Die sichere und effiziente Verwaltung von Gesundheitsdaten ist für Organisationen im Gesundheitswesen von entscheidender Bedeutung. Azure Health Data Services bietet eine leistungsstarke Plattform, die diese Organisationen zum Speichern, Verarbeiten und Analysieren vertraulicher Daten unter Einhaltung strenger Sicherheits- und Compliancestandards verwenden können. Die Bereitstellung von Health Data Services in einer komplexen Unternehmensumgebung kann jedoch schwierig sein, wenn Sie nicht über eine Referenzarchitektur und eine Anleitung für die Implementierung verfügen.
Dieser Artikel enthält eine Beispielarchitektur, eine entsprechende Beispielimplementierung und eine Blaupause für die Bereitstellung von Health Data Services mit erweiterter Sicherheit und die Integration in andere Azure-Dienste. Wenn Sie die in diesem Leitfaden beschriebenen Best Practices befolgen, können Sie Ihre Gesundheitsdaten besser schützen.
Aufbau
Laden Sie eine Visio-Datei dieser Architektur herunter.
Workflow
- Azure Application Gateway empfängt einzelne FHIR-Nachrichten (Fast Healthcare Interoperability Resources), wie z. B. Patientendaten, über eine TLS-Verbindung mit erweiterter Sicherheit, die einen Clientanmeldeinformations-Flow verwendet. Application Gateway sendet die Daten über Azure API Management an den FHIR-Dienst Health Data Services, wo sie beibehalten werden.
- Gleichzeitig kann ein Client dieselben FHIR-Daten über eine TLS-Verbindung über Application Gateway und API Management mithilfe eines Tools lesen, z. B. Postman.
- Für die Massendatenverarbeitung empfängt Application Gateway FHIR-Bundles über eine TLS-Verbindung, die einen Clientanmeldeinformations-Flow verwendet, und lädt die Daten in ein Speicherkonto. Eine Azure-Funktion des FHIR Loader, die in das virtuelle Netzwerk integriert ist, verarbeitet FHIR-Pakete und lädt die Daten in den FHIR-Dienst.
- Wenn die eingehenden Daten im Format HL7 Version 2 oder C-CDA vorliegen, können Sie sie zunächst mithilfe des Endpunkts $convert-data im FHIR-Dienst in das FHIR-Format konvertieren. Anschließend können Sie die Daten mithilfe von Application Gateway an den FHIR-Dienst senden. Azure Container Registry, die über einen privaten Endpunkt verbunden ist, wird verwendet, um mit erhöhter Sicherheit benutzerdefinierte Liquid-Vorlagen für die Konvertierung von HL7 v2- oder C-CDA-Daten in FHIR-Daten zu speichern. Container Registry wird im Architekturdiagramm zwar angezeigt, jedoch wird die Konvertierung von HL7 v2 oder C-CDA in FHIR über
$convert-datanicht über die beispielhafte Bicep-Implementierung implementiert. - Der FHIR-zu-Synapse-Synchronisierungs-Agent extrahiert Daten aus dem FHIR-Dienst (Daten, die entweder über den Einzeldatenfluss oder den Massendatenfluss erfasst werden), konvertiert die extrahierten Daten in hierarchische Parquet-Dateien und schreibt sie in Azure Data Lake Storage.
- Azure Synapse Analytics verwendet einen serverlosen SQL- oder Spark-Pool, um eine Verbindung mit Data Lake Storage herzustellen, um FHIR-Daten abzufragen und zu analysieren. Azure Synapse Analytics wird im Architekturdiagramm angezeigt, wird aber nicht von der Bicep-Implementierungsvorlage implementiert.
- Das virtuelle Hubnetzwerk enthält eine Jumpbox-VM (VM) und einen Azure Bastion-Host, um Zugriff auf die Konfiguration des FHIR-Diensts mit erweiterter Sicherheit zu ermöglichen. Administratoren und Operatoren können auch die Jumpbox-VM verwenden, um Endpunkte des FHIR-Diensts zu testen, ohne Application Gateway zu verwenden und FHIR-Daten manuell über Azure Storage zu laden, wodurch Application Gateway umgangen wird.
- Wenn Sie eine lokale Netzwerkkonnektivität über Azure ExpressRoute oder Site-to-Site-VPN einrichten, können lokale Benutzer und Dienste über diese Verbindung direkt auf den FHIR-Dienst zugreifen.
Hinweis
Sie können optional Web Application Firewall (WAF) zu Application Gateway hinzufügen, jedoch besteht ein bekanntes Problem bei der falschen Identifizierung von FHIR-Objekten und deren Behandlung als schädlichen Code. Wenn Sie WAF benötigen, müssen Sie Ihren WAF-Regelsatz manuell ändern, damit WAF mit FHIR-Objekten arbeiten kann.
Komponenten
Microsoft Entra ID ist ein mehrinstanzenfähiger, cloudbasierter Verzeichnis- und Identitätsverwaltungsdienst. Clientanwendungen sind in Microsoft Entra ID registriert und können für den Zugriff auf den FHIR-Dienst Azure Health Data Services verwendet werden.
Application Gateway ist ein Layer-7 PaaS-Lastenausgleich (Platform-as-a-Service), der als Reverseproxydienst fungieren kann. Interne und externe Benutzer greifen über Application Gateway über API Management auf die FHIR-APIs zu.
API Management ist eine Hybridplattform mit mehreren Clouds für die Verwaltung von APIs in allen Umgebungen. Sie können FHIR-APIs mithilfe der Swagger-API-Definition in API Management importieren. Sie können API Management verwenden, um eingehende Aufrufe zu drosseln, Benutzer zu authentifizieren/autorisieren und andere Aufgaben auszuführen.
Azure Health Data Services besteht aus einer Reihe verwalteter API-Dienste, die auf offenen Standards und Frameworks basieren und Workflows zur Verbesserung des Gesundheitswesens sowie skalierbare und sichere Lösungen in diesem Sektor bieten. Der FHIR-Dienst Health Data Services wird mit einem privaten Endpunkt bereitgestellt, um sicherzustellen, dass nur von Ihrem virtuellen Netzwerk oder von externen Benutzern über das Internet über Application Gateway darauf zugegriffen werden kann.
FHIR Loader ist eine Lösung von Azure Functions, die Dienste zum Importieren von FHIR-Bundles (komprimiert und nicht komprimiert) und NDJSON-Dateien in einen FHIR-Dienst bereitstellt.
Azure Key Vault ist ein Azure-Dienst, der es ermöglicht, Geheimnisse, Schlüssel und Zertifikate mit verbesserter Sicherheit zu speichern und auf sie zuzugreifen. Key Vault bietet HSM-gestützte Sicherheit und überwachten Zugriff über rollenbasierte Zugriffssteuerungen mit Microsoft Entra ID-Integration. In dieser Architektur speichert Key Vault Jumpbox-Anmeldeinformationen, Application Gateway-Zertifikate sowie Details zum FHIR-Dienst und FHIR Loader.
Container Registry ist ein verwalteter Registrierungsdienst, der auf Version 2.0 der Open-Source-Docker-Registrierung basiert. In dieser Architektur wird er zum Hosten von Liquid-Vorlagen verwendet. Sie können den benutzerdefinierten Endpunkt
$convert-dataim FHIR-Dienst verwenden, um Gesundheitsdaten von HL7 v2 und C-CDA nach FHIR zu konvertieren. Der$convert-data-Vorgang verwendet Liquid-Vorlagen des FHIR Converter für die Konvertierung der FHIR-Daten.Der FHIR-zu-Synapse-Synchronisierungs-Agent ist eine Azure-Container-App, die Daten von einem FHIR-Server mithilfe von FHIR-Ressourcen-APIs extrahiert, in hierarchische Parquet-Dateien konvertiert und nahezu in Echtzeit in Data Lake Storage schreibt. Sie enthält auch ein Skript zum Erstellen externer Tabellen und Ansichten im serverlosen SQL-Pool von Azure Synapse Analytics, die auf die Parquet-Dateien verweisen. Obwohl das Architekturdiagramm den FHIR-zu-Synapse-Synchronisierungs-Agent, Data Lake Storage und Azure Synapse Analytics anzeigt, enthält die Bicep-Implementierung derzeit nicht den Code zum Bereitstellen dieser Dienste.
Azure Firewall ist ein cloudnativer, intelligenter Dienst mit Netzwerkfirewall, der Bedrohungsschutz für Cloudworkloads in Azure bietet. In dieser Architektur wird eine Routingtabelle verwendet, um ausgehenden Datenverkehr aus dem virtuellen Hubnetzwerk über Azure Firewall weiterzuleiten, um sicherzustellen, dass keine Datenexfiltration erfolgt. Ebenso können Sie Routingtabellen-Routen erstellen und diese bei Bedarf an Spoke-vNET-Subnetze anfügen, um die Exfiltration geschützter Gesundheitsinformationen (Protected Health Information, PHI) zu verhindern.
Die Jumpbox ist eine Azure-VM in Linux oder Windows, mit der Administratoren und Operatoren mithilfe des Remotedesktopprotokolls (RDP) oder Secure Shell (SSH) eine Verbindung herstellen können. Da die meisten Dienste (Health Data Services, API Management, Key Vault und andere) in dieser Architektur mit einem privaten Endpunkt bereitgestellt werden, benötigen Sie eine Jumpbox-VM, um die Konfiguration zu ändern oder diese Dienste zu testen. Auf die Jumpbox kann nur über Azure Bastion zugegriffen werden.
Mit Azure Bastion können Sie eine Verbindung mit einer VM herstellen, indem Sie einen Browser, das Azure-Portal oder einen nativen SSH/RDP-Client auf Ihrem Computer verwenden. In dieser Implementierung ermöglicht Azure Bastion erweiterten Sicherheitszugriff auf die Jumpbox-VM.
Defender for Cloud sowie HIPAA- und HITRUST-Compliancerichtlinien helfen dabei sicherzustellen, dass die Bereitstellung der Azure-Infrastruktur der Microsoft-Benchmark für Cloudsicherheit und den Complianceanforderungen im Gesundheitswesen entspricht.
Szenariodetails
Die Lösung bietet Anleitungen zum Bereitstellen von Health Data Services mit erhöhter Sicherheit, zur Erfassung einzelner sowie FHIR-Massendaten und zur Speicherung der Daten im FHIR-Dienst Health Data Services.
Sie können die Lösung verwenden, um FHIR-Nachrichten einzeln und massenweise in den FHIR-Dienst zu laden, indem Sie eine Application-Gateway-Verbindung mit erweiterter Sicherheit verwenden.
Um FHIR-Daten zu analysieren und Erkenntnisse zu extrahieren, können Sie den FHIR-zu-Synapse-Synchronisierungs-Agent wie im Diagramm dargestellt bereitstellen. Azure Synapse Analytics kann eine Verbindung mit Data Lake Storage herstellen, um FHIR-Daten abzufragen und zu analysieren.
Sie können die Lösung erweitern, um Daten von medizinischen und tragbaren Geräten zu empfangen, indem Sie den Medizintechnikdienst von Health Data Services verwenden. Sie können diesen Dienst verwenden, um Daten in das FHIR-Format zu transformieren und im FHIR-Dienst zu speichern, sodass Sie Erkenntnisse mithilfe von Azure Synapse Analytics extrahieren können.
Sie können die Lösung auch erweitern, um Nicht-FHIR-Daten (HL7 v2 und C-CDA) zu erfassen, sie mithilfe von Liquid-Vorlagen in FHIR zu konvertieren, die Sie in Container Registry speichern können, und sie im FHIR-Dienst beizubehalten.
Stellen Sie diese Lösung bereit
Zum Bereitstellen dieser Lösung führen Sie die Schritte im Leitfaden Erste Schritte aus.
Beitragende
Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:
Hauptautor:
- Umar Mohamed Usman | Principal Engineer
Andere Mitwirkende:
- Mick Alberts | Technical Writer
- Srini Padala | Senior Engineer
- Sonalika Roy | Senior Engineer
- Victor Santana | Senior Engineer
Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.
Nächste Schritte
- Azure Health Data Services Workshop
- Erste Schritte mit Azure Health Data Services
- FHIR-Bulk Loader und Export
- Swagger-Generation des FHIR-Servers für API Management
- Verwenden von FHIR Converter zum Konvertieren von HL7 v2- und C-CDA-Daten