Netwerk voor remote services

Schoolopdracht ?

Afgezien van alle compliancy/regulatory uitdagingen die je heb (medische data...) kan je alnog opteren om iets onsite te hebben dat de data gaat pre-processen op de rand van het netwerk (IoT Edge)
Vervolgens ga je wel een manier vinden om deze data op een veilig manier naar een volgende stage te brengen (vb die binnen een DC zit).
Zomaar effe een LTE-router naast medische apparatuur zetten moet trouwens allemaal onderzocht worden wat de mogelijkhheden & beperkingen zijn. Er moet een duidelijk design zijn hoe & wat je onsite wenst te aggregeren/verwerken.

Tja, als je technisch gaat afwegen en je moet die data wegsluizen zonder dat het "ziekenhuisnetwerk" mag gebruiken (wat voor elke security-officer een grote no-no zou zijn om zaken "langs een achterpoortje" buiten te sluizen) kijk je inderdaad naar dit soort zaken om via een "wireless gateway" buiten te geraken. Aangezien je ook een WLAN van een ziekenhuis niet zou mogen gebruiken schiet er niet veel over dan 4G/LTE af te wegen.

Verwijderd schreef op zondag 1 december 2019 @ 21:18:
[...]


Bedankt voor je reactie!

... ik wil graag weten of het de moeite waard is ...

Je probleem is helemaal niet technisch; je probleem is procedureel en juridisch en politiek.
Pas als je de procedurele en juridische en politieke problemen hebt opgelost, kun je gaan nadenken over een technische implementatie

Umm in de praktijk werken dit soort partijen wel met het netwerk van het ziekenhuis. Eigen vlan n door middel van een type VPN naar buiten.

De grote vraag is wat voor data je gaat verzamelen. Zijn patiënt gegevens? Dan moet je kunnen aantonen dat je de gegevens veilig opslaat. Gaat het alleen om gegevens over hoe de apparaten functioneren. Dan is al snel goed. Als tussen oplossing kan je een server plaatsen die gegevens verwerkt. De patiënt gegevens weggooit of onomkeerbaar anoniemiseerd.

Maar aan deze eisen moet je toch wel voldoen. Welke technische oplossing je ook kiest. Maar ik weet zeker dat ze liever jouw in een apart vlan hebben dan over een 4G verbinding.

Waar komt deze wens vandaan?

Een beetje zieknhuis heeft zijn eigen infra, hierin zal vast een mooi VM-cluster staan of wat andere dedicated machines welke data van medisch apartuur verwerkt.
Dit is dus stap 1.

Hieruit kan een back-up komen.
Heb je meerdere vleugels, dan kan je op 2 verschillende vleugels backup nodes zetten zodat je toch een beetje redundant je data veilig hebt staan.
Of je hebt 2 interne DC's welke goed verbonden zijn om de data verspreid dubbel op te slaan.

Als het geen backup is maar werkdata:
Na verwerken van je ruwe data kan het indd zijn dat je een bestandje van 1gb over houdt welke je wilt uploaden.
De vraag is waarom en naar waar wil je dit uploaden.
Waarom: Door verkopen naar partij x?
Medisch onderzoek met verschillende partijen?
andere reden?
Waar: Als je het binnen de EU blijft kan je heel veel. Zorg is juiste beschrijving van wat je waarom waar opslaat. Dit kan prima binnen de GDPR.

Je wilt je interne netwerk niet publiek maken, zeker als ziekenhuis met gevoelige data zou ik er niet voor kiezen om een open verbinding te behouden met een un-trusted party.

Je zult dus moeten onderzoeken welk mechanisme het beste past bij de overdracht van de bestanden.
Je kan bijvoorbeel:
Medisch apartuur > eerste verwerking > tweede verwerking > file share > <<overdracht>> Datacenter.
Waarbij de file share map alleen toegankelijk is via de beveilgde verbinding richting het datacenter.
En intern alleen maar connectivity heeft naar de map waar hij zijn data vandaan krijgt.
Deze connectivity mag bijvoorbeeld alleen via scp contact hebben met het logische pad waar hij zijn bestand ophaalt.
Waarbij je security zit in Acceslist (IP-Address) VPN tunnel of andere mogelijkheden zoals certificaten.
Hierbij heb je dan weer een pull of push mogelijkheid.
Zorg ervoor dat het bestand encrypted is en dat je op een andere manier de sleutel deelt met de Datacenter partij.
Hierbij kan je nog kiezen dat sleutels iedere 24 uur, week of maand verranderd.
Ligt er weer aan hoe secure alles moet zijn.

Er zijn dus genoeg moglijkeheden hoe je dit goed kan bouwen.
De vraag is en blijft hoe secure moet het.
wat is de data wat je verstuurt.
wie zijn alle partijen.
Hoe makkelijk moet het te gebruiken zijn.
Hier zit veel losse development in waarbij de bouwblokken wel bestaan maar je ze wel aan elkaar moet knoppen op een goede beheersbare manier.

Leuk project have fun!

Zijn er ook niet speciale eisen/certificeringen nodig voor de gebruikte apparatuur? Ik kan me namelijk voorstellen dat een 4G apparaat kan storen op andere apparatuur. Of dat de lokale IT’ers dit graag voor willen zijn.

Bovengenoemde argumenten en oplossingsrichtingen lijken me ten alle tijde beter dan een 4G unit plaatsen.

Eigen Gateway (al dan niet 4G) kun je gewoon vergeten, technisch gezien implementeer je dan een datalek. Dat vind geen 1 bedrijf tegenwoordig leuk, laat staan een ziekenhuis.

Verwijderd schreef op maandag 2 december 2019 @ 07:39:
[...]


[...]


VLAN zou natuurlijk een goede oplossing kunnen zijn om niet direct het netwerk van het ziekenhuis te gebruiken, maar een van de redenen om buiten het netwerk van het ziekenhuis om te willen werken is dat de installatie van nieuwe apparaten veel tijd kost. IoT oplossingen kunnen de bestandsgrootte niet aan, dus wanneer deze apparaten direct met een LTE router en SIM-kaart kunnen worden geleverd zou het installatieproces veel sneller en voor alle nieuwe apparaten gestandaardiseerd zijn.

Is het in zo'n geval haalbaar om de data te filteren in de hoop dat de bestandsgrootte kan worden gereduceerd, om het dan alsnog via mobiele data naar het DC te sturen?

Waar komt die voorliefde van 4G/LTE vandaan? Een ziekenhuis ziet die straling liever niet.
Daarnaast heb ik je liever achter mijn eigen firewall. Met liefde maak ik een vlan voor je aan.

Op het moment dat er data lekt. maakt het mij niet meer uit over welk medium de data mijn ziekenhuis verlaten heeft. Maar die leverancier heeft een probleem!

kan je een overzicht delen van mogelijke medische apparaten en welke data ze generen?

In je oude situatie geef je aan dat ze al netjes verbonden zijn met het interne netwerk / routeren naar internet.
Als ze niet verbonden zijn aan het interne netwerk klopt het plaatje niet.

je hebt de M2M boxen waar je in kan scripten.
Deze kan je dus een call home functie geven, maar deze vervangen alleen de router/internet acces kant.
https://wiki.teltonika.lt/view/RUT240_VPN
pricewatch: Teltonika RUT240 (RUT24006E000)
(ik heb er gewoon even 1 als voorbeeld gekozen, geen ervaring met deze)

Als ik je beschrijving begrijp wil je dat er ook nog iets gebeurt met de data voordat het verstuurt.
Deze logica kan je hier niet in kwijt.
Als je wel weet wat dat moet zijn kan je ook je eigen bak gaan bouwen zelf de pcb ontwikkelen met de nodige chip welke de data goed kan verwerken en een losse 4g module.

Deze ziet er ook wel mooi uit
https://ewon.biz/products/cosy/cosy131

Is dit nu medical-imaging data van patienten of eerder "control-plane" data van het toestel zelf ?
Toestellen als MRI's zijn complexe apparaten. Is dit een soort "monitoring" service oid ? Of diagnose-service om vanop afstand de toestellen te testen oid?

Als het eigenlijk beeldvorming-info is gekoppeld aan patienten vergeet dan gewoon je plan. Geen enkel ziekenhuis zal dit ooit toestaan om dat rechtstreeks langs de achterdeur weg te sluizen!
Eerder zal de data intern blijven en met een soort "geijkte" B2B koppeling zal een andere partij hieraan kunnen. Zo'n ketting kan ik me voorstellen.