Spire Healthcare 使用 F5 产品,保障数字化服务发展

Spire Healthcare 是英国领先的私人医疗服务提供商,拥有 38 家医院和 3700 多名顾问,随着服务不断向线上转移,加强应用安全这项任务成为必需。Spire 拥有高度敏感的患者数据,并与包括国家医疗服务 (NHS) 和主要保险公司在内的合作伙伴有着合作关系,同时该机构还要向利益相关者证明,自己的安全性是同行中的佼佼者,值得信赖。2016 年,该机构开始采用 F5 和 Silverline(F5 基于云的托管式应用服务平台)。

业务挑战

随着 Spire 开发出更多面向客户的数字服务(如用于预约、查看个人信息和支付的 MySpire 门户网站),更多敏感的患者数据也转到了线上。

随着风险状况的加剧,技术团队发现自身缺乏有关用户行为的关键信息。现有的系统无法显示客户正在使用哪些设备连接到 Spire 服务,以及客户何时会以不安全的方式进行连接。这种缺乏可见性的情况使团队骑虎难下,无法进行重要的安全更新。

技术运营经理 Rob Sissons 回忆道:“举例来说,我们无法下定决心,阻止通过 SSLv3 进行访问,因为我们无法知道是否有用户在不支持 TLSv1.0 的设备上进行连接。”

除了缺乏进行关键技术更改的信息外,IT 团队还经常发现自己无法对业务内部有关数据安全的询问作出回应。该公司还必须随时应对主要保险公司和 NHS 的审计,两个平台经常会将病人转诊至 Spire,并会确定患者数据是否得到安全存储。

在不影响客户访问服务这一前提下,为了提高数字服务的安全性,Spire 决定寻找一个托管服务提供商,为应用安全保驾护航。

解决方案

为了满足不断变化的安全需求,Spire 选择将 F5® Silverline® Web Application Firewall (WAF) 和 F5® Silverline® DDoS Protection 作为托管服务展开实施,并由 F5 面向客户的安全专家中心 - 安全运营中心 (SOC) - 提供全天候的支持。

Sissons 评论说:“SOC 真的让我们受益匪浅。我们可以非常自信地实施一项更改,因为背后有着专业的技术支持。很多时候,我们可以得到来自专业团队的建议,告诉我们应该如何更好地完成要做的事情。”

SOC 团队已经成为 Spire 开发和实施新应用(包括第三方开发者应用)的一个组成部分。Spire 会通过从一个空白模板开始确定 WAF 策略,然后可以实现列出通过反复测试确定的误报。

Sissons 解释道:“当我们要求扩展一些功能时,SOC 会仔细确认我们的建议。利基临床应用其实并不一定都安全。有那么几次,F5 的意见促使我们又去找第三方软件开发商,指出他们应用所存在的问题。”

在 Spire 与 F5 合作的过程中,该家公司的应用生态系统一直在不断丰富,变得更加复杂。这包括合并 API,使保险公司能够更容易地转诊病人和转移他们的详细信息。Silverline 提供的安全保障使 Spire 能够不断开发和增强其为客户、顾问和主要合作伙伴提供的数字服务。

在 SOC 的支持下,Silverline 的服务也帮助 Spire 实现了与其存储的敏感数据相适应的应用安全水平,并对偶发的重大事件可以做出快速应对。

此外,Silverline 还可以支持 Spire 整体安全策略的演变,提供围绕用户行为的可见性和数据,帮助 IT 团队完善整体安全策略。该产品还可以提供关于客户如何访问服务的详细情况,而这点在以前完全无法实现。

Sissons 说道:“举例来说,对于 TLS 强化,信息安全团队在很大程度上会依赖于 Silverline 提供的数据,这些数据涉及正在发生的连接,以及不安全的连接来源何处。”

不间断的定制化支持

Silverline 另一个重要优势是能够处理 Spire 网络面临的已有威胁。在最近一次重要的 DDoS 攻击中,SOC 在应对中发挥了积极主动的作用,提供了攻击源的信息,并参与了与 Spire 互联网服务提供商的讨论。Sissons 回忆道:“对于这种大规模攻击,通常是瞬息万变的,在发生的当下便要展开调查。我们在整个过程中都与 SOC 保持着顺畅沟通,他们与我们进行电话连线,并提供了宝贵的支持。”

日复一日,Spire 始终相信 SOC 的专家成员总是可以随时为其效劳。Sissons 补充道:“作为托管服务的一部分,我们可以在很短的时间内得到来自自身技术人员的帮助。只要是我们的要求,SOC 都可以为我们实现。”

让利益相关者安心无忧

Silverline 还为 Spire 更广泛的生态系统带来了积极影响。来自第三方的患者转诊是其商业模式的重要组成部分,而 F5 作为托管服务提供商,为向这些合作伙伴保证数据安全策略和保护措施能够达到严格的标准提供了助力。Silverline 甚至已经成为应对保险合作伙伴审计的一部分,并成为了加入 NHS 的健康和社会关怀网络 (HSCN) 前提条件的安全工具包。Sissons 补充说:“对我们来说,能够在外部审计中提到我们有一支专业的安全团队保护这些服务,绝对是个加分项。”

挑战
  • 对用户行为缺乏可见性
  • 攻击面随着数字服务的增加而扩大
  • 合作伙伴有着严格的安全要求

益处
  • 提高见解能力,为安全决策提供信息
  • 为每个应用定制 WAF 策略
  • 让关键合作伙伴和利益相关者安心无忧
  • SOC 不间断的专家支持
产品