دليل بنية Azure Health Data Services

Azure Health Data Services
Azure API Management
Azure Application Gateway
Azure Synapse Analytics
Azure Firewall

تعد الإدارة الآمنة والفعالة للبيانات الصحية أمرا بالغ الأهمية لمنظمات الرعاية الصحية. توفر Azure Health Data Services نظاما أساسيا قويا يمكن لهذه المؤسسات استخدامه لتخزين البيانات الحساسة ومعالجتها وتحليلها مع الالتزام بمعايير الأمان والتوافق الصارمة. ومع ذلك، قد يكون نشر خدمات البيانات الصحية في بيئة مؤسسة معقدة أمرا صعبا إذا لم يكن لديك بنية مرجعية ودليل تنفيذ.

توفر هذه المقالة بنية نموذجية وتنفيذ نموذج مصاحب ومخطط لنشر خدمات البيانات الصحية مع أمان محسن ودمجه مع خدمات Azure الأخرى. يمكن أن يؤدي اتباع الممارسات الموضحة في هذا الدليل إلى تحسين قدرتك على حماية بياناتك الصحية.

البنية

Architecture diagram that shows how to deploy Health Data Services on Azure and integrate with other Azure services.

قم بتنزيل ملف Visio لهذه البنية.

‏‏سير العمل‬

  1. تتلقى بوابة تطبيق Azure رسائل موارد التشغيل التفاعلي للرعاية الصحية السريعة (FHIR) الفردية (على سبيل المثال، بيانات المريض) عبر اتصال TLS محسن الأمان يستخدم تدفق بيانات اعتماد العميل. ترسل بوابة التطبيق البيانات عبر Azure API Management إلى خدمة Health Data Services FHIR، حيث تستمر.
  2. في الوقت نفسه، يمكن للعميل قراءة نفس بيانات FHIR عبر اتصال TLS عبر بوابة التطبيق وإدارة واجهة برمجة التطبيقات باستخدام أداة مثل Postman.
  3. لمعالجة البيانات المجمعة، تتلقى بوابة التطبيق حزم FHIR عبر اتصال TLS الذي يستخدم تدفق بيانات اعتماد العميل ويحمل البيانات في حساب تخزين. تقوم دالة Azure لمحمل FHIR المدمجة مع الشبكة الظاهرية بمعالجة حزم FHIR وتحميل البيانات في خدمة FHIR.
  4. إذا كانت البيانات الواردة بتنسيق HL7 الإصدار 2 أو C-CDA، يمكنك أولا تحويلها إلى تنسيق FHIR باستخدام نقطة نهاية البيانات $convert في خدمة FHIR. يمكنك بعد ذلك نشر البيانات إلى خدمة FHIR باستخدام بوابة التطبيق. يستخدم Azure Container Registry، المتصل عبر نقطة نهاية خاصة، للتخزين، مع أمان محسن، وقوالب Liquid مخصصة لتحويل بيانات HL7 v2 أو C-CDA إلى بيانات FHIR. يظهر Container Registry في الرسم التخطيطي للبنية، ولكن لا يتم تنفيذ تحويل HL7 v2 / C-CDA إلى FHIR عبر $convert-data نموذج قالب تنفيذ Bicep.
  5. يستخرج FHIR إلى عامل مزامنة Synapse البيانات من خدمة FHIR (للبيانات التي يتم تناولها عبر تدفق البيانات الفردي أو المجمع)، ويحول البيانات المستخرجة إلى ملفات Parquet هرمية، ويكتبها في Azure Data Lake Storage.
  6. يستخدم Azure Synapse Analytics تجمع SQL أو Spark بلا خادم للاتصال ب Data Lake Storage للاستعلام عن بيانات FHIR وتحليلها. يتم عرض Azure Synapse Analytics في الرسم التخطيطي للبنية، ولكن لا يتم تنفيذه بواسطة قالب تنفيذ Bicep.
  7. تحتوي الشبكة الظاهرية المركزية على جهاز ظاهري jumpbox (VM) ومضيف Azure Bastion لتوفير وصول محسن للأمان إلى تكوين خدمة FHIR. يمكن مسؤول istrators وعوامل التشغيل أيضا استخدام jumpbox VM لاختبار نقاط نهاية خدمة FHIR دون المرور عبر بوابة التطبيق وتحميل بيانات FHIR بشكل مجمع يدويا عبر تخزين Azure، وتجاوز Application Gateway.
  8. إذا قمت بإنشاء اتصال شبكة محلية عبر Azure ExpressRoute أو VPN من موقع إلى موقع، يمكن للمستخدمين والخدمات المحلية الوصول مباشرة إلى خدمة FHIR عبر هذا الاتصال.

إشعار

يمكنك اختياريا إضافة جدار حماية تطبيق الويب (WAF) إلى بوابة التطبيق، ولكن هناك مشكلة معروفة في تحديد WAF لعناصر FHIR بشكل خاطئ ومعاملتها كتعليمات برمجية ضارة. إذا كنت بحاجة إلى WAF، فأنت بحاجة إلى تعديل مجموعة قواعد WAF يدويا لتمكين WAF من العمل مع كائنات FHIR.

المكونات

  • معرف Microsoft Entra هو دليل متعدد المستأجرين وخدمة إدارة الهوية المستندة إلى السحابة. يتم تسجيل تطبيقات العميل في معرف Microsoft Entra ويمكن استخدامها للوصول إلى خدمة Azure Health Data Services FHIR.

  • بوابة التطبيق هي نظام أساسي كخدمة (PaaS) طبقة 7 موازن تحميل يمكن أن تعمل كخدمة وكيل عكسي. يصل المستخدمون الداخليون والخارجيون إلى واجهات برمجة تطبيقات FHIR من خلال بوابة التطبيق عبر APIM.

  • API Management هي نظام أساسي مختلط متعدد السحابات لإدارة واجهات برمجة التطبيقات عبر جميع البيئات. يمكنك استيراد واجهات برمجة تطبيقات FHIR إلى APIM باستخدام تعريف واجهة برمجة تطبيقات Swagger. يمكنك استخدام إدارة واجهة برمجة التطبيقات لكبح المكالمات الواردة، ومصادقة/تخويل المستخدمين، وتنفيذ مهام أخرى.

  • خدمات البيانات الصحية هي مجموعة من خدمات واجهة برمجة التطبيقات المدارة استنادا إلى معايير وأطر عمل مفتوحة تمكن مهام سير العمل التي تحسن الرعاية الصحية وتقدم حلول رعاية صحية قابلة للتطوير ومحسنة للأمان. يتم نشر خدمة Health Data Services FHIR بنقطة نهاية خاصة للمساعدة في ضمان إمكانية الوصول إليها فقط من شبكتك الظاهرية أو من قبل مستخدمين خارجيين عبر الإنترنت عبر Application Gateway.

  • FHIR Loader هو حل Azure Functions يوفر خدمات لاستيراد حزم FHIR (مضغوطة وغير مضغوطة) وملفات NDJSON إلى خدمة FHIR.

  • Azure Key Vault هي خدمة Azure لتخزين الأسرار والمفاتيح والشهادات والوصول إليها مع أمان محسن. يوفر Key Vault الأمان المدعوم من HSM والوصول المدقق عبر عناصر التحكم في الوصول المستندة إلى الدور المدمجة مع معرف Microsoft Entra. في هذه البنية، يخزن Key Vault بيانات اعتماد jumpbox وشهادات Application Gateway وتفاصيل خدمة FHIR وتفاصيل FHIR Loader.

  • Container Registry هي خدمة تسجيل مدارة تستند إلى Docker Registry 2.0 مفتوح المصدر. في هذه البنية، يتم استخدامه لاستضافة قوالب Liquid . يمكنك استخدام $convert-data نقطة النهاية المخصصة في خدمة FHIR لتحويل البيانات الصحية من HL7 v2 وC-CDA إلى FHIR. $convert-data تستخدم العملية قوالب Liquid من محول FHIR لتحويل بيانات FHIR.

  • FHIR إلى عامل مزامنة Synapse هو تطبيق حاوية Azure يستخرج البيانات من خادم FHIR باستخدام واجهات برمجة التطبيقات لمورد FHIR، ويحولها إلى ملفات Parquet هرمية، ويكتبها إلى Data Lake Storage في الوقت الفعلي تقريبا. كما يحتوي على برنامج نصي لإنشاء جداول وطرق عرض خارجية في تجمع SQL بلا خادم في Azure Synapse Analytics الذي يشير إلى ملفات Parquet. على الرغم من أن الرسم التخطيطي للبنية يظهر FHIR إلى Synapse Sync Agent وData Lake Storage وAzure Synapse Analytics، فإن تنفيذ Bicep لا يتضمن حاليا التعليمات البرمجية لنشر هذه الخدمات.

  • Azure Firewall هي خدمة جدار حماية شبكة ذكية أصلية على السحابة توفر حماية من التهديدات لأحمال العمل السحابية في Azure. في هذه البنية، يتم استخدام جدول توجيه لتوجيه نسبة استخدام الشبكة الخارجة من الشبكة الظاهرية للمركز من خلال جدار حماية Azure للمساعدة في ضمان عدم حدوث النقل غير المصرح للبيانات. وبالمثل، يمكنك إنشاء مسارات جدول التوجيه وإرفاقها بالشبكات الفرعية للشبكة الظاهرية المحورية حسب الحاجة للمساعدة في منع تسرب بيانات معلومات الصحة العامة (PHI).

  • jumpbox هو جهاز Azure ظاهري يعمل بنظام Linux أو Windows يمكن للمسؤولين والمشغلين الاتصال به باستخدام بروتوكول سطح المكتب البعيد (RDP) أو Secure Shell (SSH). نظرا لأن معظم الخدمات (خدمات البيانات الصحية وإدارة واجهة برمجة التطبيقات وKey Vault وغيرها) في هذه البنية يتم نشرها بنقطة نهاية خاصة، فأنت بحاجة إلى جهاز ظاهري jumpbox لإجراء تغييرات التكوين أو اختبار هذه الخدمات. يمكن الوصول إلى jumpbox فقط عبر Azure Bastion.

  • يمكنك Azure Bastion من الاتصال بجهاز ظاهري باستخدام مستعرض أو مدخل Azure أو عبر عميل SSH/RDP الأصلي على جهاز الكمبيوتر الخاص بك. في هذا التنفيذ، يوفر Azure Bastion وصولا محسنا للأمان إلى jumpbox VM.

  • تساعد مبادرات نهج التوافق في Defender for Cloud وHIPAAA و HITRUST على ضمان التزام توزيع البنية الأساسية ل Azure بمعيار أمان السحابة من Microsoft ومتطلبات التوافق مع صناعة الرعاية الصحية.

تفاصيل السيناريو

يوفر هذا الحل إرشادات حول كيفية نشر خدمات البيانات الصحية مع أمان محسن، واستيعاب بيانات FHIR الفردية والجماعية، واستمرار البيانات في خدمة Health Data Services FHIR.

يمكنك استخدام الحل لتحميل رسائل FHIR، بشكل فردي وجماعي، في خدمة FHIR باستخدام اتصال Application Gateway محسن الأمان.

لتحليل بيانات FHIR واستخراج الرؤى، يمكنك نشر FHIR إلى Synapse Sync Agent كما هو موضح في الرسم التخطيطي. يمكن ل Azure Synapse Analytics الاتصال ب Data Lake Storage للاستعلام عن بيانات FHIR وتحليلها.

يمكنك توسيع الحل لتلقي البيانات من الأجهزة الطبية والأجهزة القابلة للارتداء باستخدام خدمة Health Data Services MedTech. يمكنك استخدام هذه الخدمة لتحويل البيانات إلى تنسيق FHIR واستمرارها في خدمة FHIR بحيث يمكنك استخراج الرؤى باستخدام Azure Synapse Analytics.

يمكنك أيضا توسيع الحل لاستيعاب البيانات غير FHIR (HL7 v2 وC-CDA)، وتحويلها إلى FHIR باستخدام قوالب Liquid، والتي يمكنك تخزينها في Container Registry، واستمرارها في خدمة FHIR.

توزيع هذا الحل

لنشر هذا الحل، اتبع الخطوات الواردة في بدء الاستخدام.

المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

مساهمون آخرون:

لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.

الخطوات التالية