hindernis bei der Einführung von Gesundheitsinformationssystemen (HIS) im Gesundheitswesen. Um jegliches Sicherheitsrisiko zu vermeiden, schlug unser Expertenteam eine Reihe von Lösungen vor, die den Schutz von Daten und Privatsphäre ermöglichen.
Unsere Fallstudie bietet eine umfassende Bewertung und Umsetzung der KIS-Sicherheit und beschreibt den Weg zum Erfolg, die Herausforderungen und Empfehlungen bei der Umsetzung.
Unser Projekt befasste sich mit der Analyse der Sicherheitsperspektive und einigen der wichtigsten Anliegen für den erfolgreichen Einsatz von Informationssystemen im Gesundheitswesen.
Ziel ist es, vollautomatisch eine perfekte Funktionalität zu erreichen, die besser ist als die bereits vorhandene in einer weniger sicherheitsrelevanten Umgebung.
DIE HERAUSFORDERUNG
Bei dem Projekt handelte es sich um eine kleine Anwendung, die keine großen Cluster oder Ressourcen benötigte.
Das Hauptaugenmerk liegt darauf, dass die Umgebung hochverfügbar, skalierbar und sicher sein muss. Wir schlagen vor, alles in AWS auszuführen, wo wir über eine ausgezeichnete Wissensbasis für den hochsicheren Betrieb solcher Cluster-Umgebungen verfügen.
Zusätzlich zu der Notwendigkeit einer extrem sicheren Umgebung hatten wir kurze Fristen für die Vorbereitung. Dieses Projekt ist eine Quelle des Stolzes für unser Team, weil trotz des kurzen Zeitrahmens alles rechtzeitig vorbereitet wurde, ohne die Sicherheit und die Qualität der Ausführung zu vernachlässigen.
DIE LÖSUNG
→Wir haben Terraform und Ansible verwendet, um 3 Elastic Cloud Compute-Instanzen mit MongoDB im ReplicaSet-Modus einzurichten. Alle MongoDB-Informationen werden auf verschlüsseltem Elastic Block Storage gespeichert. Diese Instanzen befinden sich innerhalb des privaten Netzwerks, ihre Sicherheitsgruppe ist nur für die Anwendungscontainer zugänglich.
→Mithilfe von Terraform haben wir den Elastic Container Service mit Fargate für die Containerbereitstellung und -orchestrierung sowie einen Application Load Balancer an der Grenze zwischen dem privaten und dem öffentlichen Netz eingerichtet.
Die →AWS WAF (eine Web Application Firewall) ermöglicht die Kontrolle darüber, welcher Datenverkehr zugelassen oder blockiert werden soll, indem anpassbare Web-Sicherheitsregeln definiert werden. Wir haben sie verwendet, um nur vertrauenswürdige IPs auf die Whitelist zu setzen, und wir haben auch XSS- und SQL-Injection-Filter. In Verbindung mit AWS WAF trägt CloudFront auch zur Sicherheit von Webanwendungen bei. Amazon CloudFront erhöht die Leistung von Webanwendungen und senkt die Latenzzeit bei der Bereitstellung von Inhalten erheblich. Da AWS Shield standardmäßig aktiviert war, diente es außerdem als weitere Ebene der Prävention von DDoS-Angriffen.
→Eine Lambda-Funktion aktualisiert alle Sicherheitsgruppen des Application Load Balancer so, dass er nur Verkehr von Cloudfront-Entitäten akzeptiert. Ein Load Balancer dient als zentrale Anlaufstelle für Clients. Der Load Balancer verteilt den eingehenden Anwendungsverkehr auf mehrere Ziele, z. B. EC2-Instanzen, in mehreren Availability Zones. Dadurch wird die Verfügbarkeit der Anwendung erhöht. In unserem Fall befindet sich der Application Load Balancer innerhalb des öffentlichen Netzwerks, nimmt aber nur Datenverkehr von Cloudfront entgegen.
→Um eine maximale Isolierung zu erreichen, verwenden wir für jede Umgebung ein eigenes Konto:
Wir haben ein gemeinsames Konto, in dem wir alle Benutzer verwalten, die mit den AWS-Umgebungen arbeiten werden. Es enthält auch alle zusätzlichen Tools, die wir benötigen - für CI/CD - Jenkins, für die statische Code-Analyse (SAST) - SonarQube, Elasticsearch-Service für Log-Analysen; alle Bastion-Hosts (Sprung-Hosts), die verwendet werden, wenn wir auf die MongoDB-Hosts zugreifen müssen, z. B. aus Gründen der Fehlerbehebung.
Jedes Konto hat seine eigene VPC (Virtual Private Cloud) und sie sind über VPC-Peering miteinander verbunden. Um zwischen verschiedenen Umgebungen und Konten zu wechseln, verwenden wir Rollen, die von bestimmten Benutzern im gemeinsamen Konto übernommen werden, um die Effizienz zu erhöhen und Ausfallzeiten zu verringern.
DIE SCHLUSSFOLGERUNG
Durch den Einsatz von Cloudfront als zusätzliche Sicherheitsebene, die Bereitstellung aller Rechenressourcen in einem privaten Netzwerk und die Verschlüsselung des Datenverkehrs und der gespeicherten Daten erreichten wir ein hohes Sicherheitsniveau und erfüllten die Anforderungen unserer Kunden. Durch den Einsatz von ECS mit Fargate konnten wir die Umgebung noch vor Ablauf der Frist einrichten. Kontaktieren Sie uns noch heute für eine Offerte!