Особенности сетевой инфраструктуры в индустрии здравоохранения

APC

Александр Симоненков, сотрудник компании Extreme Networks отметил в своем выступлении, что в нынешних условиях пандемии особенно актуальным будет материал, посвященный вопросам построения, функционирования и развития сетевой инфраструктуры в индустрии здравоохранения. Рассмотрим эту вопросы на примере решений их вендором компанией Extreme Networks.

Когда речь заходит о здоровье и жизнях людей, времени на то, чтобы думать о компьютерных сетях, практически не остается. Стоит ли ждать пока устаревшая IT-инфраструктура начнет влиять на повседневные процессы в медицинском учреждении?
 Сегодня рассмотрим задачи, стоящие перед типовым медицинским учреждением, и возможных путях их решения. Сегодня будут рассмотрены следующие темы:

  • задачи, связанные с подключением различных устройств в учреждениях здравоохранения;
  • специальная серии продуктов Extreme Networks, разработанная с учетом требований заказчиков из индустрии здравоохранения;
  • особенности использования данных продуктов для проектирования и развертывания отказоустойчивого сетевого решения, имеющего большой запас по масштабированию, поддерживающего возможность быстрого развёртывания новых сервисов.

Продуктовая линейка Extreme Networks поделена на следующие основных направления: Smart OmniEdge, Automated Campus – кампусные сети или фабрика и коммутаторы для ЦОДов.

Если посмотреть на мировой опыт вендора в здравоохранении, то среди заказчиков следует отметить национальную службу здравоохранения Англии (NHS England), клинический комплекс Charite - крупнейший госпиталь Европы, расположенный в Германии. 

Если оценить Восточно-Европейский опыт вендора, то стоит выделить самую большую больницу в Северной Европе - университетскую клинику Осло.

Какие Extreme Networks выделяет приоритетные аспекты? Это повышение качества обслуживания пациентов, повышение эффективности работы медучреждений, сокращение затрат и увеличение продолжительности жизни населения разных стран.

Согласно представлению аналитиков здравоохранение – это самый быстрорастущий сегмент «Интернета вещей», один из главных драйверов, который способствует росту этого рынка.

Гаджеты помогают следить за состоянием оборудования в палатах, мониторить состояние больных с помощью специальных датчиков. Причем контролировать состояние пациентов можно от момента прибытия в больницу до выписки из нее, и даже можно продолжить отслеживать состояние выздоравливающего дома.

Тут важно отметить, что все эти "умные" системы призваны не заменять собой врачей и медперсонал, а лишь оптимизировать их работу.

По оценкам аналитиков медицина в течение ближайших 10 лет в области «Интернета вещей» количество подключенных медицинских устройств увеличится в 5 раз и уже сейчас есть продвинутые системы, которые позволяют облегчить реабилитацию пациентов на дому. Когда пациенты выписываются, у них уже дома устанавливаются специальные гибкие датчики, прикрепленные к телу. И пациенты, занятые своими повседневными делами, быстрее проходят реабилитацию.

Теперь надо оценить тренды и вызовы, которые Extreme Networks, как вендор, видит в данной индустрии. Это конечно же разнообразные пользовательские устройства, начиная от медицинских гаджетов, и заканчивая смартфонами, ноутбуками и персональными компьютерами. Это и разнообразие приложений, которых становится все больше. Это и безопасность сетевой инфраструктуры, т.к. по оценкам многих аналитиков сейчас риску взлома подвержены более 70% информационных систем и устройств «Интернета вещей» не в последнюю очередь благодаря тому, что иногда не хватает квалификации, иногда не хватает нужного персонала в медучреждениях, который способен противодействовать кибератакам.

Тут используются различные профили пользователей: это сегментация медперсонала, пациентов и посетителей, обслуживающего персонала и т.д. Очень важно снижение риска медицинских ошибок, ведь, если вдуматься, в США по статистике это третий по значимости среди причин смерти пациентов. Разработки в сфере медицинского «Интернета вещей» должны помочь снизить эти цифры и предупреждать летальные случаи. Все это многообразие устройств в новое время диктует и новые задачи. Сеть должна быть масштабируемой, гибкой, безопасной и надежной.

Что говорят об этом заказчики компании Extreme Networks? В первую очередь у них в приоритете - безопасность. 

Речь идет как о безопасности пациентов, так и о безопасности самой сетевой инфраструктуры. Сегментация, мобильность и простота предоставления необходимых сервисов и, опять же, безопасность. Поскольку гаджетов много, то экосистема должна основываться на стандартах и быть совместимой, необходимо задействовать все больше сервисов поскольку они ускоряют работу сетевой инфраструктуры.

Цифровая архитектура для систем здравоохранения

Затем слово взял Григорий Куликов, сотрудник компании Extreme Networks, который повел разговор про архитектуру Extreme Networks, предназначенную для здравоохранения.

Григорий начал с сетевой инфраструктуры, как основой базы для IT-служб систем здравоохранения. 

Вендор предлагает для построения сетевой инфраструктуры использовать технологию так называемой Ethernet-фабрики. Ее достоинства состоят в безопасности и гибкости. Безопасность с точки зрения администрирования сети состоит в том, что вероятность ошибки при переконфигурировании системы сведена к минимуму. А гибкость заключается в том, что всю систему можно рассматривать как единый пул ресурсов, который можно будет нарезать на некие виртуальные сервисы. Они абсолютно гибкие как L2, так и L3. Важно, что вся эта фабрика построена на стандартах, которые вошли в ветку 802.1q, т.е. прежде это было простое описание виланов, а сейчас туда вошел стандарт SPBM, на котором и построена вся эта конструкция. Стандарт этот предоставляет фабрику, основанную на L2-технологии. Внутри сетевой инфраструктуры становятся необязательными IP-адреса, все сервисы можно сделать исключительно в L2. Иногда этого достаточно, иногда нет. Но то, что сама фабрика основана на L2, дает возможность протягивать L2-сервисы «от края до края». Что крайне важно для медицинских и здравоохранительных приложений поскольку, к сожалению, многие из них и устройства в сфере здравоохранения не умеют проходить маршрутизацию. Для того, чтобы нормально работали определенные протоколы и приложения, необходимо, чтобы все устройства находились в одном вилане. И это, к сожалению, сильно ограничивает их использование в корпоративных средах. Но на решении Extreme Networks это становится возможным.

Рассмотрим пример. В верхней правой части сети есть некое медицинское оборудование, которому необходимо подключение к серверу. 

Причем необходимо L2-подключение. Т.е. никакой маршрутизации здесь быть не должно. Что необходимо для этого сделать? Подключаем оборудование непосредственно к портам коммутатора, дальше система сама пробрасывает необходимый сервис (в простейшем случае это L2-сервис с соединением с виланом). В некоторых случаях можно сделать маршрутизацию. Но смысл в том, что туннель с данными пробрасывается совершенно автоматически. Администратор в этом не участвует. Никак не меняется конфигурация на транзитных узлах. И это называется Zero Touch Provisioning. Т.е. мы совсем не трогаем конфигурации никаких коммутаторов. И тем не менее сервис прокладывается без участия человека.

Если мы вернемся к технологиям, которые были 10-15 лет назад, то обнаружим, что в принципе такое тоже можно было сделать, но возникали проблемы в сложности всей этой конструкции. И управление такой системой (удаление и добавление сервисов) было очень трудоемким процессом.

На следующем слайде показан скриншот с реальной системы управления одного из учреждений здравоохранения в Норвегии. 

Видно, какая это гигантская сеть. В центре есть коммутаторы ядра, выделенные коммутаторы дистрибуции и множество коммутаторов доступа. Что бы нужно было сделать в этой ситуации, если бы была необходимость пробросить такой вилан из конца в конец, от медицинского устройства с левой стороны до сервера? В этом случае нужно было бы создать вилан на коммутаторе доступа серверного сегмента, на коммутаторе агрегации серверного сегмента, создать вилан на коммутаторе ядра, потом создать вилан на коммутаторе по пользовательской дистрибуции, затем создать вилан на коммутаторе пользовательском на уровне доступа. После этого появилась бы цепочка, которая позволяла бы общаться устройству и серверу. Понятно, это не всегда возможно было сделать быстро, в этом случае мы задействуем и переконфигурируем коммутаторы ядра и агрегации. Поэтому скорее всего нужно будет ждать технологического окна. И любая ошибка на любом из участков сети приводила бы к простою сети, которая в здравоохранительных учреждениях не просто вредна, но и опасна, потому что может нанести прямой вред здоровью пациентов.

Если на той же сети использовать технологию фабрики, все происходит несколько иначе. Здесь нужно переконфигурировать только коммутаторы доступа, которые смотрят в серверы, либо в пользовательский сегмент. На слайде желтыми треугольными значками изображены места, где необходимы либо работа администратора, либо автоматическое переконфигурирование. После того, как мы подключили устройство, автоматически создается сервис и таковых может быть до 16 миллионов. Причем, здесь красный и зеленый сервисы независимы друг от друга. Таких изолированных сервисов может быть до 16 миллионов. Пользователи из красного и зеленого сервисов никак не пересекаются, поэтому 

в этом и заключается изоляция и сегментация сети. 

Т.е. можно выделить отдельную подсеть и отдельные подсервисы под определенные группы медицинских устройств, другой сервис - под устройства видео-телемедицины, третий сервис - под видеонаблюдение и таких сервисов может быть очень много. Смысл в том, что не нужно переконфигурировать и не следует трогать коммутаторы агрегации и коммутаторы ядра вообще. 

Эластичность сервисов

К примеру, у нас есть три устройства, подключенные к сети, работающие с каким-то сервером приложений. Внутри сервис распространился по технологии SPBM и у него выросли три "щупальца" для того, чтобы доставлять трафик до трех конечных пользователей. Если один пользователь отключился (выключил Wi-Fi или выдернул кабель из порта коммутатора), в тот же момент сервис "слетел" с этого порта коммутатора. Таким образом, мы не «тащится» трафик туда, где пользователей этого сервиса нет. Во-первых, это оптимизирует пропускную способность сети, потому что лишнего трафика в сети нет, а во-вторых, это полезно с точки зрения безопасности. Т.е. подключившийся пользователь через секунду в тот же самый порт не получит никакого сервиса вообще, потому что туда никакого сервиса сейчас не «тянется». И если мы перетащили устройство на другой этаж и в другую палату больницы и воткнули в порт коммутатора, то тот же самый сервис будет доставлен до другой точки доступа сети. Т.е. эти «щупальца» динамически пропадают и восстанавливаются в зависимости от того, где сейчас в сети находятся пользователи определенного сервиса.

Сервисы на границе можно конфигурировать несколькими способами. Можно использовать статическую привязку. Например, такой-то порт коммутатора находится в таком-то сервисе вне зависимости от того, кто подключится к этому порту или что подключено к этому порту. Но лучше и удобнее использовать систему контроля доступа. В портфолио вендора есть система контроля доступа под названием Extreme Control. Это программно-аппаратный комплекс, который интегрируется со многими базами данных, в том числе со стандартными AD (Active Directory). И в Extreme Control можно писать огромное количество правил на основе знаменитой игры "Что, где, когда?". 

Т.е. при попытке подключения устройства или какого-то пользователя к сети, будет проверяться, что это за устройство, в каком месте сети это устройство пытается подключиться. Будет проверяться, какое сейчас время - разрешенное или неразрешенное, как конкретно это устройство пытается подключиться, как оно пытается авторизоваться, то ли просто Mac-авторизацию умеет делать, то ли пользователь прошел через Captive Portal и ввел какие-то временные «учётки». И еще проверяется, кто из пользователей пытается подключиться со своим, например, ноутбуком: врач, бухгалтер, пациент или просто гость, пришедший со своим iPad. Все это можно проверять в системе Extreme Control.

Происходит это так. Человек подключается к сети, идет запрос к системе контроля доступа Extreme Control. Если пользователя нужно найти в существующей системе Active Directory, запрос пойдет туда. В Active Directory находим определенного пользователя в определенной группе, запрос после этого возвращается в сеть. Отдается информация о том, какому сервису должен принадлежать этот конкретный пользователь. И после того, как в сеть поступила эта информация, этот туннель автоматически «поднимется» и трафик пойдет.

Medical Device IoT (IoMT)

Теперь несколько слов о медицинских устройствах, потому что они представляют большую головную боль для IT-персонала здравоохранения, поскольку в сфере здравоохранения очень строгая сертификация. Когда некое медицинское устройство разрабатывалось, скажем, лет 10 назад, в IT-сфере использовался Windows XP или Windows Embedded. И с этой операционной системой устройство прошло сложный процесс сертификации. Для того, чтобы в устройстве сменить ОС на более новую, необходимо проходить сертификацию заново. Для того, чтобы установить на ОС какие-то патчи, чтобы лечить какие-то известные "дырки" операционной системы, необходимо проходить сертификацию снова. Понятное дело, что эта процедура достаточно дорогая и протяженная по времени, поэтому в медицинских устройствах довольно много старых ОС, практически без встроенной системы безопасности.

Вот пример инфузионного насоса. На сайте производителя указано, что на этом устройстве открыты определенные менеджмент-порты, и нужно, чтобы сеть блокировала эти порты.

Само устройство эти порты не блокирует потому что любое вмешательство в операционную систему критичного механизма недопустимо. Даже поменять дефолтовый пароль на этом устройстве довольно сложно, т.е. специально нужно звонить в службу техподдержки производителя. Поэтому медицинские устройства представляют собой большую опасность, если их использовать в обычных сетях. Огромное количество "дыр" безопасности есть в таких устройствах, они довольно легко заражаются вирусами. Поэтому за ними нужно следить, изолировать, держать в отдельной изолированной сети. 

И для этого у Extreme Networks есть множество решений такой проблемы. Например, решение под названием Extreme Defender for IoT. Это программно-аппаратный комплекс. Аппаратная часть нарисована на слайде справа. Называется она Defender Access Hardware.

Это небольшие устройства либо в формате небольшой точки доступа, либо маленькой коробочки размером с пачку сигарет. Это некий персональный фаервол для медицинских устройств. Точка доступа может подключать такие устройства по Wi-Fi, а у фиолетовой коробочки есть два Ethernet-порта - вход и выход. С одной стороны подключается медицинское устройство, а с другой - вся конструкция подключается в сеть.

Вот в таком устройстве есть встроенный фаервол и можно, во-первых, ограничивать трафик с медицинского устройства по, грубо говоря, access-листам, а также просматривать трафик на многих уровнях, в том числе на уровне приложений с политикой L2-L7, какой конкретно трафик разрешен, какой запрещен. 

Слева представлен программный комплекс. Напомним, есть решение ExtremeCloud Appliance, некая программная, а иногда и аппаратная сущность, поверх которой крутится приложение Defender Aplication. И в этом приложении настраиваются все профили для дефендеровских коробок. В этом приложении можно вести инвентаризацию устройств. В этом приложении видно, какое устройство сейчас активно, какое нет. И Defender Aplication рассчитан на не обученный персонал, т.е. на врачей, которые не понимают, что такое IP-адрес, Mac-адрес. И это им знать не обязательно.

На этом слайде показан пример с аппаратом МРТ. У него обычно есть Ethernet-выход и его нужно защитить от внешних вторжений. К этому аппарату подключают небольшое устройство - его персональный фаервол, и разрешают трафик только с определенных портов или определенных протоколов. 

Какие сценарии блокировки трафика могут быть в схеме с Defender? Когда кто-нибудь отключил медицинское оборудование и подключил свой собственный ноутбук или любой другой гаджет, то по смене Mac-адресов, по смене авторизации, можно понять, что устройство подменено и любой трафик будет в таком случае заблокирован.

Defender защищает не только медицинские устройства от внешних вторжений, но и саму сеть от, например, зараженных медицинских IоT-устройств. Рассмотрим гипотетическую ситуацию: вдруг аппарат МРТ начинает распространять вирус. Тогда, во-первых, весь внешний трафик будет блокироваться, а, во-вторых, даже если вдруг он использует существующие white-листовые порты и протоколы, то в этом случае вирус распространится только на сервис под МРТ. Другие сервисы в сети не будут заражены.

Поскольку персональный фаервол защищает от любых типов вторжений, то и внешние попытки подключений к медицинским устройствам будут заблокированы. И более того, в системе управления такие попытки можно отследить.

Необязательно, чтобы сама инфраструктура была построена на базе Extreme Networks с фабрикой. Extreme Defender прекрасно ложится на другие сети. Т.е. это вендоронезависимое решение. Но, естественно, если в сети построены на базе Extreme Networks технологии фабрики, то здесь всё получается функциональнее. В добавок к персональному фаерволу, в добавок к политикам трафика, добавляется еще и автоматическое добавление сервисов. То есть, подключая такую коробку к сети, все необходимые сервисы для работы медицинских устройств будут доставлены до этих устройств автоматически. Все это благодаря технологиям Fabric Connect и Fabric Attach, этих составных частей общего решения по фабрике L2.

Один из сценариев использования такого Defender - так называемый "домашний пациент". При этом сценарии пациент уезжает из медучреждения к себе домой на карантин и ему необходимы определенные датчики с подключением к сети здравоохранительного учреждения. В этом случае Defender может использовать VPN-канал в центральную больницу, и таким образом можно обеспечить IP-соединение удаленных датчиков с больницей. При этом сам Defender будет находиться под управлением IT-персонала больницы, он будет виден в системе Defender Application, здесь полный контроль остается в руках врачей и IT-персонала.

High Density Clinical Grade Wi-Fi

Теперь несколько слов про Wi-Fi. Надо заметить, что в больницах довольно много используется беспроводных соединений. И это не только Wi-Fi, это и DECT, беспроводные 3G и 4G. И скоро, видимо, будет 5G. Но тренд движется к тому, что все эти службы и датчики все-таки переключаются на стандартизованное подключение, на Wi-Fi. Здесь тренд приблизительно такой же, какой был в сфере сетей лет 15-20 назад, когда были альтернативы Ethernet, такие как FDDI, Token Ring и др. Сейчас Ethernet вытеснил практически всех. То же самое сейчас произошло с Wi-Fi. Т.е. производители медицинских устройств отказываются от каких-то других интерфейсов и ставят стандартные и довольно дешевые Wi-Fi-чипы в свои устройства. Поэтому требования к Wi-Fi-подключениям в сфере здравоохранения все повышаются. Ну, естественно, у Extreme Networks есть также решения и под Wi-Fi. Здесь есть некие общие рекомендации. 

Они относятся не только к сфере здравоохранения, но и к любым хорошим построениям беспроводного подключения. Во-первых, используется шифрование и строгая аутентификация, например, 802.1x. Желательно использование одного SSID, потому что использование нескольких SSID немного съедает пропускную способность беспроводной сети. И желательна поддержка MDM-решений, когда у IT-персонала появляется управление и мониторинг непосредственно конечных подключений. Для этого нужен клиент, устанавливаемый на смартфоны, лэптопы, планшеты.

Естественно у Extreme есть продукты по беспроводному и проводному подключению, которые хорошо ложатся и на продукты по здравоохранению за счет единой политики настройки безопасности, так называемой Extreme Policy. 

В системе управления XMC есть компонент под названием Policy Manager, в котором IT-администратор или администратор IT-безопасности указывает, какой конкретно трафик разрешен от группы устройств, какой запрещен, какими приложениями может пользоваться сотрудник, какими не может. И эти политики централизовано распространяются как на точки доступа, так и на проводную инфраструктуру, на коммутаторы.

На следующем слайде видно в системе управления насколько хорошо продуманы уровни сервисов и ролей. На крайней левой картинке мы видим роли пользователей.

Они выделены синими кружочками. Таких ролей могут быть десятки и сотни. И к каждой роли привязывается набор сервисов, которые уже являются непосредственно составляющими некоего большого access-листа. Т.е. можно налету включить и выключить поддержку, или можно легко включить или выключить определенный UDP-порт. Делается это всего лишь двумя или тремя кликами в этой системе управления и новые настройки, новые запреты, например, портов или протоколов будет распространен сразу на всю сеть. Это довольно удобно в том числе и с точки зрения безопасности. Если вдруг мы узнаем, что завелся какой-то вирус или червь, который распространяется по определенному порту, то здесь это блоктруется за одну минуту. Можно сделать новый сервис, который запретит использовать UDP-порт. После чего этот запрет вступит в силу на всех точках доступа и на всех коммутаторах сети.

По каждому конечному подключению есть полная картина, так называемый "отпечаток пальца" пользователя или устройства. Здесь довольно много информации, начиная от того, какой Mac-адрес у устройства и где он подключается вплоть до его операционной системы, и до того какие приложения этот пользователь использовал за последние час-два-три. В том числе здесь можно посмотреть, какие политики сработали для подключения этого конкретного пользователя, т.е. почему этот пользователь попал в сеть, по каким правилам, какие права имеет внутри сети сейчас. 

Wi-Fi-решения Extreme Networks имеют полную сертификацию для использования в системе здравоохранения. Там довольно много требований, в том числе, например, сертификаты о электромагнитной совместимости.

Практически под все продукты у вендора имеются соответствующие сертификаты.

Приоритеты компании: это и общее повышение здоровья населения, и сокращение затрат, которое может быть осуществлено за счет снижения как капитальных затрат, так и операционных. Потому что, используя решения Extreme Networks с фабрикой, значительно снижаются операционные расходы за счет того, что сокращается время, необходимое для переконфигурирования и предоставления новых сервисов. 

Мы сегодня обсуждали технологии фабрик для построения собственно базовой сети. У вендора есть решения по беспроводному подключению Wi-Fi, в том числе Wi-Fi 6. Есть отдельные выделенные решения Defender для персональной защиты конкретных медицинских устройств и большая мультивендорная система управления XMC для управления практически всеми этими продуктами. В ней можно использовать мониторинги управления не только Extreme Networks. В гетерогенных сетях эта система тоже прекрасно себя зарекомендовала.