Operacja udana – koszty i złożoność sieci zmniejszone

Ziekenhuis Oost-Limburg | Sektor medyczny | Belgia

Jeśli chcesz doktora widzieć rzadko, to raz dziennie zjadaj jabłko. A jaka jest recepta na zdrowo działającą, bezpieczną i elastyczną sieć IT? Sprawdźmy, jak Ziekenhuis Oost-Limburg (ZOL), duży dostawca usług medycznych we wschodniej Belgii, zdołał zmniejszyć koszty i stopień złożoności prac, ułatwiając tym samym duży projekt migracyjny!

Ziekenhuis Oost-Limburg (tłumacząc na polski: Szpital we Wschodniej Limburgii) to tak naprawdę dwie połączone instytucje medyczne: ZOL Genk, który obejmuje trzy osobne lokalizacje: kampus Sint-Jan (miasto Genk), kampus Sint-Barbara (gmina Lanaken) i Centrum Medyczne André Dumont (dzielnica Waterschei), a także ZOL Maas en Kempen w mieście Maaseik, oddalonym o ok. 30 kilometrów. W sumie organizacja posiada ponad 1000 łóżek szpitalnych dla pacjentów.

A z perspektywy infrastruktury IT? 4 kampusy, około 450 przełączników, 1200 punktów dostępowych i ponad 20 000 urządzeń końcowych. Innymi słowy: nie takie małe środowisko, którym się łatwo zarządza. Zwłaszcza, kiedy Twój zespół ds. sieci i bezpieczeństwa liczy jedynie 4 osoby, które odpowiadają za masę rzeczy, w tym m.in. sieci, firewalle, infrastrukturę głosową, salki konferencyjne oraz zasadniczo wszystko, co związane z komunikacją i przepływem danych.

„Cyfryzacja środowiska medycznego w dużej mierze zależy od stabilnej i skalowalnej sieci. Mówiąc wprost, nic nie będzie działać bez działającej łączności. Dlatego też utrzymanie wszystkiego w ruchu, tak aby móc świadczyć jak najlepszą jakość usług przy jak najmniejszym ryzyku, to niekoniecznie bułka z masłem”, wyjaśnia Kurt Gielen, IT Manager w Ziekenhuis Oost-Limburg.

“Chcieliśmy zbudować bezpieczną, odporną na awarie sieć fabricową”

Dynamicznemu rozwojowi technologii, jaki w ubiegłych latach można zaobserwować w sektorze medycznym, towarzyszy szereg nowych wyzwań i wymagań w obszarze mobilności, wydajności i bezpieczeństwa. Zapewnienie bezpieczeństwa dla całej fali nowych technologii i konkretnych zastosowań, nie popełniając przy tym żadnego błędu i bez „ścinania” zakrętów, stanowiło dla Kurta Gielena i jego kolegów z zespołu coraz większe wyzwanie.

Z drugiej strony, istniały pewne wymagania dotyczące starszych urządzeń i mobilności IP. Dotychczasowa warstwa 2 sieci, oparta w głównej mierze na produktach i rozwiązaniach od jednego, dużego dostawcy sprzętu sieciowego, zaprojektowana w klasycznym, „statycznym” modelu, nieszczególnie pomagała w rozwiązaniu problemów. W głowie Kurta Gielena zaczął jednak kiełkować pewien pomysł.

„Chcieliśmy zbudować bezpieczną, odporną na awarie sieć fabricową, która z jednej strony dawałaby nam mobilność IP na różnych kampusach, a z drugiej – oferowałaby elastyczność w warstwie 2 bez minusów dotychczasowego rozwiązania. Nakreśliłem w tym celu projekt sieci, choć bardziej był to list do Świętego Mikołaja, lista życzeń bez konkretnego pomysłu, jakie technologie mogłyby nas do tej wizji przybliżyć”.

Aby zmaterializować tę wizję, ZOL zdecydowało się skorzystać z pomocy Orange Cyberdefense, czołowego europejskiego dostawcy rozwiązań i usług cyberbezpieczeństwa.

W kierunku niższych kosztów i mniejszej złożoności

Pierwszym krokiem w poszukiwaniu “wymarzonego” rozwiązania jest często zapoznanie się z ofertą dotychczasowego dostawcy – zwłaszcza, gdy jest to jeden z liderów rynku. Ten trop okazał się jednak ślepą uliczką.

„Proponowane rozwiązanie było dla nas zbyt zamknięte, zbyt własnościowe. Nie chcieliśmy też iść w model subskrypcji, ponieważ jeśli wziąć pod uwagę środowisko o tak dużej skali i zróżnicowaniu usług, koszty mogłyby szybko wymknąć się nam spod kontroli. Jeśli chodzi o rozwiązanie na brzegu sieci, było ono dla nas zbyt skomplikowane, liczne kontrolery oznaczały mnóstwo roboczogodzin tylko na samo zarządzanie siecią. Koniec końców musimy wspierać działalność szpitali 24/7, nie mogliśmy sobie pozwolić na luksus, jakim byłoby wdrożenie tak skomplikowanego rozwiązania. Sieć sama w sobie jest już wystarczająco złożona”, wyjaśnia Kurt Gielen.

“To, czego Ziekenhuis Oost-Limburg potrzebował, to zwiększenie prostoty zarządzania, bezpieczeństwa oraz wydajności kosztowej, a więc dokładnie tego, co dostarczyliśmy w ramach tego projektu”, mówi Bart Manteleers, Head of Business Development w Orange Cyberdefense Belgium, który poprowadził zespół konsultantów odpowiedzialnych również za wdrożenie oraz obsługę posprzedażową. „Porównaliśmy różne dostępne technologie aby zobaczyć, która z nich będzie najlepiej pasować do potrzeb ZOL. Ostatecznie wygrało rozwiązanie Extreme Fabric Connect”.

Segmentacja sieci, jakiej jeszcze nie było

Inżynierowie IT, którzy nie mają zbyt dużego doświadczenia w obszarze sieci, często postrzegają bezpieczeństwo sieci jako układ zamkniętych wysp, połączonych przez firewall. Rzeczywistość jest oczywiście nieco bardziej złożona, aczkolwiek z pomocą Extreme Fabric Connect, duże organizacje medyczne takie jak ZOL mogą dość łatwo przenieść taką koncepcję na tzw. usługę L2 VSN (Layer 2 Virtual Services Network) – odizolowany VLAN w sieci, który ma różne punkty dostępowe (breakout) na różnych kampusach, lecz jest implementowany wirtualnie, co bardzo łatwo wytłumaczyć inżynierom systemów i aplikacyjnym.

To, czego Ziekenhuis Oost-Limburg potrzebował, to zwiększenie prostoty zarządzania, bezpieczeństwa oraz wydajności kosztowej.

Co więcej, rozwiązanie umożliwiło zespołowi IT ZOL segmentację sieci w sposób bardzo ustrukturyzowany.

„Nie jest to rozwiązanie zero-jedynkowe. Stosujemy makrosegmentację poprzez wirtualizację fizycznych routerów (VRF), co jest jak najbardziej możliwe w sieci typu fabric. Mamy wirtualne ścieżki dla różnych funkcji, takich jak urządzenia medyczne, instalacje budynkowe czy systemy komunikacyjne, które łączymy na wewnętrznym firewallu. Możliwe jest też bezpieczne podłączanie urządzeń pacjentów i odwiedzających ich gości, ponieważ bardzo łatwo możemy odizolować od siebie różne rodzaje ruchu. Co więcej, bez problemu jesteśmy w stanie wprowadzić hipersegmentację i mikrosegmentację na poziomie VRFów, co uniemożliwia ruch pomiędzy urządzeniami końcowymi w relacji poziomej (East-West). To ogromny krok naprzód, jeśli chodzi o bezpieczeństwo sieci. Testy penetracyjne przeprowadzone na starszej części naszej sieci oraz na części objętej hipersegmentacją pokazują dobitnie, że to kompletnie inny poziom bezpieczeństwa”, wyjaśnia Kurt Gielen.

Skoro wiemy już, jak rozwiązano kwestię bezpieczeństwa, rzućmy okiem na kilka przykładów tego, jak Extreme Fabric Connect ułatwia życie zespołowi sieciowemu Ziekenhuis Oost-Limburg.

Extreme Fabric Connect: bezpieczeństwo sieci w praktyce

W przeszłości, Kurt Gielen i jego koledzy z zespołu często słyszeli prośby, aby coś podłączyć, nie wiedząc za bardzo jak tego dokonać bez dokonywania pewnych znaczących skrótów w obszarze bezpieczeństwa. Przykładowo: lekarz chciał użyć gogli VR na sali operacyjnej, ale inżynierowie sieci nie znali producenta sprzętu, więc nie wiedzieli jak zintegrować nową technologię w sposób szybki i bezpieczny.

„Często musisz sam zadecydować, jakie zasady segmentacji przyjąć dla danego urządzenia, ponieważ nie wiesz, jakie może mieć ono wymagania bezpieczeństwa. Teraz mamy nasz własny plan segmentacji sieci. Wybieramy odpowiednie miejsce dla danego urządzenia, wprowadzamy dane uwierzytelniające, podłączamy je, po czym w sposób automatyczny jest ono bezpiecznie umiejscowione w odpowiednim segmencie. Dzięki temu możemy bardzo łatwo i szybko odpowiadać na tego typu prośby, przyspieszając tempo integracji”.

Testy penetracyjne przeprowadzone na starszej części naszej sieci oraz na części objętej hipersegmentacją pokazują dobitnie, że to kompletnie inny poziom bezpieczeństwa.

Inny przykład: na terenie jednego ze szpitali grupy ZOL utworzono jakiś czas temu posterunek policji, który należało podłączyć do lokalnej sieci. Teoretycznie, mamy tu do czynienia z dwiema organizacjami służby publicznej, jednak z technicznego punktu widzenia był to całkowicie zewnętrzny podmiot z kompletnie osobną listą rzeczy, jakie mogą znajdować się w ich sieci. Kurt Gielen był jednak przygotowany również i na to wyzwanie.

„Wdrożenie Extreme Fabric Connect pozwoliło nam w łatwy sposób stworzyć oddzielną wyspę wewnątrz naszej sieci, z kompletnie osobną kontrolą i zarządzaniem, bez jakiejkolwiek możliwości ingerencji w operacje sieciowe szpitala. Co więcej, funkcja ta jest nieskończenie skalowalna – możemy dokonać praktycznie nieograniczonej liczby takich implementacji. Posiadanie gotowego rozwiązania na każe możliwe zapytanie to bardzo duży komfort”.

Przygotowani na każdą ewentualność

Projekt migracji, obsługiwany przez Orange Cyberdefense, rozpoczął się na początku 2019 roku. Początkowo, zespół IT w ZOL zakładał, że kompletne przejście na nowe rozwiązanie zajmie 4 lata. Po drodze pojawiły się jednak 2 zasadnicze przeszkody: fuzja ze szpitalem Maas en Kempen w Maaseik oraz pandemia COVID-19. W obu przypadkach istniejąca infrastruktura Fabric Connect okazała się zbawieniem.

„Widziałem już w życiu nieco fuzji i przejęć i wiem, jak wiele pracy zazwyczaj one pochłaniają. Jednak ponieważ już na tym etapie mieliśmy bardzo solidny i skalowalny model, którego nie ograniczały ani aspekty geograficzne, ani techniczne, po prostu zrobiliśmy kalkę tego, co już mieliśmy. Umieściliśmy przełączniki w drugim centrum danych, zrobiliśmy połączenia na wydzierżawionych łączach i rozciągnęliśmy sieć fabricową. W ciągu tygodnia zaczęliśmy już do niej migrację starych urządzeń. Możemy bardzo łatwo odłączyć przełącznik i wstawić nowy lub dodać nowy link do sieci fabric, który działa od razu, bez martwienia się o konfiguracje protokołów routingu, OSPF i tego typu rzeczy”, podkreśla Kurt Gielen.

Posiadanie gotowego rozwiązania na każe możliwe zapytanie to bardzo duży komfort.

Rok po rozpoczęciu procesu migracji, do Europy dotarła pandemia COVID-19. Wyzwanie, jakie się z tym wiązało, było podwójne. Po pierwsze – nikt nie mógł wówczas pracować przy wdrażaniu fizycznych urządzeń na miejscu. Po drugie – nastąpił ogromny wzrost zapotrzebowania na wideokonferencje i wirtualne sale spotkań.

„Pozytyw był taki, że technologia dostarczona przez Orange Cyberdefense przed marcem 2020 pozwoliła nam podołać tym zwiększonym wymaganiom. Od samego początku Fabric Connect ułatwił nam zaprojektowanie i zbudowanie bezpiecznych segmentów dla wirtualnych sal konferencyjnych oraz odizolowanie i bezpieczny onboarding nowych urządzeń. Jeśli spojrzeć na to z szerszej perspektywy, to pomimo trudności wywołanych pandemią, wyprzedzamy dziś pierwotny plan migracji”.

Najlepszy możliwy wybór

To, z czego większość ludzi nie zdaje sobie sprawy, to jak bardzo złożone bywa środowisko sieciowe w typowym szpitalu.

„W dzisiejszych czasach wszystko i wszyscy muszą być ze sobą połączeni, tyczy się to też szpitali. Od momentu, w którym pacjent przekracza próg szpitala, staję się on częścią złożonego cyfrowego procesu”, wyjaśnia Bart Manteleers. „Posiadanie elastycznej platformy w postaci sieci, która redukuje te wszystkie złożoności, jest dziś kluczowe”.

„Jesteśmy de facto organizacją IT działającą w obrębie szpitala, lecz naszą podstawową misją jest dostarczanie lepszej jakości opieki dla pacjentów. Sieć jest tylko i aż narzędziem do realizacji celów, powinna więc być dla nas czymś jak woda w kranie, nie przeszkodą. Zwiększyć złożoność systemu to żadna sztuka. Upraszczanie pewnych rzeczy i procesów – to zupełnie inne wyzwanie”, przyznaje Kurt Gielen.

Zwiększyć złożoność systemu to żadna sztuka. Upraszczanie pewnych rzeczy i procesów – to zupełnie inne wyzwanie.

Oczywiście, pod uwagę należy wziąć jeszcze jeden aspekt nieodłącznie związany z problemem złożoności sieci, czyli rzecz jasna pieniądze.

„Kiedy jako IT manager podejmujesz jakąś decyzję, nie zawsze masz 100% pewności, że będzie ona dobra, ponieważ czasem żeby naprawdę przekonać się, że coś działa, musisz zobaczyć jak dane rozwiązanie funkcjonuje w praktyce. Musisz też wziąć pod uwagę koszty operacyjne, które tak naprawdę klarują się na dalszym etapie wdrożenia, gdzie dopiero wtedy pojawiają się wszystkie ukryte koszty. W przypadku rozwiązania Extreme Fabric Connect dostarczonego przez Orange Cyberdefense, tego typu niespodzianki zostały ograniczone do absolutnego minimum i jestem przekonany, że nie moglibyśmy powiedzieć tego samego w przypadku wybrania innej technologii. Segmentacja warstwy 2, możliwość łatwej hipersegmentacji, obejmujące kilka kampusów rozwiązanie fabricowe na brzegu sieci, które jest łatwe w obsłudze, niezwykle skalowalne, a przy tym stosunkowo otwarte… biorąc to wszystko pod uwagę mogę powiedzieć z pełnym zdecydowaniem, że podjęliśmy najlepszy możliwy wybór”, podsumowuje Kurt Gielen.

Chciałbyś porozmawiać o bezproblemowych rozwiązaniach sieciowych dla Twojego szpitala lub centrum medycznego?

Chcesz poznać więcej historii naszych klientów z branży medycznej?

• Cordaan Group (Holandia)
• Szpital Elisabeth-TweeSteden (Holandia)
• Groupe Jolimont (Belgia)
• Szpital w Trzyńcu (Czechy)
• Centrum Medyczne Gabos (Polska / Piekary Śląskie)
• Publiczne Centrum Medyczne "Dobrzyńska" (Polska / Wrocław)

Artykuł, który może Cię również zaciekawić:

Rozwiązania Extreme Networks dla branży medycznej: nowe życie dla sieci IT

Cyfrowa transformacja w służbie zdrowia i branży medycznej wiąże się z potrzebą niezawodnych rozwiązań sieciowych, które pomogą poprawić standard opieki nad pacjentami, zwiększyć automatyzację IT, zminimalizować cyber-zagrożenia oraz ograniczyć koszty. W tę charakterysty...

Czytaj więcej

O firmie Orange Cyberdefense

Orange Cyberdefense to dedykowany oddział Grupy Orange zajmujący się cyberbezpieczeństwem, z którego rozwiązań i usług korzysta 8500 klientów na całym świecie. Jako wiodący europejski dostawca rozwiązań i usług cyberbezpieczeństwa, firma skupia wysiłki na ochronie wolności i budowaniu bezpieczniejszego, cyfrowego społeczeństwa. Dzięki dużej aktywności w obszarze badań i analiz, Orange Cyberdefense oferuje klientom najbardziej aktualną wiedzę w dziedzinie obecnych i powstających zagrożeń. 25 lat doświadczeń w branży bezpieczeństwa informacji, ponad 2700 ekspertów, 17 jednostek Security Operations Center i 13 jednostek CyberSOC na całym świecie – to wszystko sprawia, że firma jest znakomicie przygotowana do odpowiadania zarówno na lokalne, jak i globalne potrzeby swoich klientów.