Bezpečné on-premise videokonferenční řešení Ministerstva vnitra ČR

Nejen v souvislosti s již (snad) ustupující pandemií nabylo na významu videokonferenční řešení komunikace mezi zaměstnanci. S ohledem na to, že pandemie nastoupila nečekaně a pro většinu české veřejné správy v okamžiku počátečního stavu nasazení těchto technologií, je dobré si shrnout zkušenosti Ministerstva vnitra ČR (MV) s tímto řešením.

               videokonference                    videokonferenční technologie                     vzdálená komunikace

                     on-premise technologie                              e-governement                                    podpora výkonu státní služby

Úvod

V době nástupu pandemie se MV mohlo opřít o využívané řešení Skype for Business nasazené na on-premise řešení v rámci svého resortu. Toto řešení kromě klasických konferenčních služeb umožňovalo sdílení pracovní plochy a informací či hromadné vysílání a výuku až pro 1 000 lidí.

Již v době před nástupem pandemie MV považovalo za potřebnou náhradu tohoto řešení s ohledem na oznámené datum ukončení podpory jak online, tak i on-premise řešení ze strany společnosti Microsoft.

Na základě zkušeností Policie ČR byla zvolena videokonferenční platforma provozovaná na technologii Cisco Meeting videokonference videokonferenční technologie vzdálená komunikace on-premise technologie e-governement podpora výkonu státní služby Server, kdy byly v resortu čerstvě nasazeny komponenty videokonferenčního řešení pro Odbor azylové a migrační politiky (OAMP) pořízené v rámci celoevropského projektu vzdálených videokonferenčních úkonů.

Výhodou tohoto řešení založeného, podobně jako Skype for Business, na on-premise řešení, je technologie nad platformou IP telefonie. S ohledem na zkušenosti z předchozích projektů byly zmapovány prostupy v rámci Centrálního místa služeb (CMS) jako základní parametr zajištění bezpečnostních standardů takto vedené komunikace. Toto řešení bylo rámcově ošetřeno i v ISMS dokumentaci resortu.

Finálně se nám podařilo zrealizovat interoperabilitu s MS Skype for Business, sjednotit videokonferenční platformu MV a provázat on-premise Cisco Meeting Server s hybridní nadstavbou Webex.

Základními parametry a drivery následného bouřlivého rozvoje videokonferenčního řešení po nástupu pandemie pak byly:

• rychlý přechod na videokonferenční jednání vlády a Ústředního krizového štábu (ÚKŠ),
• převedení kompetencí a odpovědnosti za technické zajištění jednání ÚKŠ formou videokonferencí na MV,
• nárůst hromadných jednání realizovaných prostřednictvím videokonferencí, kde kromě zajištění spolehlivosti a bezpečnosti on-premise řešení bylo třeba zajistit škálovatelnost hybridního řešení,
• podpora vedení resortu řešení akutních potřeb pro bezproblémový přechod na celoresortní řešení.

Popis technického řešení

Videokonferenční řešení MV je provozováno na vlastní infrastruktuře a pod správou MV (tzv. ON-PREMISE model) s využitím stávajících funkcionalit IP telefonního řešení MV.

IP telefonní infrastruktura MV byla vybudována v roce 2015 v rámci projektu „Modernizace komunikační infrastruktury Ministerstva vnitra – Praha a tranzitní část“.

Vlastní videokonferenční řešení MV bylo vybudováno v roce 2019 na základě provozních zkušeností Policie ČR, která toto řešení realizovala v rámci projektu „Videokonferenční zařízení pro oběti trestných činů“.

Jak je ze schématu patrné, jedná se o řešení v interní síti a plně ve správě MV.

Videokonferenční platforma MV byla vystavěna pro potřeby úkonů v rámci agendy Odboru azylové a migrační politiky MV. Toto poměrně úzké využití se náhle v březnu 2020 stalo minoritním poté, co propukla epidemie koronaviru COVID-19.

V souvislosti s krizovými opatřeními vlády v rámci vyhlášení nouzového stavu dne 13. března 2020 z důvodu pandemie SARS-CoV-2 Covid-19 bylo nezbytné zajistit komunikační prostředky pro krizová jednání vlády, ministerstev a ostatních orgánů státu. V souladu s § 12 odst. 5 zákona č. 2/1969 Sb., o zřízení ministerstev a jiných ústředních orgánů státní správy České republiky (Kompetenční zákon), zajišťuje MV provoz komunikační infrastruktury MV. Z tohoto důvodu bylo nezbytně nutné výrazně posílit stávající videokonferenční řešení MV tak, aby bylo možné zajistit videokonferenční jednání pro desítky uživatelů naráz.

Jedná se primárně o uživatele z řad zaměstnanců MV, managementu MV, Zdravotní pojišťovny MV apod. Videokonferenční řešení MV je používáno pro jednání Ústředního krizového štábu, pro sestavování videokonferencí s Asociací krajů (sdružení krajských úřadů) a pro ostatní jednání bezpečnostního charakteru, neboť je provozováno na vlastní ON-PREMISE infrastruktuře MV a pod správou MV. Dále videokonferenční řešení MV slouží v současné době pro jednání s vládou ČR, ministerstvy a v neposlední řadě i s ostatními státy a vedením EU (např. Ministerstvo zahraničí Polské republiky, zastoupení ČR v Bruselu apod.)

Dedikovaná videokonferenční infrastruktura, která je součástí oddělené hlasové a videokonferenční virtuální sítě, je provozována na technologii Cisco Meeting Server, která společně s dalšími komponentami (TelePresence Management Suite, Cisco Meeting Management, Cisco Expressway apod.) zajišťuje plánování a provoz virtuálních videokonferenčních místností nezbytných pro úspěšné fungování celého videokonferenčního řešení. Aktuálně je nasazena kapacita pro současné videokonferenční spojení cca 145 účastníků s kvalitou videa ve formátu HD, které je možné operativně upravit (navýšit) změnou kvality obrazového přenosu. Kapacita celého řešení je dále rozšiřitelná a vysoce škálovatelná.

Kromě vlastní videokonferenční platformy je dále zajištěno nahrávání konferenčních hovorů a integrace do plánovacího systému videokonferenčních hovorů.

Předchozí generace konferenčních systémů – ať už ve formě hardware MCU (Multipoint Control Unit) s fyzickými digitálními signálovými procesory pro zpracování hlasu, videa a kanálu pro sdílení obsahu, nebo později virtualizované servery měly dvě zásadní nevýhody:

• pevnou kapacitu a žádné či omezené schopnosti škálování,
• v případě MCU stacků, případně clusterů docházelo při kapacitně větších schůzkách k tzv. kaskádě – tedy účastníci z jednoho konferenčního serveru se do dalšího serveru přenášeli jako kompozitní obraz; při větším množství účastníků není aktivní mluvčí ze vzdáleného serveru prakticky vidět a virtuální jednání pozbývá údernosti degradovanou složkou neverbální komunikace.

Postupným vývojem a díky akvizicím došlo k nahrazení všech on-premise konferenčních produktů jedinou platformou – Cisco Meeting Server založenou na modelu Acano serveru.

Hlavní rozdíly:

• Platforma je škálovatelná od nejmenších nasazení ve virtualizovaném prostředí VMWARE (minimum cca 5 souběžných HD hovorů) přes dedikované virtualizované appliance s kapacitou až 120 HD hovorů až po dedikované hardware appliance bez virtualizační vrstvy (až 700 HD hovorů). V clusteru může být až 24 serverů pro zpracování hlasu, videa a kanálu pro sdílení obsahu.
• Při přetečení kapacity jednoho serveru nedochází ke kaskádě, ale tzv. distribučním linkům, ve kterých jsou přenášeni jednotliví účastníci. Aktivní mluvčí je v identické konferenci napříč servery pouze jeden.

Další benefity:

• Podpora přídavného protokolu pro doplňkové funkce, jakými jsou seznam účastníků, možnost ztlumování nebo vyloučení účastníků, změna šablony rozložení obrazu, ovládání nahrávání apod. A to jak z dotykových panelů videokonferenčních systémů, tak ze software klientů a WebRTC.
• Přizpůsobení rozložení obrazu (účastníci a prezentační kanál) na dvou a tříobrazovkových systémech.

V poslední době pozorujeme u různých výrobců trend v navyšování maximálního počtu účastníků v zobrazené šabloně. Je však třeba mít na paměti velikost zobrazovačů jednotlivých účastníků tak, aby byli účastníci rozumně vidět a tento druh spojení neztrácel svůj původní účel – tedy náhradu osobních jednání bez ztráty důležitých složek verbální i neverbální komunikace.

Plánovací server Cisco TelePresence Management Suite lze díky propracovanému aplikačnímu rozhraní efektivně propojit např. se spisovou službou. Organizace videokonferenčního jednání ke konkrétnímu úkonu tedy pro obsluhujícího nemusí nutně znamenat dvě samostatné aktivity.

Funkcionalita videokonferenčního řešení MV je dostupná jak v resortní síti MV pro Ministerstvo vnitra, Policii ČR a Hasičský záchranný sbor, tak i pro externí účastníky s end-to-end šifrováním veškeré komunikace. Díky tomuto řešení je možné do videokonferencí přistupovat z klientů a videokonferenčních jednotek uvnitř i vně sítí MV, pomocí webových prohlížečů s využitím WebRTC, případně pomocí hlasového připojení z veřejné telefonní sítě.

V rámci rozvojových aktivit nad videokonferenční infrastrukturou MV bylo docíleno funkcionality připojení do videokonferenčních hovorů MV z resortní sítě Police ČR, která pro interní komunikaci využívá ON-PREMISE videokonferenční řešení Skype for Business, cestou resortní hlasové a videokonferenční sítě a dosažením maximálního způsobu zabezpečení provozu jak po stránce bezpečnostní, tak po stránce provozní.

Výhody ON-PREMISE řešení MV:

• dedikované síťové prostředí resortu MV pro IP telefonii a multimediální komunikaci
• plná kontrola ve vlastním IT prostředí,
• schůzky probíhají ve virtuálním prostředí vlastníka uvnitř zabezpečené infrastruktury,
• vlastní síťová infrastruktura plně end-to-end pod dohledem IT správců a pod SLA,
• stabilní připojení a zachování autonomie v případě krizových scénářů (vlastní komunikační infrastruktura MV),
• funkčnost řešení i v případě přetížení sítě Internet (viz stav po 13. březnu 2020).

V souvislosti s rozvojem pandemických opatření v rámci SARS-CoV-2 Covid-19 bylo nezbytné zajistit komunikační prostředky pro stále větší počet účastníků videokonferenčních jednání v rámci MV.

Kromě již dříve zmiňovaných scénářů jednání v rámci resortu MV i mimo něj byl doporučením vlády ČR zaveden model práce z domova pro zaměstnance MV (tzv. Home Office).

Vzhledem k neustále rostoucím potřebám navyšování kapacit videokonferenční platformy MV bylo v polovině roku 2020 přistoupeno k návrhu a postupné realizaci hybridní videokonferenční platformy MV, která by splňovala jak požadavky na bezpečnost, tak potřeby neustálého navyšování kapacit videokonferenčních jednání.

MV přikročilo k rozdělení videokonferenčního provozu na část čistě ON-PREMISE a na část HYBRIDNÍ, která využívá prostředky Cisco Webex.

Díky nasazení hybridních komponent na komunikačním perimetru MV je stávající architektura bezpečně propojena s moderními cloudovými službami Cisco Webex, které umožňují bezpečný provoz a zároveň využití nadstavbových funkcionalit.

Výhody HYBRIDNÍHO řešení MV:

• Proximity – ovládání videokonferenčních jednotek pomocí mobilního zařízení,
• Whiteboarding – malování, interaktivní sdílení obsahu,
• kapacitně větší schůzky – stovky uživatelů v desítkách souběžně probíhajících konferencí,
• interaktivní vzdálená školení s distribucí obsahu ke stovkám koncových uživatelů,
• volitelné zobrazení jmenovek u jednotlivých účastníků jednání (snazší orientace),
• duální registrace videokonferenčních jednotek (Webex Edge for Devices – ON-PREMISE + Cisco Webex) k eliminaci možných výpadků vnitřní nebo vnější infrastruktur
• možnost registrace desítek videokonferenčních zařízení v řádech minut kdekoli v místě s internetovou konektivitou,
• možnost optimalizace a prioritizace datových toků do Webex cloudu skrze servery umístěné v síti MV

Bezpečnost nasazeného HYBRIDNÍHO řešení MV:

• signalizace je zabezpečena s využitím TLS 1.2 a 1.3 protokolů a odolných šifrovacích sad; pro přenos media streamů jsou využity průmyslové standardy šifrování AES-256,
• EU residency – nastavitelná příslušnost k regionu EU – řízení připojení klientů a uložení dat pouze na oblast EU,
• výměna šifrovacích klíčů přímo mezi klienty – end-to-end šifrování – bez možnosti dešifrovat obsah během přenosu neoprávněnou osobou,
• data na Webexu jsou uložena v zašifrované podobě – možnost instalace vlastního KeyManagement serveru v ON-PREMISE infrastruktuře a přenos správy šifrovacích klíčů plně pod správu MV,
• prvky videokonferenční infrastruktury jsou zabezpečeny prostředky certifikační autority,
• nástroje pro ochranu dat a sledování komunikace – např. vyhodnocování kvality přenosů; práva na uložené soubory, zablokování souborů, členství ve skupinách, tvorba reportů apod.,
• možnost zablokovat úložiště Cisco Webex pro dokumenty a vyžadovat dedikované úložiště MV,
• videokonferenční zařízení nejsou přímo dovolatelná ze sítě Internet,
• vytvoření zabezpečené virtuální videokonferenční místnosti,
• synchronizace s Active Directory pomocí aplikace Directory Connector, která je provozována na Windows serveru v ON-PREMISE datové infrastruktuře MV,
• z Active Directory se do Cisco Webex nepřenášejí hesla uživatelů; přihlášení probíhá formou Single Sign-on,
• doporučený bezpečnostní standard pro videokonference,
• Bezpečné videokonferenční řešení
  • https://www.nukib.cz/cs/infoservis/aktuality/1599-predstavujeme-bezpecnostni-standardpro-videokonference/
  • https://www.govcert.cz/download/kii-vis/obecne /2020-07-17_Standard-pro-VTC_1.0.pdf
• vyjádření k bezpečnosti Webex – National Security Agency (USA),
  • https://media.defense.gov/2020Aug/14/2002477670 /-1/-1/0/CSI_%20SELECTING_AND_USING_ COLLABORATION_SERVICES_SECURELY_ SHORT_20200814.PDF

Shrnutí a závěr

Aktuální řešení MV založené na technologiích Cisco Webex přináší několik významných výhod, které spočívají v tom, že MV disponuje následujícími funkcionalitami:

• videokonferenční zařízení optimalizovaná dle velikosti zasedací místnosti,
• zasedací videokonferenční místnosti umožňují technologické propojení serverové technologie a cloudové části,
• automatické vyhledání, zaostření a přiblížení hovořícího,
• možnost přes CISCO Webex Board ovládat prezentační počítač nebo jiné technologie chytré konferenční místnosti,
• licenční pokrytí je řešeno z rámcové smlouvy, která platila již v době vypuknutí pandemie.

Dále byla plně využita možnost, kterou resortu poskytly technologie dodané v dříve realizovaných projektech při využití zkušeností Policie ČR (zejména Středočeského kraje) a byla dotažena technologická a plánovací integrace tohoto řešení se Skype for Business.

Do budoucna bude třeba se zamyslet nad technologickou podmíněností HW a SW řešení Cisco s ohledem na prevenci a zabránění situaci tzv. vendorlocku, tedy stavu, kdy je možným dodavatelem řešení pouze jeden výrobce. Tento stav vendorlocku, ve veřejné správě v oblasti ICT hojný, je samozřejmě nežádoucí a MV musí mít možnosti a nástroje integrace dalších řešení ve svých rukou.

Jednou z možností je požadavek na využívání otevřených standardů (např. Session Initiation Protocol SIP – protokol pro inicializaci relací).

Kontinuálně musí být zabezpečena bezpečnost řešení v souladu s ISMS, doporučení NÚKIBu a uživatelskými požadavky všech klíčových stakeholderů v rámci resortu, byť obecné trendy v této oblasti směřují ke „cloudizaci“ videokonferenčních služeb. Parametr „cloudizace“ v této oblasti je však nutné sledovat, pravidelně vyhodnocovat a analyzovat s ohledem na posilování legislativních opatření v oblasti eGC.

Zajímavou otázkou bude vliv náběhu 5G služeb v této oblasti. Zkušenosti MV ukázaly prudký nárůst konzumovaných datových služeb v počátku pandemie a následně se křivka strmého nárůstu zploštila, nicméně trvalý nárůst konzumovaných služeb je stále patrný. Možnosti dosažení vyšších parametrů spojení na technologické úrovni a případná integrace služeb podporujících videokonferenční řešení může být jedním ze zajímavých driverů konceptu Home Office či tzv. digitálního nomádství.

Rovněž bude nutné v rámci organizací najít model možného ekonomického, bezpečnostního, psychologického i výkonnostního parametrizování oblastí, ve kterých může videokonferenční řešení přinášet trvalé výhody a ekonomické úspory. Zprávy z trhu IT firem v ČR uvažují v soukromé oblasti o 30–50% snížení plochy kanceláří u poskytovatelů těchto služeb při nárůstu využívání sdílených pracovních oblastí a podpoře pracovních podmínek zaměstnanců na Home Office (např. příspěvek na elektrickou energii a vybavení domácí kanceláře, příspěvek na pevné telefonní a datové služby, zvýšená zákaznická i HR podpora nebo zkracování porad na úkor tzv. standupů s vyšší frekvencí).

Je však zřejmé, že využití videokonferencí se ukázalo jako vhodné doplnění pracovních postupů i ve státní správě a že jeho role bude podle názoru autorů nadále narůstat. A tak před námi v této oblasti zůstává řada výzev, se kterými bude třeba se vypořádat.

This email address is being protected from spambots. You need JavaScript enabled to view it. 

This email address is being protected from spambots. You need JavaScript enabled to view it.