Z internetu do nemocnice bezpečně a snadno Petr Hron, S.ICZ a.s. 2014
www.i.cz
1
Z internetu do nemocnice bezpečně a snadno ► ► ► ► ► ► ►
Identifikace problému Co je k tomu potřeba Bezpečný vzdálený přístup Bezpečnostní architektura Technologická architektura Využívané technologie Podpora pro mobilní zařízení
► Nabízené služby ► Přínos pro zákazníka www.i.cz
2
Identifikace problému ► Kde jsou informace se kterými potřebujete pracovat? ● Informační systém (on-premise) ● Elektronická pošta, plánování času - kalendář, úkoly, ● Sociální sítě ● Další informační zdroje, Internet
► Jaké zařízení k práci používáte a proč? ● Stolní počítač ● Přenosný počítač ● Chytré mobilní zařízení (telefon, tablet) ● Veřejný počítač
► Kdy a kde potřebujete/můžete pracovat? www.i.cz
3
Co je k tomu potřeba? ► Bezpečný způsob přístupu k interním IS a aplikacím ► Zajištění preautentizace na hranicích sítí ► Využití jednotné autorizace ► Možnost dvou-faktorové autentizace ► Bezpečnostní kontrolu přistupujících systémů
► Řešení s vysokou dostupností
www.i.cz
4
Bezpečný vzdálený přístup ► Slouží k: ● Umožnění bezpečného přístupu k definovaným informačním systémům bez nutnosti navázat VPN ● Bezpečné publikování aplikací do Internetu
► Poskytuje: ● Centralizovanou správu přístupu ● Jednotnou autorizaci uživatele a počítače, řízení politik ● Nástroje pro vynucení bezpečnosti na úrovni: • Autentizačních metod • Komunikačních protokolů • Přistupujících klientů ● Auditing www.i.cz
5
Bezpečnostní architektura ► Využívá skupinové politiky ● Bezpečnostní konfigurace domény AD ● Bezpečnostní konfigurace RD serveru ● Bezpečnostní konfigurace Windows stanice
► Podpora pro řízení přístupu ● ACL - metodika použití bezpečnostních skupin ● RBAC – přístupy na základě rolí
► Bezpečnostní konfigurace prostředí ● Správa bezpečnostní konfigurace ● Proces správy aktualizací ● Služba vyhodnocování logů ● Auditing – správa a konfigurace www.i.cz
6
Technologická architektura ► Windows Server (2008 R2 – 2012 R2) ► RD klient s podporou RD Gateway ► Podpora virtualizace RD Gateway a Session Host serverů ● VMware, Hyper-V
► Vysoká dostupnost ● HW ● Virtualizace ● Loadbalancing ● DRP plánování ● Vhodné pro scale out nasazení www.i.cz
7
Technologická architektura
www.i.cz
8
Využívané technologie ► ► ► ►
Microsoft Active Directory Skupinové politiky Role vzdáleného přístupu (NPS, NAP) Role vzdáleného desktopu ● RD • • •
Gateway Autentizace uživatelů i pomocí čipových karet Řízení přístupu k počítačům v interní síti Řízení zdrojů přenášených přes RDP spojení
• Základní kontrola stavu vzdálených stanic
► PKI ► Čipové karty, OTP www.i.cz
9
Podpora pro mobilní zařízení ► Klient od Microsoftu pro Android, iOS a OS X ► Nepodporuje přihlášení pomocí čipové karty ► Dvou-faktorovou autentizaci je možné řešit pomocí OTP
www.i.cz
10
Nabízené služby ► Analýza prostředí a požadavků ● Současný stav a požadavky
► Návrh architektury cílového řešení ● Návrh technologické a bezpečnostní architektury včetně zdůvodnění
► Projektové práce ● Zpracování systémového a implementačního projektu
► Implementace řešení ● Vlastní nasazení technologií a migrace
► Svěřená správa nebo provozní podpora ● Správa, údržba, rozvoj implementovaných služeb www.i.cz
11
Přínos pro zákazníka ► Přínosy ze zavedení, ● Možnost přístupu k interním IS pomocí různých zařízení z Internetu ● Možnost přistupovat k IS, které nemají webové rozhraní ● Zvýšení bezpečnosti ● Zavedení centrální správy vzdáleného přístupu ● Možnost využít vysokou dostupnost řešení
► Důvody pro migraci a konsolidaci ● Možnost používat centralizované politiky a správy ● Dvou-faktorová autentizace ● Řízení přístupu na úrovni uživatele a počítače ● Vysoká elastičnost řešení, „cloud ready“ řešení www.i.cz
12
Děkuji za vaši pozornost Petr Hron
[email protected] +420 222 272 207
ICZ a.s. Sekce Bezpečnost www.i.cz
www.i.cz
13
