CASE: Multi-region active/active AWS-HMS til håndtering af IAM til patientapp og medicinsk doseringsdevice

Global markedsleder inden for life science-devices har udviklet løsning til monitorering, måling og styring af dosering af medicin med personlige injektionspenne med VPC-data udvekslet via asymmetrisk krypteret VPN/Bluetouth. For overholdelse af yderst restriktivt governance- og compliance-regime er en HMS-service til håndtering af udstedelse af public/private keys og certificering, IAM samt højst mulig availability/reliability license-to-operate.

KeyCore udviklede ny multi-region AWS-platform, med integration til Azure AD for SSO og faciliterede migration af data og protokoller.

UDFORDRING

Klienten ønskede at migrere en eksisterende platform fra anden cloudprovider til AWS. Løsningen skulle give krypterede nøgler til compliant forbindelse med medicinsk udstyr og patientapps.

Den eksisterende løsning imødekom ikke i tilstrækkelig grad behovene for at forbinde enheder og apps på en måde, der ville sikre overholdelse af NIST-kravene, så en ny løsning var påkrævet.

Et eksisterende forslag til udviklingen af ny AWS-platform til håndtering af udstedelse af public/private keys og certifikater til dataudveksling via tredjepart-API var bundet til en specifik availability-zone (AZ) i hver region, hvilket havde en indbygget sårbarhed. Forslaget opererede desuden med et active/passive-setup med risiko for manglende balancing, overload og potentielle udfald.

Onboarding og IAM for tredjepart manglede alignment med eksisterende protokoller og policies i Azure AD.

LØSNING

Løsningen er orkestreret for at møde klientens krav om:

  • Høj usage of managed services
  • Høj grad af automatization
  • Høj availability.

Løsningen fra KeyCore er en 4-lags arkitektur, designet til at udnytte 3 availability-zoner pr. region. Løsningen fungerer, selvom kun en enkelt availability-zone er tilgængelig i en region.

Løsning har desuden et activ/active setup med sub-second synkronisering på tværs af alle regioner worldwide.

For governance, compliance, operational auditing og risk auditing med overholdelse af NIST 800-130 og 140-xx-krav er løsningen orkestreret med to typer accounts i AWS CloudTrail:

  • Personlig: Knyttet til slutbrugeren
  • Partner: Håndteres af partner (KeyCore), der formidler logs til S3 bucket

For at understøtte enkle, hurtige og compliant arbejdsgange for såvel egne ansatte og eksterne partnere bliver IAM orkestreret via en MS Active Directory-integration eller data indtastet direkte i et særligt graphical user interface (GUI) udviklet af KeyCore. Løsningen giver adgang til SSO med MFA.

AWS Services

  • CloudFormation
  • CloudTrail
  • CloudWatch
  • Config
  • GuardDuty
  • Route53
  • AWS WAF
  • AWS S3
  • AWS VPC
  • AWS Lambda
  • AWS API Gateway
Scroll til toppen
Share via
Copy link
Powered by Social Snap