ROBUST MOBILT HELSENETT Arkitekturalternativ Dato: 24.05.2017 Versjonsnr: 1.0 Godkjenning Organisasjon Navn Dato Versjonsnr. UNN / Nasjonal Jon Mathisen 24.05.2017 1.0 IKT
Innhold 1 Innledning... 3 1.1 Endringshistorikk... 3 1.2 Bakgrunn... 3 1.3 Organisering av arbeidet... 3 1.4 Forankringsprosess... 4 2 Helsenettet og mobiloperatører... 5 2.1 Stamnettet i Norsk Helsenett... 5 2.2 Mobiloperatører... 5 3 Arkitekturalternativ... 7 3.1 Kommunikasjon fra ambulanse til mottak... 7 3.2 Alternativ 1 Arkitektur med sentralt mottak... 7 3.3 Alternativ 2 - påbygg fra regionene på Alternativ 1... 8 3.4 Alternativ 3 Mottak «mellom» NHN og RHFene... 9 3.5 Alternativ 4 - Mottak hos nhn, VPN fra nhn-mottak til RHF... 10 4 Anbefaling fra arbeid med arkitektur.... 12 Robust mobilt helsenett Arkitekturalternativ 2
1 Innledning 1.1 Endringshistorikk Versjon Endring Dato Forfatter 0.9 Versjon basert på ppt presentasjoner brukt i arkitekturarbeid i prosjektet. 1.0 Oppdatert etter godkjenning i prosjektstyremøte 24.05.2017 16.05.2017 Gaute Nygreen 25.05.2017 Rune Holger Andersen 1.2 Bakgrunn I tråd med den økende omfanget av mobile tjenester, så skapes det et behov for et sikrere og mer robust mobilt samband. I helsesektoren ser vi det dette gjennom et stadig større behov for oppkobling av mobile enheter, med tilhørende tjenester, opp mot helsenettet. Dette prosjektet retter seg primært mot å støtte dagens og fremtidens behov for robust mobil kommunikasjon i de prehospitale tjenestene og andre ambulerende helsetjenester som jordmødre, sykepleier i felt, blodbuss med mere. Det siktes mot løsninger som dekker ulike behov. I tillegg til utstyr for montering i fartøy vil det også finnes bærbart utstyr som gir tilgang til et robust, mobilt helsenett. Dette utstyret er tiltenkt ulik bruk, eksempelvis for ambulansepersonale som forlater fartøy eller hjemmesykepleier hjemme hos pasient. Prosjektet Robust mobilt helsenett (RMH) ble av NIKTS styre godkjent for planfasen 30.09.2016 og en av leveransene i denne fasen er kravspesifikasjon for Robust Mobilt Helsenett. For å kunne arbeide godt med krav i prosjektet må overordnet arkitektur for løsningen vurderes. For å vurdere den overordnede arkitekturen for løsningen må vi også kjenne til robustheten i helsenettet og mest mulig om trafikkflyt i mobilnettene. Dette dokumentet beskriver undersøkelser som er gjort mot mobiloperatører, informasjon om stamnettet i norsk helsenett og vurderinger som er gjort rundt arkitektur. 1.3 Organisering av arbeidet Arbeidet med arkitektur (og krav) for Robust Mobilt Helsenett har bestått av workshops og videomøter i den utvidede prosjektgruppen. I tillegg er det avholdt møter med hvert RHF og Luftambulansetjenesten separat for å sikre at krav og arkitektur dekker de ulike interessentenes behov. Som startpunkt ble det hentet inn informasjon om hvordan stamnettet i Norsk Helsenett er bygd opp. Vi har forespurt de tre mobiloperatørene med egne nett om trafikkflyten i nettene, 2 av operatørene har gitt gode svar, den siste har ikke svart. Robust mobilt helsenett Arkitekturalternativ 3
Prosjektet har også vurdert arkitekturen opp mot de overordnede målene og effektmålene i prosjektet. Då målene i prosjektet har vært i bakhodet på prosjektgruppen når arkitekturskissene har blitt utviklet så er det lite som skiller og det er vanskelig å peke på mål som ikke kan sies å være oppfylt for alle de 4 arkitekturskissene/variantene som blir diskutert i dette dokumentet. For å sikre at man ender opp med en arkitektur som dekker behovene hos prosjektdeltagernes organisasjoner er arkitekturforslagene også vurdert opp mot kravene prosjektet har arbeidet frem. Denne siste vurderingen kunne først gjøres når kravarbeidet var kommet langt nok. Første utkast av arkitekturskissene som presenteres i dette dokumentet ble utarbeidet tidlig i planleggingsfasen, her så prosjektet til NIKT FA sine arkitekturprinsipp som kunne anvendes for en forholdvis enkel kommunikasjonstjeneste. Arkitekturalternativene har vært gjennom flere iterasjoner. Disse iterasjonene har variert mellom oppdatering basert på krav og oppdatering for å gjøre skissene mer leselige. 1.4 Forankringsprosess Dette dokumentet er basert på presentasjoner utarbeidet i den utvidede prosjektgruppen. Presentasjonene har vært gjennom mange iterasjoner på workshops, videomøter, møter med enkeltorganisasjoner (RHFene og Luftambulansetjenesten). Det er enighet i den utvidede prosjektgruppen om at de to alternativene som anbefales begge dekker behovene som er. Arkitekturalternativene har vært presentert i NIKT FA arkitekturforum 9.3.2017, der fikk prosjektet med seg et par spørsmål om arkitekturalternativ opp mot målene i prosjektet. Prosjektet fant at for å gi et fullgodt svar så måtte også kravene som utarbeides i prosjektet være en del av vurderingen. Prosjektet skal tilbake til NIKT FA arkitekturforum 23.5.2017, der vil svar på spørsmål fra sist presenteres sammen med krav og prosjektet vil be om at NIKT FA stiller seg bak at prosjektet kan gå far planleggingsfasen til gjennomføringsfasen. Robust mobilt helsenett Arkitekturalternativ 4
2 Helsenettet og mobiloperatører 2.1 Stamnettet i Norsk Helsenett Det nye Stamnettet i Norsk Helsenett er designet med 3 separate føringsveier mellom Oslo, Bergen, Trondheim og Tromsø (se figur nedenfor). Det er i dag bare 2 føringsveier mellom Tromsø og Trondheim og mellom Trondheim og Bergen, men det er et mål om at designet skal oppfylles helt. Videre er kjernerutere koblet med sirkel-ruting i hver av byene. Dette gir et robust kjernenett som Robust Mobilt Helsenett kan benytte. For kobling mot de ulike RHFene så er det designet med kantrutere for kobling der regionene ønsker det. For mer informasjon om grunnmur og etablering av trafikkutveksling med mobiloperatørene se kapittel: "2 Drift og forvaltning av grunnmuren" i " Robust mobilt helsenett Drifts- og forvaltningsmodell". 2.2 Mobiloperatører For å få til en mest mulig robust kobling mellom helsenettet og mobiloperatørene er det viktig å vite noe om hvordan trafikken går i mobilnettene. Vi har forhørt oss med Telenor, Telia og Ice om konsentrasjonspunkt trafikk må gjennom. Telenor og Ice har bekreftet at slike punkt er i Oslo, så all slik trafikk går om Oslo. Telenor har for 4G også slike punkt i Tønsberg. Telia har ikke svart etter flere henvendelser, men vi mener at Telia sin trafikk også må via Oslo. Ideelt sett så bør helsenettet kobles mot mobiloperatører så nærme disse konsentrasjonspunktene som mulig. Eksempel på dette er vist i figuren nedenfor. Robust mobilt helsenett Arkitekturalternativ 5
Telenor Telia Ice Trafikk via: Oslo x 2 Trafikk via: Oslo, men ikke bekreftet Trafikk via: Oslo x 2 Helsenettet Mot Telenor så er det etabler 3 utvekslingspunkt for helsenettet i 3 ulike byer, per i dag ser prosjektet ikke behov for å øke dette med et ekstra punkt i Osloområdet. For Ice og Telia bør det etableres redundante koblinger fra helsenettet nærme konsentrasjonspunktene for mobildatatrafikken. Videre arbeid med arkitektur forutsetter at sammenkoblingen mot mobiloperatører gir fornuftig kort geografisk vei fra konsentrasjonspunkt til sammenkoblingspunkt. Robust mobilt helsenett Arkitekturalternativ 6
3 Arkitekturalternativ Dette kapittelet beskriver først hvordan man kan nyttegjøre flere bærere for mobilkommunikasjon, deretter vises arkitekturalternativ som prosjektet har vurdert. For å forenkle figurer så er det ikke tegnet inn redundante mottak alle steder, men enten det er sentrale mottak eller mottak per region så vil det alltid være redundans. 3.1 Kommunikasjon fra ambulanse til mottak For å benytte flere bærere mellom ambulanse (eller annen ambulerende helsetjeneste) og mottak så benyttes teknologi som gir VPN fra ambulansen til mottaket. Denne teknologien gjør at trafikken her krypteres. Teknologien sørger for at IP adressene for medisinteknisk utstyr og datautstyr kan beholdes selv når bæreren byttes fra et mobilnett til et annet. Det er i hovedsak to måter denne teknologien fungerer på bonding og swithcing som vist i figuren nedenfor: Prosjektet ønsker ikke å bestemme seg om Bonding eller Switching er den beste løsningen nå, da ulike leverandører vil ha ulik implementasjon av løsningene. Det må forventes at løsninger bør testes i neste fase for å komme frem til den beste løsningen. 3.2 Alternativ 1 Arkitektur med sentralt mottak Helsenettet er bygd robust med redundante føringsveier, for å få full nytte av denne robustheten er det en forutsetning av at tjenester sikrer seg selv. Hvis vi for RMH kunne forutsatt dette ville løsningen overordnet sett ut slik: Robust mobilt helsenett Arkitekturalternativ 7
Ambulanse Nord Internett Datasenter Nord Ambulanse Midt Datasenter Midt Sentralt mottak Ambulanse Vest Datasenter Vest Helsenettet Ambulanse Sør-Øst Datasenter Sør-Øst Datasenter 1 AMK-System Datasenter 2 AMK-System Teknologien som sørger for å benytte flere bærere (bonding eller switching) sørger for kryptert trafikk inn til Sentralt mottak (lysegrønne linjer). Fra det sentrale mottaket kan trafikk fra tjenester som sikrer seg selv gå korteste vei dit trafikken skal. Eksemplene er datasenter i de ulike regionene og eventuelt nye datasentre for nytt AMK system. Denne trafikken vises med mørkegrønne linjer. Eventuell trafikk til Internett kan rutes til Internett (grå linje). Ikke alle tjenester sikrer seg selv og ved valg av alternativ 1 ville regionene måtte sørge for en egen sikring helt frem til sine egne datasentre. Dette vises i Alternativ 2. 3.3 Alternativ 2 - påbygg fra regionene på Alternativ 1 Sentralt mottak er plassert i Oslo. For å sikre trafikken helt inn til regionene plasserer regionene ut egne rutere i ambulansene og har egne mottak hos seg. Denne løsningen gir dobbel kryptering (med påfølgende overhead) fra ambulanse og inn til sentralt mottak. Der vi i utgangspunktet har potensielt dårligst kapasitet. I tillegg så får man vekten av to rutere i hver ambulanse. Robust mobilt helsenett Arkitekturalternativ 8
Vi tar med dette alternativet for å illustrere hva som kunne blitt et alternativ hvis alternativ 1 hadde blitt implementert. Vi anbefaler ikke dette alternativet. Ambulanse Nord Internett Datasenter Nord Ambulanse Midt Datasenter Midt Sentralt mottak Ambulanse Vest Datasenter Vest Helsenettet Ambulanse Sør-Øst Datasenter Sør-Øst Datasenter 1 AMK-System Datasenter 2 AMK-System Linjene i lilla, rød, gul og brun viser krypterte forbindelser fra ambulanser/ambulerende helsetjenester og inn til regionenes mottak. Videre er lysegrønn, grønn og grå samme som for alternativ 1. 3.4 Alternativ 3 Mottak «mellom» NHN og RHFene Dette er det første av de to alternativ som prosjektet mener vil oppfylle kravspesifikasjonen. Mottak plasseres ute hos RHFene men så nært helsenettet som mulig. Det vil kreve sikkerhetsavtale og databehandleravtale med driftsleverandør da trafikken dekrypteres i mottaket som driftsleverandøren drifter. For dette alternativet forutsettes det at det er mulig med kommunikasjon fra mobilruter til flere mottak (opprettelse av flere tuneller) eller at løsningen støtter hierarkisk oppsett at mottak så trafikken kan rutes til ulike mottak fra det sentrale mottaket. Figuren nedenfor viser løsningen med mulighet for flere tuneller. Det forventes at ulike leverandører har ulike løsninger på denne problemstillingen. Robust mobilt helsenett Arkitekturalternativ 9
Ambulanse Nord Internett Datasenter Nord Ambulanse Midt Datasenter Midt Sentralt mottak Ambulanse Vest Datasenter Vest Helsenettet Ambulanse Sør-Øst Datasenter Sør-Øst Datasenter 1 AMK-System Datasenter 2 AMK-System Fargekodingen er likedan som for alternativ 2. For Ambulanse Nord så vises to tuneller. En til datasenter nord (lilla linje) og en til Datasenter 1 AMK-System (stiplet lilla linje). Noen leverandører sin måte å løse Alternativ 3 på kan bli veldig likedan med Alternativ 4. 3.5 Alternativ 4 - Mottak hos nhn, VPN fra nhn-mottak til RHF Dette er det andre av de to alternativ som prosjektet mener vil oppfylle kravspesifikasjonen. Mottak plasseres sentralt hos NHN og det opprettes VPN fra nhn-mottaket til RHFene og eventuelt fremtidige datasenter for AMK-System. Forskjellen mellom denne løsningen og Alternativ 3 er at i Alternativ 4 så sørger driftsleverandør for VPN videre fra det sentrale mottaket for å sikre trafikken helt frem. Det vil kreve sikkerhetsavtale og databehandleravtale med driftsleverandør da trafikken dekrypteres i mottaket som driftsleverandøren drifter. Dette alternativet har fordelen av at etter hvert som tjenester begynner å sikre seg selv så kan trafikken rutes rett ut på helsenettet istedenfor videre i VPN tuneller. Figuren nedenfor viser dette alternativet. Robust mobilt helsenett Arkitekturalternativ 10
Ambulanse Nord Helsenettet Internett Datasenter Nord Ambulanse Midt Datasenter Midt Sentralt mottak I det sentrale mottaket så dekrypteres trafikken før trafikk til regionene og AMK-system sendes videre i nye VPN. Trafikk til helsenettet og internett rutes direkte dit. Ambulanse Vest Datasenter Vest Ambulanse Sør-Øst Datasenter Sør-Øst Datasenter 1 AMK-System Datasenter 2 AMK-System Fargekodingen i denne figuren er likedan som for tidligere figurer, men VPN tunellene til nord, midt, vest, sør-øst og felles datasenter for AMK system settes opp av driftsleverandør og ikke av løsningen som kjøpes inn. Robust mobilt helsenett Arkitekturalternativ 11
4 Anbefaling fra arbeid med arkitektur. Prosjetet har 2 anbefalinger fra arbeidet med arkitektur. Som beskrevet i 3.1 så anbefales det at prosjektet venter med å ta avgjørelse angående Bonding eller Switching for trafikken fra mobilruter til mottak. Dette da ulike realiseringer av alternativene kan ha ulike styrker og svakheter. Det er ikke gitt at en av løsningene er bedre enn den andre. Når det gjelder alternativer for arkitektur så ser prosjektet at både alternativ 3 (som beskrevet i 3.4) og alternativ 4 (som beskrevet i 3.5) tilfredsstiller kravene til løsning. Prosjektet anbefaler derfor at avgjørelsen mellom alternativ 3 og alternativ 4 utsettes til detaljerte løsningsbeskrivelser fra mulige leverandører er på plass. <end> Robust mobilt helsenett Arkitekturalternativ 12