Spire Healthcare 借助 F5 确保数字服务发展

Spire Healthcare是英国领先的私人医疗保健提供商,拥有 38 家医院和 3,700 多名顾问,随着越来越多的服务转移到线上,该公司需要增强应用的安全性。 Spire 掌握着高度敏感的患者数据,并与国家医疗服务体系 (NHS) 和主要保险公司等合作伙伴合作,它还必须向利益相关者证明其安全性是同类最佳的、值得信赖的。 2016 年,它转向 F5 和Silverline (F5 基于云的托管应用服务平台)。

商业挑战

随着 Spire 开发出更多面向客户的数字服务,例如用于预约、查看个人信息和付款的 MySpire 门户,它也将更多敏感的患者数据放在网上。

随着风险状况的增加,技术团队发现自己缺乏有关用户行为的关键信息。 现有系统无法显示客户使用哪些设备连接到 Spire 的服务,以及何时他们可能以不安全的方式进行连接。 缺乏可见性阻碍了团队进行重要安全升级的能力。

“例如,我们无法决定限制通过 SSLv3 进行访问,因为我们不知道是否有用户使用不支持 TLSv1.0 的设备进行连接,”技术运营经理 Rob Sissons 回忆道。

除了缺乏进行关键技术变革的信息之外,IT 团队还常常发现自己无法响应企业内部有关数据安全的询问。 它还必须为主要保险公司和 NHS 的审计做好准备,这两家公司都会定期将患者转介给 Spire,以确保他们的数据得到安全存储。

为了在不影响客户访问数字服务能力的情况下提高数字服务的安全性,Spire 决定寻找应用安全托管服务提供商。

解决方案

为了满足不断变化的安全需求,Spire 选择实施 F5® Silverline® Webapplication防火墙 (WAF) 和 F5® Silverline® DDoS 防护作为托管服务,并由 F5 面向客户的安全专家中心安全运营中心 (SOC) 提供全天候支持。

“SOC确实给我们带来了回报,”西森斯评论道。 “它让我们有信心,当我们实施一项变革时,会有另一双知识渊博的眼睛来仔细审查它。 我们经常会收到团队关于如何优化我们正在做的事情的建议。”

SOC团队已经成为Spire开发和实施新应用(包括第三方开发商的应用程序)不可或缺的一部分。 Spire 从空白模板开始确定 WAF 策略,然后列出通过重复测试识别出的误报。

“当我们要求开放某些东西时,SOC会仔细检查我们的提议,”西森斯解释道。 “小众临床应用并不总是像它们应该的那样安全。 在一些情况下,F5 的意见促使我们向第三方软件开发商指出其应用存在的问题。”

Spire 与 F5 合作期间,其应用生态系统不断多样化和复杂化。 这包括整合 API,让保险公司能够更轻松地转介患者并传输其详细信息。 Silverline 提供的安全性使 Spire 能够不断开发和增强其为客户、顾问和主要合作伙伴提供的数字服务。

在 SOC 的支持下,Silverline 服务还帮助 Spire 实现了与其存储的敏感数据相符的应用安全性级别,并对偶尔发生的重大事件做出快速响应。

此外,Silverline 支持 Spire 整体安全策略的演变,提供有关用户行为的可见性和数据,帮助 IT 团队完善其整体安全策略。 它还详细描述了客户如何访问以前不存在的服务。

“例如,对于 TLS 强化,信息安全团队严重依赖 Silverline 提供的有关通过的连接以及不安全连接来自何处的数据,”Sissons 说。 

定制化、全天候支持

Silverline 的另一个重要优势是能够应对针对 Spire 网络的主动威胁。 在最近一次重大 DDoS 攻击中,SOC 积极参与响应,提供攻击源信息,并参与与 Spire 的互联网服务提供商的讨论。 “像那样的大规模袭击,进展非常快,你要立即展开调查,”西森斯回忆道。 “我们始终与 SOC 保持着畅通的沟通渠道,他们随时陪同我们,并提供宝贵的支持。”

在日常工作中,Spire 始终坚信 SOC 的专家成员随时待命。 “我们可以在很短的时间内让真正熟练的人员参与到托管服务中,”Sissons 补充道。 “我们所要求的事情,SOC都能做到。”

为利益相关者提供保障

Silverline 也对 Spire 更广泛的生态系统产生了积极影响。 来自第三方的患者转诊是其商业模式的重要组成部分,而 F5 作为托管服务提供商的存在有助于向这些合作伙伴保证数据安全策略和保护能够满足严格的标准。 Silverline 甚至参与了保险合作伙伴的审计,以及加入 NHS 健康与社会保健网络 (HSCN) 的先决条件的安全工具包。 西森斯补充道:“在外部审计中,我们可以说我们有一个专门的安全团队来保护这些服务,这对我们来说是件好事。”

挑战
  • 缺乏对用户行为的了解
  • 随着数字服务的增多,攻击面不断扩大
  • 合作伙伴的严格安全要求

好处
  • 提高洞察力以指导安全决策
  • 为每个应用定制 WAF 策略
  • 为关键合作伙伴和利益相关者提供保障
  • SOC 的全天候专家支持
产品