SlideShare ist ein Scribd-Unternehmen logo
qaware.de
Migration von stark regulierten
Anwendungen in die Cloud:
Dem Teufel die Seele verkaufen oder
Himmel auf Erden?
Dr. Josef Adersberger
josef.adersberger@qaware.de
2
QAware
Das Nutzenpotenzial medizinischer Daten ist enorm:
Für das Menschenleben UND
die betriebswirtschafliche Effizienz.
3
QAware
Gesetzliche Vorgaben
Vorbehalte der Beteiligten Compliance
Verschlossene
Systeme
4
QAware
QAware
Wenn dann gleich in der Cloud!
6
Der technische Wandel: Agile Infrastrukturen und Plattformen als notwendige Voraussetzung für agile Produkt-Organisationen
Der Kulturwandel: Eine agile cloud-native Produkt-Organisation - attraktiv für Talente & erfolgreich im Produktgeschäft
[1] Josef Adersberger, Johannes Siedersleben, The Cloud Native Stack: Building Cloud Applications as Google Does, Buch: Digital Marketplaces Unleashed, Springer
[2] Christian Kamm, Johannes Weigend, Josef Adersberger, Cloud-native als Wegbereiter für autonome Systeme und Produktorientierung, ObjektSpektrum 05/2019
[3] DORA: 2019 Accelerate State of DevOps Report https://cloud.google.com/devops/state-of-devops
Hohe Release-Taktung
durch Continuous Delivery
und MTTR Fokus (up to 208x
more releases, 106x faster
time2market, 7x lower change
failure rate [3])
Schnellere Time-to-Market
durch geringere
Verbauungstiefe und
höheren
Automatisierungsgrad
(106x faster time2market [3])
Geringere langfristige
Opportunitätskosten durch
elastische Infrastruktur und
Kosten nach Verbrauch
(Referenz: Auslastung 23% ->
69%, Break even Migration durch
Betriebskostenersparnis: 3 Jahre)
Diese Vorteile ermöglichen Cloud-Infrastrukturen und -Plattformen
- sie müssen aber erst noch auf Anwendungsebene erschlossen werden (Referenz: 40 - 150 PT, Ø 64 PT pro Anwendung).
Höhere Robustheit der
Systeme durch Security-
Controls und Resilienz-
Mechanismen
(up to 2604x faster MTTR [3],
Referenz: Verfügbarkeit
Gesamtlandschaft 91% -> 99,7%)
Intrapreneurship:
Feature-getriebene
Investitionsrunden in kleinen
Schritten möglich in einer
Lean Startup Methodik
Design Thinking als
Paradigma der Produkt-
entwicklung: Klein starten,
Experimente machen, aus
Nutzerverhalten lernen
BizDevOps:
Produktmanagement,
Entwicklung und Betrieb
kann (muss) enger integriert
werden
Neue Geschäftsmodelle:
Abo-Modelle, Marktplätze
und Ökosysteme, On
Demand Up- und Cross-
Selling, …
7
QAware
#1: Sei Dir klar, wer
auf welcher Basis urteilt!
… und binde diese von Stunde 0 mit ein.
8
QAware
#2: Traue niemanden!
Cloud Provider Services
Eigener
Schlüsselverwalte
r
Verschlüsselter
Datenspeicher
Eigener
Identitätsverwalter
Türsteher am
Eingang
Ingress Service
● Jeden Benutzer
authentifizieren (i.d.R. 2FA)
● Öffentlichen Schlüssel für
jeden Benutzer holen
● Jeden Benutzer autorisieren
Türsteher vor
den Daten
Service Mesh
● Jeder Übertragungsweg
verschlüsselt (TLS 1.3)
● Service-Authentifizierung
● Service-zu-Service Autorisierung
Datenbank mit
allen Daten
verschlüsselt
Data Service (GraphQL)
● Fachliche
Autorisierung von
Datenzugriffen (Darf
A über B die Daten C
zugreifen?)
● Datensichten
herstellen, die das
Datenschutzniveau
direkt senken
● Auditierung von
Zugriffen
Data Container
Data Pod
(in memory & on transport)
● für Ziel-Nutzer
verschlüsselte Daten
● Integritätsprüfungen und
Veränderungsschutz
Cloud Native Application
Secure Application
Blueprint
● Vulnerability
Management
● Umgang mit
Credentials
10
QAware
#3: Führe kontinuierlich den Nachweis,
dass Du alles im Griff hast!
Continuous
PenTesting
Continuous
Vulnerability
Scanning
Continuous
Auditing
Vorgaben
C5 Standard
OWASP
Top 10
Compliance
Vorgaben
Ziele
Nicht-Abstreitbarkeit
von Veränderungen an
Privatgeheimnissen
Risiken und
Bedrohungen
Angreifer modifizieren
unerkannt und nicht
nachvollziehbar
Privatgeheimnisse und
erzeugen damit
Gesundheitsrisiken
Risiko-
bewertung
Wahrscheinlichkeit: S
Auswirkung: XL
● Intrusion Detection
● Data Pods
● Data Service
Maßnahmen
(technisch und
organisatorisch)
12
QAware
#4: Sicherer Betrieb
Kein Backup -
Kein Mitleid
(Achtung: verschlüsselt!)
Security
Operations Center
● Anomalien erkennen
(Logs, Traces, Metriken)
● Incident Response
13
QAware

Weitere ähnliche Inhalte

Ähnlich wie Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die Seele verkaufen oder Himmel auf Erden?

Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue Normal
QAware GmbH
 

Ähnlich wie Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die Seele verkaufen oder Himmel auf Erden? (20)

Windows 365 oder Azure Virtual Desktop?
Windows 365 oder Azure Virtual Desktop?Windows 365 oder Azure Virtual Desktop?
Windows 365 oder Azure Virtual Desktop?
 
Cloud Ready? Migration von Anwendungen in die Cloud
Cloud Ready? Migration von Anwendungen in die CloudCloud Ready? Migration von Anwendungen in die Cloud
Cloud Ready? Migration von Anwendungen in die Cloud
 
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
 
IBM Connected
IBM ConnectedIBM Connected
IBM Connected
 
Mobiles und flexibles Arbeiten mit der CANCOM AHP Private Cloud
Mobiles und flexibles Arbeiten mit der CANCOM AHP Private CloudMobiles und flexibles Arbeiten mit der CANCOM AHP Private Cloud
Mobiles und flexibles Arbeiten mit der CANCOM AHP Private Cloud
 
Agile Business Software mit der Enterprise Cloud
Agile Business Software mit der Enterprise CloudAgile Business Software mit der Enterprise Cloud
Agile Business Software mit der Enterprise Cloud
 
Migration von Aftersales Systemen auf eine Cloud Plattform
Migration von Aftersales Systemen auf eine Cloud PlattformMigration von Aftersales Systemen auf eine Cloud Plattform
Migration von Aftersales Systemen auf eine Cloud Plattform
 
Dr. Ingo Laue - Microsoft Azure | Projekt-Erfahrungen
Dr. Ingo Laue - Microsoft  Azure | Projekt-ErfahrungenDr. Ingo Laue - Microsoft  Azure | Projekt-Erfahrungen
Dr. Ingo Laue - Microsoft Azure | Projekt-Erfahrungen
 
Internet of Things Architecture
Internet of Things ArchitectureInternet of Things Architecture
Internet of Things Architecture
 
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.Steinzeit war gestern! Wege der Cloud-nativen Evolution.
Steinzeit war gestern! Wege der Cloud-nativen Evolution.
 
ForgeRock Webinar - Was ist Identity Relationship Management?
ForgeRock Webinar - Was ist Identity Relationship Management?ForgeRock Webinar - Was ist Identity Relationship Management?
ForgeRock Webinar - Was ist Identity Relationship Management?
 
Modernes Rechenzentrum
Modernes Rechenzentrum Modernes Rechenzentrum
Modernes Rechenzentrum
 
Vodafone Cloud & Hosting Services
Vodafone Cloud & Hosting Services Vodafone Cloud & Hosting Services
Vodafone Cloud & Hosting Services
 
Webinar - Sehr empfehlenswert: wie man aus Daten durch maschinelles Lernen We...
Webinar - Sehr empfehlenswert: wie man aus Daten durch maschinelles Lernen We...Webinar - Sehr empfehlenswert: wie man aus Daten durch maschinelles Lernen We...
Webinar - Sehr empfehlenswert: wie man aus Daten durch maschinelles Lernen We...
 
Ist Ihr Unternehmen reif für Microservices?
Ist Ihr Unternehmen reif für Microservices?Ist Ihr Unternehmen reif für Microservices?
Ist Ihr Unternehmen reif für Microservices?
 
Magento Commerce Cloud Edition
Magento Commerce Cloud EditionMagento Commerce Cloud Edition
Magento Commerce Cloud Edition
 
Innovationen aus der Cloud ganz einfach nutzen
Innovationen aus der Cloud ganz einfach nutzenInnovationen aus der Cloud ganz einfach nutzen
Innovationen aus der Cloud ganz einfach nutzen
 
Der Weg zum vernetzten Spital: Von Silos zum Workflow
Der Weg zum vernetzten Spital: Von Silos zum WorkflowDer Weg zum vernetzten Spital: Von Silos zum Workflow
Der Weg zum vernetzten Spital: Von Silos zum Workflow
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue Normal
 
Webinar Cloud als Bindeglied
Webinar Cloud als BindegliedWebinar Cloud als Bindeglied
Webinar Cloud als Bindeglied
 

Mehr von QAware GmbH

"Mixed" Scrum-Teams – Die richtige Mischung macht's!
"Mixed" Scrum-Teams – Die richtige Mischung macht's!"Mixed" Scrum-Teams – Die richtige Mischung macht's!
"Mixed" Scrum-Teams – Die richtige Mischung macht's!
QAware GmbH
 

Mehr von QAware GmbH (20)

50 Shades of K8s Autoscaling #JavaLand24.pdf
50 Shades of K8s Autoscaling #JavaLand24.pdf50 Shades of K8s Autoscaling #JavaLand24.pdf
50 Shades of K8s Autoscaling #JavaLand24.pdf
 
Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...
Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...
Make Agile Great - PM-Erfahrungen aus zwei virtuellen internationalen SAFe-Pr...
 
Fully-managed Cloud-native Databases: The path to indefinite scale @ CNN Mainz
Fully-managed Cloud-native Databases: The path to indefinite scale @ CNN MainzFully-managed Cloud-native Databases: The path to indefinite scale @ CNN Mainz
Fully-managed Cloud-native Databases: The path to indefinite scale @ CNN Mainz
 
Down the Ivory Tower towards Agile Architecture
Down the Ivory Tower towards Agile ArchitectureDown the Ivory Tower towards Agile Architecture
Down the Ivory Tower towards Agile Architecture
 
"Mixed" Scrum-Teams – Die richtige Mischung macht's!
"Mixed" Scrum-Teams – Die richtige Mischung macht's!"Mixed" Scrum-Teams – Die richtige Mischung macht's!
"Mixed" Scrum-Teams – Die richtige Mischung macht's!
 
Make Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform EngineeringMake Developers Fly: Principles for Platform Engineering
Make Developers Fly: Principles for Platform Engineering
 
Der Tod der Testpyramide? – Frontend-Testing mit Playwright
Der Tod der Testpyramide? – Frontend-Testing mit PlaywrightDer Tod der Testpyramide? – Frontend-Testing mit Playwright
Der Tod der Testpyramide? – Frontend-Testing mit Playwright
 
Was kommt nach den SPAs
Was kommt nach den SPAsWas kommt nach den SPAs
Was kommt nach den SPAs
 
Cloud Migration mit KI: der Turbo
Cloud Migration mit KI: der Turbo Cloud Migration mit KI: der Turbo
Cloud Migration mit KI: der Turbo
 
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
 
Endlich gute API Tests. Boldly Testing APIs Where No One Has Tested Before.
Endlich gute API Tests. Boldly Testing APIs Where No One Has Tested Before.Endlich gute API Tests. Boldly Testing APIs Where No One Has Tested Before.
Endlich gute API Tests. Boldly Testing APIs Where No One Has Tested Before.
 
Kubernetes with Cilium in AWS - Experience Report!
Kubernetes with Cilium in AWS - Experience Report!Kubernetes with Cilium in AWS - Experience Report!
Kubernetes with Cilium in AWS - Experience Report!
 
50 Shades of K8s Autoscaling
50 Shades of K8s Autoscaling50 Shades of K8s Autoscaling
50 Shades of K8s Autoscaling
 
Kontinuierliche Sicherheitstests für APIs mit Testkube und OWASP ZAP
Kontinuierliche Sicherheitstests für APIs mit Testkube und OWASP ZAPKontinuierliche Sicherheitstests für APIs mit Testkube und OWASP ZAP
Kontinuierliche Sicherheitstests für APIs mit Testkube und OWASP ZAP
 
Service Mesh Pain & Gain. Experiences from a client project.
Service Mesh Pain & Gain. Experiences from a client project.Service Mesh Pain & Gain. Experiences from a client project.
Service Mesh Pain & Gain. Experiences from a client project.
 
50 Shades of K8s Autoscaling
50 Shades of K8s Autoscaling50 Shades of K8s Autoscaling
50 Shades of K8s Autoscaling
 
Blue turns green! Approaches and technologies for sustainable K8s clusters.
Blue turns green! Approaches and technologies for sustainable K8s clusters.Blue turns green! Approaches and technologies for sustainable K8s clusters.
Blue turns green! Approaches and technologies for sustainable K8s clusters.
 
Per Anhalter zu Cloud Nativen API Gateways
Per Anhalter zu Cloud Nativen API GatewaysPer Anhalter zu Cloud Nativen API Gateways
Per Anhalter zu Cloud Nativen API Gateways
 
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
Aus blau wird grün! Ansätze und Technologien für nachhaltige Kubernetes-Cluster
 
How to speed up Spring Integration Tests
How to speed up Spring Integration TestsHow to speed up Spring Integration Tests
How to speed up Spring Integration Tests
 

Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die Seele verkaufen oder Himmel auf Erden?

  • 1. qaware.de Migration von stark regulierten Anwendungen in die Cloud: Dem Teufel die Seele verkaufen oder Himmel auf Erden? Dr. Josef Adersberger josef.adersberger@qaware.de
  • 2. 2 QAware Das Nutzenpotenzial medizinischer Daten ist enorm: Für das Menschenleben UND die betriebswirtschafliche Effizienz.
  • 3. 3 QAware Gesetzliche Vorgaben Vorbehalte der Beteiligten Compliance Verschlossene Systeme
  • 6. Wenn dann gleich in der Cloud! 6 Der technische Wandel: Agile Infrastrukturen und Plattformen als notwendige Voraussetzung für agile Produkt-Organisationen Der Kulturwandel: Eine agile cloud-native Produkt-Organisation - attraktiv für Talente & erfolgreich im Produktgeschäft [1] Josef Adersberger, Johannes Siedersleben, The Cloud Native Stack: Building Cloud Applications as Google Does, Buch: Digital Marketplaces Unleashed, Springer [2] Christian Kamm, Johannes Weigend, Josef Adersberger, Cloud-native als Wegbereiter für autonome Systeme und Produktorientierung, ObjektSpektrum 05/2019 [3] DORA: 2019 Accelerate State of DevOps Report https://cloud.google.com/devops/state-of-devops Hohe Release-Taktung durch Continuous Delivery und MTTR Fokus (up to 208x more releases, 106x faster time2market, 7x lower change failure rate [3]) Schnellere Time-to-Market durch geringere Verbauungstiefe und höheren Automatisierungsgrad (106x faster time2market [3]) Geringere langfristige Opportunitätskosten durch elastische Infrastruktur und Kosten nach Verbrauch (Referenz: Auslastung 23% -> 69%, Break even Migration durch Betriebskostenersparnis: 3 Jahre) Diese Vorteile ermöglichen Cloud-Infrastrukturen und -Plattformen - sie müssen aber erst noch auf Anwendungsebene erschlossen werden (Referenz: 40 - 150 PT, Ø 64 PT pro Anwendung). Höhere Robustheit der Systeme durch Security- Controls und Resilienz- Mechanismen (up to 2604x faster MTTR [3], Referenz: Verfügbarkeit Gesamtlandschaft 91% -> 99,7%) Intrapreneurship: Feature-getriebene Investitionsrunden in kleinen Schritten möglich in einer Lean Startup Methodik Design Thinking als Paradigma der Produkt- entwicklung: Klein starten, Experimente machen, aus Nutzerverhalten lernen BizDevOps: Produktmanagement, Entwicklung und Betrieb kann (muss) enger integriert werden Neue Geschäftsmodelle: Abo-Modelle, Marktplätze und Ökosysteme, On Demand Up- und Cross- Selling, …
  • 7. 7 QAware #1: Sei Dir klar, wer auf welcher Basis urteilt! … und binde diese von Stunde 0 mit ein.
  • 9. Cloud Provider Services Eigener Schlüsselverwalte r Verschlüsselter Datenspeicher Eigener Identitätsverwalter Türsteher am Eingang Ingress Service ● Jeden Benutzer authentifizieren (i.d.R. 2FA) ● Öffentlichen Schlüssel für jeden Benutzer holen ● Jeden Benutzer autorisieren Türsteher vor den Daten Service Mesh ● Jeder Übertragungsweg verschlüsselt (TLS 1.3) ● Service-Authentifizierung ● Service-zu-Service Autorisierung Datenbank mit allen Daten verschlüsselt Data Service (GraphQL) ● Fachliche Autorisierung von Datenzugriffen (Darf A über B die Daten C zugreifen?) ● Datensichten herstellen, die das Datenschutzniveau direkt senken ● Auditierung von Zugriffen Data Container Data Pod (in memory & on transport) ● für Ziel-Nutzer verschlüsselte Daten ● Integritätsprüfungen und Veränderungsschutz Cloud Native Application Secure Application Blueprint ● Vulnerability Management ● Umgang mit Credentials
  • 10. 10 QAware #3: Führe kontinuierlich den Nachweis, dass Du alles im Griff hast! Continuous PenTesting Continuous Vulnerability Scanning Continuous Auditing
  • 11. Vorgaben C5 Standard OWASP Top 10 Compliance Vorgaben Ziele Nicht-Abstreitbarkeit von Veränderungen an Privatgeheimnissen Risiken und Bedrohungen Angreifer modifizieren unerkannt und nicht nachvollziehbar Privatgeheimnisse und erzeugen damit Gesundheitsrisiken Risiko- bewertung Wahrscheinlichkeit: S Auswirkung: XL ● Intrusion Detection ● Data Pods ● Data Service Maßnahmen (technisch und organisatorisch)
  • 12. 12 QAware #4: Sicherer Betrieb Kein Backup - Kein Mitleid (Achtung: verschlüsselt!) Security Operations Center ● Anomalien erkennen (Logs, Traces, Metriken) ● Incident Response