مدخل سلامة المستهلك على تطبيق Azure

توضح هذه المقالة بنية نموذجية لمدخل صحة المستهلك، والتي تتوافق مع ركائز Azure Well Architected Framework. يمكنك اختيار تخصيص هذه البنية لتلبية احتياجاتك الخاصة.

بناء الأنظمة

قم بتنزيل ملف Visio لهذه البنية.

‏‏سير العمل‬

• يستخدم هذا الحل البصمة العمومية لـ Azure Front Door وميزات أمان الحافة لجدار حماية تطبيق ويب Azure (WAF) لمصادقة البيانات الواردة.
• ثم يتم توجيه البيانات المصادق عليها بواسطة إدارة واجهة برمجة تطبيقات Azure (APIM) إما إلى واجهة الواجهة الأمامية للمستخدمين على Azure App Service، أو واجهات برمجة التطبيقات المستضافة في Azure Functions.

خدمة البيانات الخلفية الأساسية المستخدمة في هذه البنية هي Azure Cosmos DB. تسمح قدرات Azure Cosmos DB متعددة النماذج، بالإضافة إلى قابلية التوسع والأمان، بالمرونة لأي نوع من أنواع مدخل صحة المستهلك. يتم تخزين أي بيانات غير بتنسيق سجل في Azure Blob Storage ككائن. يمكن أن تتضمن هذه البيانات الصور الطبية والصور التي التقطها المستهلك والمستندات التي تم تحميلها والبيانات المؤرشفة وما إلى ذلك. يوفر تخزين Blob تخزيناً بأسعار معقولة لكميات كبيرة من البيانات غير المنظمة. لم يتم تحسين هذا النوع من البيانات للتخزين في Azure Cosmos DB، ويمكن أن يؤثر سلبا على تكلفته وأدائه.

المكونات

• مخطط AZURE HIPAA HITRUST 9.2 هو مخطط Azure يستخدم نهج Azure. يساعد على تقييم عناصر تحكم HIPAA HITRUST 9.2 ونشر مجموعة أساسية من النهج لأحمال عمل Azure. في حين أن هذا لا يعطي تغطية الامتثال الكامل لـ HIPAA HITRUST، فإنه مكان رائع لبدء وإضافة المزيد من عناصر التحكم، حيثما كان ذلك ممكناً وضرورياً. يمكن أيضاً تصور الامتثال لمبادرات النهج في هذا المخطط وفي واجهة Microsoft Defender for Cloud.

• يستخدم Azure Front Door لإدارة حركة مرور الحافة على نطاق واسع، وزيادة الأداء للمستخدمين النهائيين من خلال تقديم نقاط النهاية في جميع أنحاء العالم. هذه التقنية أصلية على السحابة، والتي لا تتطلب أي ترخيص؛ أنت تدفع فقط مقابل ما تستخدمه. في سيناريو حمل العمل هذا، يعمل Azure Front Door كنقطة دخول لجميع نسبة استخدام الشبكة إلى مدخل صحة المستهلك.

• يحمي Azure Web Application Firewall التطبيقات من الهجمات الشائعة المستندة إلى الويب مثل الثغرات الأمنية مثل OWASP وحقن SQL والبرمجة النصية عبر المواقع وغيرها. هذه التقنية أصلية على السحابة، والتي لا تتطلب أي ترخيص وتدفع عند الاستخدام.

• تدعم إدارة واجهة برمجة تطبيقات Azure نشر واجهات برمجة التطبيقات وتوجيهها وتأمينها وتسجيلها وتحليلاتها. سواء كان يتم استخدام واجهة برمجة التطبيقات فقط من قبل المستخدم النهائي أو دمجها مع جهة خارجية للتشغيل التفاعلي الخارجي، تسمح إدارة واجهة برمجة التطبيقات بالمرونة في كيفية توسيع واجهات برمجة التطبيقات وتقديمها.

• Azure App Service هي خدمة تستخدم لاستضافة خدمات الويب المستندة إلى HTTP. وهي تدعم مجموعة واسعة من اللغات، ويمكن تشغيلها على Linux أو Windows، والتكامل الكامل مع مسارات CI/CD، ويمكن حتى تشغيل أحمال عمل الحاوية كعرض PaaS. تسمح App Service بكل من التوسع والتوسيع، بالإضافة إلى وجود تكامل أصلي مع خدمات الهوية والأمان والتسجيل في Azure. وهي قادرة على تلبية احتياجات التحجيم لمدخل صحة المستهلك مع الحفاظ على الامتثال. في هذه البنية، يستضيف مدخل الويب الأمامي.

• Azure Function Apps هو حل نظام أساسي بلا خادم على Azure يسمح للمطورين بكتابة التعليمات البرمجية للحساب عند الطلب، دون الحاجة إلى الحفاظ على أي من الأنظمة الأساسية. في هذه البنية، يمكن لـ Azure Functions استضافة واجهات برمجة التطبيقات، وأي عمل يجب القيام به بشكل غير متزامن، مثل تشغيل الوظائف الدورية وإحصائيات الحوسبة على مدى فترة زمنية معينة.

• Azure Cosmos DB هي قاعدة بيانات NoSQL مدارة بالكامل ومتعددة النماذج تقدم أوقات استجابة مكونة من رقم واحد وتضمن الأداء على أي نطاق. سيكون لكل مستخدم في نظام حماية المستهلك بيانات مرتبطة بنفسه فقط، ما يبرر استخدام بنية بيانات NoSQL. يحتوي Azure Cosmos DB على مقياس لا حدود له تقريبا، بالإضافة إلى القراءة والكتابة متعدد المناطق. مع النمو الجذري لكمية البيانات التي تم جمعها بواسطة هذه الأنواع من أنظمة صحة المستهلك، يمكن ل Azure Cosmos DB توفير الأمان والسرعة والحجم المناسبين، بغض النظر عما إذا كان هناك 100 أو 1000000 مستخدم نشط.

• Azure Key Vault هي خدمة Azure أصلية تستخدم لتخزين الأسرار والمفاتيح والشهادات والوصول إليها بأمان. يسمح Key Vault بالأمان المدعوم من HSM، والوصول المدقق من خلال عناصر تحكم الوصول المتكاملة المستندة إلى الأدوار من Microsoft Entra. يجب ألا تخزن التطبيقات المفاتيح أو الأسرار محلياً. تستخدم هذه البنية Azure Key Vault لتخزين جميع الأسرار مثل مفاتيح واجهة برمجة التطبيقات وكلمات المرور ومفاتيح التشفير والشهادات.

• يوفر Azure Active Directory B2C هوية العمل إلى المستهلك كخدمة على نطاق واسع، والتكلفة التي يتم قياسها جنباً إلى جنب مع عدد المستخدمين النشطين. في التطبيقات التي تواجه المستهلك مثل هذا الحل، بدلا من إنشاء حساب جديد، قد يرغب المستخدمون في إحضار هويتهم الخاصة. يمكن أن يكون أي شيء من معرف اجتماعي أو إلى حساب بريد إلكتروني أو أي خدمة هوية موفر SAML. يوفر هذا الأسلوب تجربة إلحاق أسهل للمستخدم. يحتاج موفر الحل فقط إلى الإشارة إلى هويات المستخدم، ولا يحتاج إلى استضافتها وصيانتها.

• يمكن استخدام Azure Log Analytics، وهي أداة Azure Monitor Logs، لمعلومات التشخيص أو التسجيل، والاستعلام عن هذه البيانات لفرزها أو تصفيتها أو تصورها. يتم تسعير هذه الخدمة حسب الاستهلاك، وهي مثالية لاستضافة سجلات التشخيص والاستخدام من جميع الخدمات في هذا الحل.

• Azure Application Insights، ميزة أخرى من Azure Monitor، هي خدمة إدارة أداء التطبيق الأصلية (APM) في Azure. يمكن دمجها بسهولة في خدمة التطبيقات الأمامية، وفي جميع التعليمات البرمجية لـ Azure Functions لتمكين المراقبة المباشرة للتطبيقات. يمكن Application Insights بسهولة اكتشاف الأداء، والشذوذ في الاستخدام، والأخطاء التي تم إنشاؤها مباشرة من التطبيقات نفسها، وليس فقط من منصة الحوسبة التي تستضيفها.

• Azure Communication Services هي خدمات مستندة إلى السحابة مع واجهات برمجة تطبيقات REST ومجموعات SDK لمكتبة العميل المتاحة لمساعدتك على دمج الاتصال في تطبيقاتك. يمكنك إضافة الاتصال إلى تطبيقاتك دون أن تكون خبيرا في التقنيات الأساسية مثل ترميز الوسائط أو الاتصالات الهاتفية. في هذا الحل، يمكن استخدامه لإرسال أي رسائل بريد إلكتروني أو رسائل نصية أو مكالمات هاتفية تلقائية تتعلق بمدخل حماية المستهلك، مثل تأكيدات المواعيد أو التذكيرات.

• Azure Notification Hub هو محرك إعلام دفع بسيط وقابل للتطوير يتيح القدرة على إرسال الإعلامات إلى أي نظام أساسي للأجهزة المحمولة. يمكن أن يتكامل مدخل حماية المستهلك، الذي يستخدم تطبيق الأجهزة المحمولة، مع Azure Notification Hub للحصول على طريقة فعالة من حيث التكلفة لدفع الإشعارات إلى المستخدمين الذين قاموا بتثبيت التطبيق على أجهزتهم المحمولة. في هذه البنية، يمكن إرسال إعلامات لتذكير المستخدمين بمواعيدهم، وإدخال معلومات للأجهزة غير المتصلة، والوصول إلى أهداف صحية معينة، وما إلى ذلك.

• Microsoft Defender for Cloud) هو جوهر مراقبة الأمان وإدارة الوضع لهذا الحل الأصلي للسحابة بأكمله. يتكامل Microsoft Defender for Cloud مع جميع الخدمات الرئيسية تقريباً على النظام الأساسي لـ Azure. وتشمل قدراته التنبيهات الأمنية، والكشف عن الحالات الخارجة عن المألوف، وتوصيات أفضل الممارسات، ودرجات الامتثال التنظيمي، والكشف عن التهديدات. بالإضافة إلى مراقبة التوافق HIPAA/HITRUST، ومراقبة أفضل ممارسات أمان Azure بشكل عام، يستخدم هذا الحل مجموعات الميزات التالية:

  • Microsoft Defender for App Service
  • Microsoft Defender for Storage
  • Microsoft Defender for Key Vault
  • Microsoft Defender for Resource Manager
  • Microsoft Defender لقاعدة بيانات Azure Cosmos

البدائل

• قد تستخدم خدمة Azure FHIR كجزء من Azure Health Data Services للتشغيل التفاعلي للسجلات الطبية، باستخدام معايير الاتصال HL7 أو FHIR. يجب استخدام هذه الخدمة إذا كان التطبيق الخاص بك يحتاج إلى تلقي أو نقل السجلات الطبية من أنظمة أخرى. على سبيل المثال، إذا كان هذا الحل مدخلاً لمقدمي الخدمات الطبية، يمكن أن تتكامل واجهة برمجة تطبيقات Azure لـ FHIR مع نظام السجلات الطبية الإلكترونية للموفر مباشرة.

• Azure IoT Hub هي خدمة تم ضبطها لاستيعاب بيانات الجهاز. إذا كان المدخل هو الواجهة الأمامية لحل يجمع البيانات من جهاز طبي قابل للارتداء أو أي جهاز طبي آخر، فيجب استخدام IoT Hub لاستيعاب هذه البيانات. لمزيد من المعلومات، اقرأ عملية INGEST لبنية حلول مراقبة المرضى عن بعد.

• Microsoft 365 Email هي خدمة رائدة في الصناعة تستخدم للبريد الإلكتروني والاتصالات. استثمرت العديد من المؤسسات بالفعل في هذه الخدمة ويمكن استخدامها كبديل ل Azure Communication Services الأكثر ميزة. في هذا الحل، يمكن استخدامه لإرسال أي رسائل بريد إلكتروني تتعلق بمدخل صحة المستهلك، مثل تأكيد الموعد أو رسائل البريد الإلكتروني للتذكير.

تفاصيل السيناريو

في جميع أنحاء صناعة علوم الصحة والحياة، تعتمد المؤسسات استراتيجية صحية رقمية. أحد الركائز الأساسية والعنصر الضروري لحل الصحة الرقمية هو مدخل صحة المستهلك. يمكن استخدام مدخل صحة المستهلك لتعقب التقدم والإحصاءات من جهاز قابل للارتداء، أو التعامل مع موفر الخدمات الطبية، أو حتى تتبع عادات الأكل الصحية.

حالات الاستخدام المحتملة

• تعقب إحصائيات جهاز قابل للارتداء.
• الوصول إلى السجلات الطبية والتفاعل مع موفر الخدمات الطبية.
• أدخل أوقات وجرعات الأدوية، والتي يمكن استخدامها لإعادة تعبئة البيانات أو التتبع الذاتي للأدوية.
• التفاعل مع مدرب الأكل الصحي لفقدان الوزن أو مرض السكري.

الاعتبارات

تنفذ هذه الاعتبارات ركائز Azure Well-Architected Framework، وهو عبارة عن مجموعة من المبادئ التوجيهية التي يمكن استخدامها لتحسين جودة حمل العمل. لمزيد من المعلومات، يرجى مراجعةMicrosoft Azure Well-Architected Framework.

التوافر

تم تصميم هذا الحل حالياً كنشر من منطقة واحدة. إذا كان السيناريو الخاص بك يتطلب توزيعا متعدد المناطق لقابلية الوصول العالية أو التعافي من الكوارث أو حتى التقارب، فقد تحتاج إلى منطقة Azure مقترنة بالتكوينات التالية.

• تم توسيع Azure Cosmos DB لتمكين تكوين متعدد المناطق.

• يتم نشر إدارة واجهة برمجة تطبيقات Azure باستخدام CI/CD في منطقة ثانوية. يمكنك أيضا تطبيق إمكانية النشر متعددة المناطق لإدارة واجهة برمجة التطبيقات.

• يتم نشر Azure App Service و Functions بشكل منفصل في مناطق متعددة. يمكن إجراء هذا النشر داخل البنية الأساسية لبرنامج ربط العمليات التجارية CI/CD عن طريق إنشاء توزيع متوازي. اقرأ تطبيق الويب متعدد المناطق المتوفر بشكل كبير للحصول على مزيد من الإرشادات.

• اعتماداً على متطلبات RTO (هدف وقت الاسترداد)، يمكن تكوين Azure Blob Storage إما كمساحة تخزين جغرافية زائدة عن الحاجة (GRS)، أو تخزين متكرر جغرافياً للوصول للقراءة (RA-GRS) يسمح بالقراءة مباشرة من المنطقة البديلة. لمعرفة المزيد، راجع مقالة التكرار في Azure Storage.

• يتم تضمين طبقات متعددة من التوفر والتكرار في خدمة Azure Key Vault.

الأمان

ويوفر عامل الأمان ضمانات للحماية من الهجمات المتعمدة واستغلال البيانات والأنظمة القيمة الخاصة بك. للمزيد من المعلومات، يرجى الرجوع إلى نظرة عامة على ركيزة الأمان.

تصف الأقسام التالية أفضل ممارسات الأمان لكل من الخدمات المستخدمة في هذا الحل.

الواجهة الأمامية لـ Azure

يجب استخدام جدار حماية تطبيق الويب (WAF) الخاص بـ Azure Front Door للتخفيف من العديد من الهجمات الشائعة المختلفة. خط الأساس الجيد هو البدء باستخدام أحدث إصدار من مجموعات القواعد الأساسية لـ Open Web Application Security Project (OWASP) (CRS)، ثم إضافة نهج مخصصة حسب الحاجة. على الرغم من أن Azure Front Door مصمم لاستيعاب كميات كبيرة من نسبة استخدام الشبكة، ففكر في استخدام آليات التخزين المؤقت المتوفرة مع هذه الخدمة لتقليل حمل حركة المرور إلى أنظمة الواجهة الخلفية حيثما أمكن ذلك. لاستكشاف أخطاء تحقيقات الأمان المحتملة ودعمها، يجب تكوين التسجيل لكل من Azure Front Door وجدار حماية تطبيق الويب. يمكنك قراءة المزيد في ممارسات الأمان لـ Azure Front Door.

إدارة Azure API

يجب مصادقة جميع نسبة استخدام الشبكة إلى APIM، إما باستخدام مصادقة APIM B2C Azure AD أو مع جلسات العمل التي تم تعريفها بواسطة الرمز المميز. تكوين إدارة واجهة برمجة تطبيقات Azure لتخزين سجلات الموارد. يمكنك قراءة المزيد في ممارسات الأمان لإدارة واجهة برمجة تطبيقات Azure.

"Azure App Service"

يجب تأمين جميع نسبة استخدام الشبكة إلى هذه البنية، بما في ذلك خدمة التطبيقات، من طرف إلى طرف باستخدام TLS. يجب أن ترفض خدمة التطبيقات البروتوكولات غير الآمنة لتشديد سطح الهجوم. بالإضافة إلى ذلك، يجب أن تقوم APIM بتمرير مصادقة العميل مرة أخرى إلى خدمة التطبيقات للسماح لها بالتحقق من صحتها مقابل مصادقة العميل والتخويل الخاص به. يجب تخزين جميع الأسرار المستخدمة في App Service في Key Vault، باستخدام هوية خدمة مدارة حيثما أمكن ذلك. يجب على App Service أيضاً تخزين سجلات التشخيص لدعم أي جهود تشخيص أمان، ويجب دمجها مع Microsoft Defender for App Service. يمكنك قراءة المزيد في ممارسات الأمان لـ Azure Front Door.

دالات Azure

يجب أن تتطلب جميع الطلبات إلى Azure Functions في هذا الحل HTTPS، واستخدام إدارة واجهة برمجة تطبيقات Azure لمصادقة الطلبات، واستخدام الهويات المدارة حيثما أمكن ذلك. تخزين جميع المفاتيح في Azure Key Vault بدلاً من تركها في التعليمات البرمجية للدالة. كما هو الحال مع أي تطبيق، تأكد من التحقق من صحة البيانات عند الإدخال، والتكامل مع Microsoft Defender for Cloud. وأخيراً، قم دائماً بتكوين التسجيل والمراقبة لـ Azure Functions. يمكنك قراءة المزيد في ممارسات الأمان لـ Azure Functions.

Azure Blob Storage

حيثما أمكن، قم بتقييد الوصول إلى تخزين الكائن الثنائي كبير الحجم باستخدام معرف Microsoft Entra لتخويل وصول المستخدم، وهويات الخدمة المدارة للوصول إلى الموارد إلى تخزين الكائن الثنائي كبير الحجم. إذا لم تعمل أنواع المصادقة هذه مع التطبيق الخاص بك، فاستخدم الرمز المميز لتوقيع الوصول المشترك (SAS) على المستوى الأكثر دقة، بدلا من مفتاح حساب. يتم إبطال رموز SAS المميزة بعد تدوير مفاتيح الحساب.

تأكد أيضاً من استخدام عنصر تحكم الوصول المستند إلى الدور لتخزين الكائن الثنائي كبير الحجم. استخدم Azure Storage Firewalls لمنع نسبة استخدام الشبكة، بخلاف نسبة استخدام الشبكة من خدمات Microsoft الموثوق بها. ادمج Azure Storage دائماً مع Microsoft Defender for Cloud وقم بتكوين المراقبة. يمكنك قراءة المزيد في ممارسات الأمان لـ Azure Blob Storage.

Azure Cosmos DB

يجب تمكين عناصر التحكم في الوصول المستندة إلى الدور لإدارة Azure Cosmos DB. يجب تأمين الوصول إلى البيانات في Azure Cosmos DB بشكل مناسب. يمكنك تكوين Azure Cosmos DB لتخزين سجلات التشخيص لعمليات وحدة التحكم وتخزين سجلات الموارد. راجع مزيد من التفاصيل في ممارسات الأمان لـ Azure Cosmos DB.

Azure Key Vault

يجب مصادقة الطلبات المقدمة إلى Azure Key Vault باستخدام معرف Microsoft Entra أو MSI بالإضافة إلى عناصر التحكم في الوصول المتميزة. دمج Key Vault مع Microsoft Defender for Cloud بالإضافة إلى تسجيل إجراءات Key Vault في Azure Monitor. يمكنك قراءة المزيد في ممارسات الأمان لـ Azure Key Vault.

Azure AD B2C

استخدم الميزات المضمنة في Azure AD B2C للحماية من التهديدات مثل رفض الخدمة والهجمات المستندة إلى كلمة المرور. تكوين تسجيل التدقيق للسماح بالتحقيقات الأمنية، وإنشاء تنبيهات السجل لأي سجلات إدارة التهديدات التي تم إنشاؤها بواسطة B2C. يمكنك قراءة المزيد في ممارسات الأمان لـ Azure AD B2C.

Azure Log Analytics

يجب أن تكون عناصر التحكم في الوصول المستندة إلى الدور موجودة لـ Log Analytics للسماح فقط للمستخدمين المعتمدين بالوصول إلى البيانات المرسلة إلى مساحة العمل. يمكنك قراءة المزيد في ممارسات الأمان لـ Azure Log Analytics.

Azure Application Insights

يجب التعتيم على أي بيانات شخصية قبل إرسالها إلى Application Insights. يجب أيضاً وضع عناصر التحكم في الوصول المستندة إلى الدور لـ Application Insights للسماح فقط للمستخدمين المعتمدين بعرض البيانات المرسلة إلى Application Insights. يمكنك قراءة المزيد في ممارسات الأمان لـ Application Insights.

بالإضافة إلى ذلك، راجع ممارسات الأمان لـ Azure Notification Hub.

تحسين التكلفة

يركز تحسين التكلفة على البحث عن طرق للحد من النفقات غير الضرورية وتحسين الكفاءة التشغيلية. لمزيد من المعلومات، راجع نظرة عامة على ركيزة تحسين التكلفة.

يختلف تسعير هذه البنية إلى حد كبير بناءً على مستويات الخدمات التي ينتهي بك الأمر باستخدامها، والسعة، والإنتاجية، وأنواع الاستعلامات التي يتم إجراؤها على البيانات، وعدد المستخدمين، فضلاً عن استمرارية الأعمال والتعافي من الكوارث. يمكن أن تبدأ من حوالي 2500 دولار كل شهر والمقياس من هناك.

للبدء، يمكنك عرض تقدير عام لحاسبة Azure هنا.

اعتماداً على حجم حمل العمل الخاص بك ومتطلبات وظائف المؤسسة، يمكن أن يؤدي استخدام مستوى استهلاك إدارة واجهة برمجة تطبيقات Azure إلى خفض التكلفة.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

• مات هانسن | مهندس برنامج السحابة

الخطوات التالية

• تعرف على المزيد حول خدمة Azure FHIR
• تعرف على المزيد حول Azure Health Data Services.
• تعرف على المزيد حول نشر واجهات برمجة التطبيقات الداخلية خارجياً.

الموارد ذات الصلة

• دليل هندسة خدمات البيانات الصحية في Azure
• الذكاء الاصطناعي البيانات الصحية المتوافقة مع HIPAA و HITRUST
• تطبيقات السحابة القابلة للتطوير وهندسة موثوقية الموقع (SRE)
• تطبيق ويب متكرر في المنطقة للأساس متوفر بشكل كبير
• تطبيق ويب متكرر في منطقة الأساس
• تطبيق ويب مُتعدد المناطق عالي التوفر