DEXHELPP Research Server

Motivation & Hintergrund

Der DEXHELPP Research Server (DRS) ist als sichere, flexible und performante Umgebung für kollaboratives Arbeiten entwickelt worden. Das gemeinsame Analysieren sensibler Daten aus unterschiedlichen Quellen ist eines der methodischen Ziele von DEXHELPP und stellt somit auch die Voraussetzung anwendungsnaher Projekte dar. Die Infrastruktur in Form von Sicherheitseinrichtungen, Serversystemen, Software und Dokumentation rund um bestehende Gesundheitssystemdaten sind in den letzten 18 Monaten entwickelt worden und werden jetzt gemeinsam mit weiteren Partnern praktisch eingesetzt.

Dabei werden keine Daten dauerhaft gespeichert, sondern die Daten werden für aktuelle Forschungsfragestellungen von den schon jetzt berechtigten Einrichtungen, nach einem eigens entwickelten Prozess zeitlich begrenzt, für je nach Forschungsprojekt definierte F&E Einrichtungen zur Verfügung gestellt. Die Daten lassen keine Identifikation einzelner Patienten zu, sondern dienen ausschließlich der nachvollziehbaren und evidenten Analyse und Prognose des Gesundheitssystems. Die Ergebnisse stehen nach klar festgelegten Regeln, den Dateneigentümern, der wissenschaftlichen Community sowie der Öffentlichkeit zur Verfügung.

Der DRS bietet eine leistungsfähige Infrastruktur, auf deren Basis viele unterschiedliche Anwendungsfälle abgedeckt werden können. Neben großen, redundant ausgelegtem Massenspeicher stehen zum Beispiel auch moderner SSD Speicher und ausreichend Arbeitsspeicher zur Verfügung. Dabei wurde neben der Kosteneffizienz auch auf Möglichkeiten des vertikalen (Erweiterung des aktuellen Servers) und horizontalen (d.h. Hinzufügen weiterer Geräte) Wachstums geachtet.

Technische Umsetzung

Der DRS ist ein leistungsfähiger Server mit aktueller Hardwareausstattung, der im TU Rechenzentrum in einem gesicherten Serverraum gehostet wird. Moderne, flexibel eingesetzte Softwarelösungen für Forscher, Anwender und Administratoren stehen neben den Sicherheitsaspekten im Fokus des DRS. Dieser physische Server stellt seine Dienste mit Hilfe von virtuellen Maschinen bereit, die eine effiziente Nutzung der Ressourcen des Geräts gewährleisten. Die virtuellen Maschinen selbst wiederum bieten Arbeitsbereiche für die definierten Forschungsprojekte des DEXHELPP Konsortiums und erlauben es somit, die unterschiedlichen Rechen- und Arbeitsumgebungen klar voneinander zu trennen.

Die virtualisierte Forschungsumgebung: DRS

Durch den Einsatz innovativer Technologien können die verwendeten Programme sauber voneinander getrennt werden, ohne Hürden bei der Anwendung und dem Austausch von Daten und Informationen zu schaffen. Zentrale Services auf Basis von Software-Containern werden dabei mit bewährter Virtualisierung ganzer Betriebssysteme kombiniert. Hervorzuheben ist dabei eine spezialisierte Umgebung, die durch eigens angeschaffte Hardware beschleunigte visuelle Datenauswertung per gesichertem Remote Desktop anbietet.

Sicherheitsaspekte

Die gesamte DRS Infrastruktur befindet sich innerhalb eines virtuellen privaten Netzwerks (VPN), auf das nur die Mitglieder des DEXHELPP Konsortiums Zugriff haben bzw. in Zukunft kooperierende Forschungspartner. Dieses VPN entspricht aktuellen Industriestandards, ist stark verschlüsselt und gewährt nur jenen Mitgliedern Zugriff, die sich anhand eines sicheren Passwortes sowie eines Tokens eindeutig authentifizieren können. Durch diese Zwei-Faktor-Authentifizierung mittels des Passworts und eines zeitabhängigen Schlüssels der nur vom Token generiert werden kann, wird ein sehr hohes Sicherheitsniveau erreicht, der dem aktuellen Stand der Sicherheitstechnik entspricht.

Nachdem sich der Benutzer authentifiziert hat, erfolgt der Zugriff auf die Dienste des DRS. Ein ausgeklügeltes Berechtigungssystem stellt sicher, dass nur jene Projektmitglieder Zugriff auf Daten- und Rechenressourcen haben, die eine (zeitlich limitierte) Freigabe für das konkrete Projekt besitzen. Diese Freigaben werden dynamisch, d.h. je nach den Anforderungen des aktuellen Projektverlaufs angepasst, was bedeutet, dass Berechtigungen sowohl dynamisch hinzugefügt, als auch wieder entzogen werden können. Diese Zuordnung von Berechtigungen erfolgt nachvollziehbar und transparent.

Der Datenaustausch findet prinzipiell und ausschließlich über die verschlüsselte und abhörsichere VPN-Leitung statt. Das VPN Netzwerk selbst ist vom allgemeinen Internet durch eine Firewall abgetrennt und erlaubt keinen Internetzugriff direkt von den einzelnen virtuellen Maschinen des DRS. Einzige Ausnahme ist die sogenannte Datenschleuse, die den einzigen Punkt darstellt, über den Daten von außerhalb in die DRS Infrastruktur gelangen und auch wieder verlassen können. Diese Datenaustauschoperationen erfolgen innerhalb eines eigenen Systems, das nur auf Anforderung hin und nach der automatischen Überprüfung der Berechtigungen die Austauschdienste zur Verfügung stellt. Wie alle Systeme innerhalb der DSR Landschaft, loggt die Datenschleuse jeden Datenzu und -abfluss sowie die Benutzerkennungen in einem zentralen und speziell gesicherten Log-Server mit und speichert diese Logs für die Laufzeit des Projektes ab. Durch dieses System bleibt nachvollziehbar erhalten, welcher User welche Daten in das System geladen und aus dem System herunter geladen hat.

Optional können Datensets durch digitale Wasserzeichen individuellen Nutzern zugeordnet werden, wodurch etwaige Datenlenks direkt Personen zugeordnet werden können, die mit dem Datenset gearbeitet haben. Zusätzliche Anonymisierungsmaßnahmen verhindern den Abfluss sensibler Daten, die einzelnen Personen zugeordnet werden könnten.

Überblick aktiver und passiver Sicherheitsmaßnahmen
  • Physische Sicherheit beider Server im Rechenzentrum

  • Aktive Sicherheitssysteme

    • Cisco VPN und Firewall

    • LDAP

    • Zweifaktor Authentifizierung

    • Datenschleuse

  • Passive Sicherheitssysteme

    • Fingerprinting und Watermarking zum Nachweis von Lecks

    • Datenidentifikation

    • Zentralisierte, automatisierte Logs

    • Audits

    • Backups