MedTech Stars, Webkonferenz, September 2023, Josef Adersberger (CEO bei QAware)
== Dokument bitte herunterladen, falls unscharf! Please download slides if blurred! ==
Der Vortrag „Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die Seele verkaufen oder Himmel auf Erden?“ erkundet das wachsende Bedürfnis und die Herausforderungen, medizinische Anwendungen in die Cloud zu migrieren.
Bei den entsprechenden Anwendungen stellt laut einer Umfrage der Datenschutz für 82% der Anwendungen die größte Herausforderung dar, um den Schritt in die Cloud zu machen. Trotzdem wächst der Druck, diesen Schritt zu vollziehen, aufgrund des Innovations- und Digitalisierungsbedarfs, der durch gesetzliche Initiativen wie das Krankenhaus-Zukunftsgesetz, gestiegene Patientenerwartungen und den immer klareren medizinischen Impact der Digitalisierung angetrieben wird.
Die zentrale Frage, die in diesem Vortrag erörtert wird, ist, wie man hochregulierte Anwendungen schrittweise in die Cloud migrieren kann. Hierzu werden wir einen Ansatz vorstellen und anhand von exemplarischen Anwendungen demonstrieren, wie eine solche Migration erfolgreich durchgeführt werden kann. Abschließend fassen wir den Vortrag mit fünf leitenden Prinzipien zusammen, die bei der Migration von stark regulierten Anwendungen in die Cloud beachtet werden sollten. Diese Prinzipien bieten einen nützlichen Leitfaden für Unternehmen und Institutionen, die den Umzug ihrer Anwendungen in die Cloud erwägen, und sollen dazu beitragen, die Herausforderungen der Cloud-Migration in diesem hochregulierten Bereich erfolgreich zu bewältigen.
Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die Seele verkaufen oder Himmel auf Erden?
1. qaware.de
Migration von stark regulierten
Anwendungen in die Cloud:
Dem Teufel die Seele verkaufen oder
Himmel auf Erden?
Dr. Josef Adersberger
josef.adersberger@qaware.de
6. Wenn dann gleich in der Cloud!
6
Der technische Wandel: Agile Infrastrukturen und Plattformen als notwendige Voraussetzung für agile Produkt-Organisationen
Der Kulturwandel: Eine agile cloud-native Produkt-Organisation - attraktiv für Talente & erfolgreich im Produktgeschäft
[1] Josef Adersberger, Johannes Siedersleben, The Cloud Native Stack: Building Cloud Applications as Google Does, Buch: Digital Marketplaces Unleashed, Springer
[2] Christian Kamm, Johannes Weigend, Josef Adersberger, Cloud-native als Wegbereiter für autonome Systeme und Produktorientierung, ObjektSpektrum 05/2019
[3] DORA: 2019 Accelerate State of DevOps Report https://cloud.google.com/devops/state-of-devops
Hohe Release-Taktung
durch Continuous Delivery
und MTTR Fokus (up to 208x
more releases, 106x faster
time2market, 7x lower change
failure rate [3])
Schnellere Time-to-Market
durch geringere
Verbauungstiefe und
höheren
Automatisierungsgrad
(106x faster time2market [3])
Geringere langfristige
Opportunitätskosten durch
elastische Infrastruktur und
Kosten nach Verbrauch
(Referenz: Auslastung 23% ->
69%, Break even Migration durch
Betriebskostenersparnis: 3 Jahre)
Diese Vorteile ermöglichen Cloud-Infrastrukturen und -Plattformen
- sie müssen aber erst noch auf Anwendungsebene erschlossen werden (Referenz: 40 - 150 PT, Ø 64 PT pro Anwendung).
Höhere Robustheit der
Systeme durch Security-
Controls und Resilienz-
Mechanismen
(up to 2604x faster MTTR [3],
Referenz: Verfügbarkeit
Gesamtlandschaft 91% -> 99,7%)
Intrapreneurship:
Feature-getriebene
Investitionsrunden in kleinen
Schritten möglich in einer
Lean Startup Methodik
Design Thinking als
Paradigma der Produkt-
entwicklung: Klein starten,
Experimente machen, aus
Nutzerverhalten lernen
BizDevOps:
Produktmanagement,
Entwicklung und Betrieb
kann (muss) enger integriert
werden
Neue Geschäftsmodelle:
Abo-Modelle, Marktplätze
und Ökosysteme, On
Demand Up- und Cross-
Selling, …
7. 7
QAware
#1: Sei Dir klar, wer
auf welcher Basis urteilt!
… und binde diese von Stunde 0 mit ein.
9. Cloud Provider Services
Eigener
Schlüsselverwalte
r
Verschlüsselter
Datenspeicher
Eigener
Identitätsverwalter
Türsteher am
Eingang
Ingress Service
● Jeden Benutzer
authentifizieren (i.d.R. 2FA)
● Öffentlichen Schlüssel für
jeden Benutzer holen
● Jeden Benutzer autorisieren
Türsteher vor
den Daten
Service Mesh
● Jeder Übertragungsweg
verschlüsselt (TLS 1.3)
● Service-Authentifizierung
● Service-zu-Service Autorisierung
Datenbank mit
allen Daten
verschlüsselt
Data Service (GraphQL)
● Fachliche
Autorisierung von
Datenzugriffen (Darf
A über B die Daten C
zugreifen?)
● Datensichten
herstellen, die das
Datenschutzniveau
direkt senken
● Auditierung von
Zugriffen
Data Container
Data Pod
(in memory & on transport)
● für Ziel-Nutzer
verschlüsselte Daten
● Integritätsprüfungen und
Veränderungsschutz
Cloud Native Application
Secure Application
Blueprint
● Vulnerability
Management
● Umgang mit
Credentials
10. 10
QAware
#3: Führe kontinuierlich den Nachweis,
dass Du alles im Griff hast!
Continuous
PenTesting
Continuous
Vulnerability
Scanning
Continuous
Auditing
11. Vorgaben
C5 Standard
OWASP
Top 10
Compliance
Vorgaben
Ziele
Nicht-Abstreitbarkeit
von Veränderungen an
Privatgeheimnissen
Risiken und
Bedrohungen
Angreifer modifizieren
unerkannt und nicht
nachvollziehbar
Privatgeheimnisse und
erzeugen damit
Gesundheitsrisiken
Risiko-
bewertung
Wahrscheinlichkeit: S
Auswirkung: XL
● Intrusion Detection
● Data Pods
● Data Service
Maßnahmen
(technisch und
organisatorisch)
12. 12
QAware
#4: Sicherer Betrieb
Kein Backup -
Kein Mitleid
(Achtung: verschlüsselt!)
Security
Operations Center
● Anomalien erkennen
(Logs, Traces, Metriken)
● Incident Response