Ez a cikk egy azure-beli fogyasztói egészségügyi digitális portál egy példaarchitektúráját ismerteti, amely megkönnyítheti az egészségügyi szolgáltatók és a betegek közötti kommunikációt. Ezen kívül ez a platform tárolhat orvosi adatokat, orvosi képeket, lehetővé teszi a beteg számára az egészségügyi adatok nyomon követését és egyebeket.
Architektúra
Töltse le az architektúra Visio-fájlját.
Munkafolyamat
- Ez a megoldás az Azure Front Door és az Azure Web Application Firewall (WAF) peremhálózati biztonsági funkcióinak globális lábnyomát használja a bejövő adatok hitelesítéséhez.
- A hitelesített adatokat ezután az Azure API Management (APIM) irányítja a Azure-alkalmazás szolgáltatás felhasználóinak előtérbeli felületére, vagy az Azure Functionsben üzemeltetett API-kra.
Az architektúrában használt elsődleges háttéradat-szolgáltatás az Azure Cosmos DB. Az Azure Cosmos DB többmodelles képességei a méretezhetőség és a biztonság mellett rugalmasságot biztosítanak bármilyen fogyasztói állapotportálhoz. A rekordformátumban nem szereplő adatok az Azure Blob Storage-ban lesznek tárolva objektumként. Ezek az adatok lehetnek orvosi képek, a fogyasztó által készített fényképek, feltöltött dokumentumok, archivált adatok stb. A Blob Storage megfizethető tárterületet biztosít nagy mennyiségű strukturálatlan adathoz. Az ilyen típusú adatok nem az Azure Cosmos DB-ben való tárolásra vannak optimalizálva, és negatívan befolyásolhatják annak költségeit és teljesítményét.
Összetevők
Az Azure HIPAA HITRUST 9.2 terv egy Azure Policyt használó Azure-terv. Segít felmérni a HIPAA HITRUST 9.2 vezérlőit, és üzembe helyezni egy alapvető szabályzatkészletet az Azure-számítási feladatokhoz. Bár ez nem biztosít teljes körű megfelelőségi lefedettséget a HIPAA HITRUST esetében, nagyszerű lehetőség további vezérlők indítására és hozzáadására, ahol alkalmazható és szükséges. A szabályzatkezdeményezéseknek való megfelelés is megjeleníthető ebben a tervben és a Felhőhöz készült Microsoft Defender felületén.
Az Azure Front Door a nagy léptékű peremhálózati forgalom kezelésére és a végfelhasználók teljesítményének növelésére szolgál a végpontok világszerte történő bemutatásával. Ez a technológia natív felhőbeli, ami nem igényel licencelést; csak azért kell fizetnie, amit használ. Ebben a számítási feladat forgatókönyvben az Azure Front Door szolgál a fogyasztói állapot portálra irányuló összes forgalom bejövő pontjaként.
Az Azure Web Application Firewall védelmet nyújt az alkalmazásoknak a gyakori webalapú támadásoktól, például az OWASP biztonsági réseitől, az SQL-injektálásoktól, a helyek közötti szkripteléstől és másoktól. Ez a technológia natív felhőbeli, amely nem igényel licencelést, és használatalapú fizetéses.
Az Azure API Management segítséget biztosít az API-k közzétételéhez, útválasztásához, biztonságossá tételéhez, naplózásához és elemzéséhez. Függetlenül attól, hogy az API-t csak a végfelhasználó használja, vagy egy harmadik féllel integrálva van a külső interoperabilitás érdekében, az API-k kezelése rugalmasságot biztosít az API-k kiterjesztése és bemutatása terén.
Azure-alkalmazás szolgáltatás HTTP-alapú webszolgáltatások üzemeltetésére szolgáló szolgáltatás. Támogatja a nyelvek széles skáláját, futtatható Linuxon vagy Windowson, teljes mértékben integrálható a CI-/CD-folyamatokkal, és akár tároló számítási feladatokat is futtathat PaaS-ajánlatként. Az App Service lehetővé teszi a vertikális felskálázást és a vertikális felskálázást is, emellett natív integrációt biztosít az identitás-, biztonsági és naplózási szolgáltatásokkal az Azure-ban. A megfelelőség fenntartása mellett képes megfelelni a fogyasztói állapot portál skálázási igényeinek. Ebben az architektúrában az előtérbeli webes portált üzemelteti.
Az Azure Function Apps egy kiszolgáló nélküli platformmegoldás az Azure-ban, amely lehetővé teszi a fejlesztők számára, hogy igény szerinti számítási kódot írjanak anélkül, hogy az alapul szolgáló rendszerek egyikét sem kellene fenntartaniuk. Ebben az architektúrában az Azure Functions api-kat és minden olyan munkát üzemeltethet, amelyet aszinkron módon kell elvégezni, például rendszeres feladatokat és számítási statisztikákat futtathat egy adott időszakban.
Az Azure Cosmos DB egy teljes mértékben felügyelt, többmodelles NoSQL-adatbázis-ajánlat, amely egyjegyű válaszidőket kínál, és bármilyen léptékben garantálja a teljesítményt. A fogyasztói állapotrendszer minden felhasználója csak önmagához kapcsolódó adatokkal rendelkezik, ami indokolja a NoSQL-adatstruktúra használatát. Az Azure Cosmos DB szinte korlátlan léptékű, valamint többrégiós olvasási és írási skálával rendelkezik. Az ilyen típusú fogyasztói állapotrendszerek által gyűjtött adatok drasztikus növekedésével az Azure Cosmos DB megfelelő biztonságot, sebességet és skálázást biztosít, függetlenül attól, hogy 100 vagy 1 000 000 aktív felhasználó van-e.
Az Azure Key Vault egy natív Azure-szolgáltatás, amely titkos kulcsok, kulcsok és tanúsítványok biztonságos tárolására és elérésére szolgál. A Key Vault HSM-alapú biztonságot és naplózást tesz lehetővé a Microsoft Entra integrált szerepköralapú hozzáférés-vezérlőivel. Az alkalmazásoknak soha nem szabad helyileg kulcsokat vagy titkos kulcsokat tárolniuk. Ez az architektúra az Azure Key Vault használatával tárolja az összes titkos kulcsot, például AZ API-kulcsokat, jelszavakat, titkosítási kulcsokat és tanúsítványokat.
Az Azure Active Directory B2C nagy léptékben biztosítja az üzleti felhasználók közötti identitásszolgáltatást, amelynek költsége az aktív felhasználók számával együtt skálázható. A fogyasztói alkalmazásokban, mint ez a megoldás, ahelyett, hogy új fiókot hozna létre, előfordulhat, hogy a felhasználók saját identitást szeretnének létrehozni. Ez lehet bármi a közösségi azonosítótól az e-mail-fiókig vagy bármely SAML-szolgáltatói identitásszolgáltatásig. Ez a módszer egyszerűbb előkészítési felületet biztosít a felhasználó számára. A megoldásszolgáltatónak csak a felhasználói identitásra kell hivatkoznia, és nem kell üzemeltetnie és karbantartania őket.
Az Azure Log Analytics egy Azure Monitor-naplóeszköz, amely diagnosztikai vagy naplózási információkhoz használható, és az adatok lekérdezéséhez rendezéshez, szűréshez vagy vizualizációhoz használható. Ez a szolgáltatás fogyasztás szerint van árazva, és tökéletes a diagnosztikai és használati naplók üzemeltetéséhez a megoldás összes szolgáltatásából.
A Azure-alkalmazás Insights, az Azure Monitor másik funkciója az Azure natív Alkalmazásteljesítmény-kezelési (APM) szolgáltatása. Könnyen integrálható az előtérbeli App Service-be és az összes Azure Functions-kódba az alkalmazások élő monitorozásának lehetővé tétele érdekében. Az Application Insights egyszerűen képes észlelni a teljesítményt, a használhatósági rendellenességeket és a közvetlenül az alkalmazásokból generált hibákat, és nem csak az őket üzemeltető számítási platformról.
Az Azure Communication Services olyan felhőalapú szolgáltatások, amelyek REST API-kkal és ügyfélkódtár-SDK-kkal érhetők el, amelyek segítenek integrálni a kommunikációt az alkalmazásokba. Az alkalmazásokhoz anélkül adhat hozzá kommunikációt, hogy az olyan mögöttes technológiák szakértője, mint a médiakódolás vagy a telefonálás. Ebben a megoldásban a fogyasztói állapot portállal kapcsolatos e-mailek, sms-ek vagy automatikus telefonhívások küldéséhez használható, például találkozók megerősítésére vagy emlékeztetőkre.
Az Azure Notification Hub egy egyszerű és méretezhető leküldéses értesítési motor, amely lehetővé teszi az értesítések küldését bármilyen mobilplatformra. A mobilalkalmazást használó fogyasztói állapotportálok integrálhatók az Azure Notification Hubbal, így költséghatékony módon küldhetnek értesítéseket azoknak a felhasználóknak, akik telepítették az alkalmazást a mobiljaikra. Ebben az architektúrában értesítések küldhetők, hogy emlékeztesse a felhasználókat a találkozójukra, hogy adatokat adjanak meg a leválasztott eszközökről, hogy elérjék bizonyos egészségügyi célokat, és így tovább.
Felhőhöz készült Microsoft Defender) a teljes natív felhőbeli megoldás biztonsági monitorozásának és állapotkezelésének központi eleme. Felhőhöz készült Microsoft Defender integrálható az Azure-platform szinte összes fő szolgáltatásával. Képességei közé tartoznak a biztonsági riasztások, az anomáliadetektálás, az ajánlott eljárásokra vonatkozó javaslatok, a szabályozási megfelelőségi pontszámok és a fenyegetésészlelés. A HIPAA/HITRUST-megfelelőség monitorozása és az Azure Security általános ajánlott eljárásainak monitorozása mellett ez a megoldás a következő szolgáltatáskészleteket használja:
Alternatívák
Az Azure Health Data Services részeként az Azure FHIR szolgáltatás hl7 vagy FHIR kommunikációs szabványok használatával használható az orvosi rekordok együttműködési képességére. Ezt a szolgáltatást akkor kell használni, ha az alkalmazásnak más rendszerekből kell orvosi adatokat fogadnia vagy továbbítania. Ha például ez a megoldás egy egészségügyi szolgáltatók számára készült portál, az Azure API for FHIR közvetlenül integrálható a szolgáltató elektronikus orvosi nyilvántartási rendszerével.
Az Azure IoT Hub egy olyan szolgáltatás, amely finomhangolt az eszközadatok betöltéséhez. Ha a portál egy olyan megoldás előtere, amely egy hordható vagy bármely más orvostechnikai eszközről gyűjt adatokat, az IoT Hubot kell használni az adatok betöltésére. További információkért olvassa el a távoli betegmonitorozási megoldások architektúrájának INGEST-folyamatát.
A Microsoft 365 E-mail az e-mailek és a kommunikáció piacvezető szolgáltatása. Sok szervezet már fektetett be ebbe a szolgáltatásba, és a teljes körű Azure Communication Services alternatívaként is használható. Ebben a megoldásban a fogyasztói állapot portálhoz kapcsolódó e-mailek küldéséhez használható, például találkozómegerősítő vagy emlékeztető e-mailek küldéséhez.
Forgatókönyv részletei
Az egész egészségügyi és élettudományi ágazatban a szervezetek digitális egészségügyi stratégiát vezetnek be. A digitális egészségügyi megoldások egyik alapvető pillére és szükséges összetevője a fogyasztói egészségügyi portál. A fogyasztói egészségügyi portál használható a hordható eszköz állapotának és statisztikáinak nyomon követésére, egy egészségügyi szolgáltatóval való kapcsolatra, vagy akár az egészséges étkezési szokások nyomon követésére.
Lehetséges használati esetek
- Hordható eszközök statisztikáinak nyomon követése.
- Szerezzen hozzáférést az orvosi adatokhoz, és lépjen kapcsolatba egy egészségügyi szolgáltatóval.
- Adja meg a gyógyszerek idejét és adagjait, amelyek felhasználhatók az adatok feltöltésére vagy a gyógyszerek önkövetésére.
- Kölcsönhatásba léphet egy egészséges étkezési edző a fogyás vagy a cukorbetegség.
Megfontolások
Ezek a szempontok implementálják az Azure Well-Architected Framework alappilléreit, amely a számítási feladatok minőségének javítására használható vezérelvek halmaza. További információ: Microsoft Azure Well-Architected Framework.
Elérhetőség
Ez a megoldás jelenleg egyrégiós üzemelő példányként van kialakítva. Ha a forgatókönyv többrégiós üzembe helyezést igényel a magas rendelkezésre álláshoz, a vészhelyreállításhoz vagy akár a közelséghez, előfordulhat, hogy párosított Azure-régióra van szüksége az alábbi konfigurációkkal.
Az Azure Cosmos DB többrégiós konfiguráció engedélyezésére van kiterjesztve.
Az Azure API Management ci/CD használatával van üzembe helyezve egy másodlagos régióban. Az API Management többrégiós üzembehelyezési képességét is alkalmazhatja.
Azure-alkalmazás szolgáltatás és függvények külön vannak üzembe helyezve több régióban. Ez az üzembe helyezés a CI/CD-folyamaton belül is elvégezhető párhuzamos üzembe helyezés létrehozásával. További útmutatásért olvassa el a magas rendelkezésre állású többrégiós webalkalmazást .
Az RTO (helyreállítási idő célkitűzése) követelményétől függően az Azure Blob Storage konfigurálható georedundáns tárolásként (GRS) vagy írásvédett georedundáns tárolóként (RA-GRS), amely lehetővé teszi az olvasást közvetlenül a másodlagos régióból. További információkért tekintse meg az Azure Storage redundancia cikkét .
Az Azure Key Vault szolgáltatásban több rendelkezésre állási és redundanciaréteg is be van építve.
Biztonság
A biztonság biztosítékokat nyújt a szándékos támadások és az értékes adatokkal és rendszerekkel való visszaélés ellen. További információ: A biztonsági pillér áttekintése.
A következő szakaszok a megoldásban használt összes szolgáltatás biztonsági ajánlott eljárásait ismertetik.
Azure Front Door
Az Azure Front Door webalkalmazási tűzfalát (WAF) számos különböző gyakori támadás enyhítésére kell használni. Jó alapkonfiguráció, ha az Open Web Application Security Project (OWASP) alapvető szabálykészleteinek (CRS) legújabb verzióját használja, majd szükség szerint egyéni szabályzatokat ad hozzá. Bár az Azure Front Door nagy mennyiségű forgalmat képes elnyelni, fontolja meg az ezzel a szolgáltatással elérhető gyorsítótárazási mechanizmusokat, hogy lehetőség szerint csökkentse a háttérrendszerekbe irányuló forgalomterhelést. A lehetséges biztonsági vizsgálatok hibaelhárításához és támogatásához a naplózást az Azure Front Doorhoz és a webalkalmazási tűzfalhoz is konfigurálni kell. Az Azure Front Door biztonsági eljárásairól bővebben is olvashat.
Azure API Management
Az APIM felé történő összes forgalmat hitelesíteni kell az Azure AD B2C APIM-hitelesítéssel vagy jogkivonattal azonosított munkamenetekkel. Az Azure API Management konfigurálása erőforrásnaplók tárolására. Az Azure API Management biztonsági eljárásairól bővebben is olvashat.
Azure App Service
Az architektúra minden forgalmát, beleértve az App Service-t is, teljes körűen biztonságossá kell tenni a TLS-lel. Az App Service-nek meg kell tagadnia a nem biztonságos protokollokat a támadási felület meghúzásához. Emellett az APIM-nak vissza kell adnia az ügyfél hitelesítését az App Service-nek, hogy lehetővé tegye a saját ügyfélhitelesítés és -engedélyezés alapján történő érvényesítését. Az App Service-ben használt összes titkos kulcsot a Key Vaultban kell tárolni, ahol lehetséges, felügyelt szolgáltatás-identitással. Az App Service-nek diagnosztikai naplókat is kell tárolnia a biztonsági diagnosztikai erőfeszítések támogatásához, és integrálva kell lennie az App Service-hez készült Microsoft Defenderrel. További információ a Azure-alkalmazás szolgáltatás biztonsági eljárásairól
Azure Functions
A megoldásban az Azure Functions-nek küldött összes kérésnek HTTPS-t, az Azure API Managementet kell használnia a kérések hitelesítéséhez, és ahol lehetséges, felügyelt identitásokat kell használnia. Tárolja az összes kulcsot az Azure Key Vaultban ahelyett, hogy a függvénykódban hagyná őket. Mint minden alkalmazásnál, mindenképpen ellenőrizze az adatokat a bemenetnél, és integráljon Felhőhöz készült Microsoft Defender. Végül mindig konfigurálja az Azure Functions naplózását és monitorozását. Az Azure Functions biztonsági eljárásairól bővebben is olvashat.
Azure Blob Storage
Ahol lehetséges, korlátozza a blobtárolóhoz való hozzáférést a Microsoft Entra-azonosítóval a felhasználói hozzáférés engedélyezéséhez, valamint a felügyelt szolgáltatásidentitások a blobtárolóhoz való erőforrás-hozzáféréshez. Ha ezek a hitelesítési típusok nem működnek az alkalmazáshoz, használjon fiókkulcs helyett egy SAS-jogkivonatot a legrészletesebb szinten. A fiókkulcsok elforgatása után az SAS-jogkivonatok érvénytelenítve lesznek.
Győződjön meg arról, hogy szerepköralapú hozzáférés-vezérlést is használ a blobtárolóhoz. Az Azure Storage-tűzfalak használatával tiltsa le a hálózati forgalmat a megbízható Microsoft-szolgáltatásoktól eltérő forgalom kivételével. Mindig integrálja az Azure Storage-t Felhőhöz készült Microsoft Defender, és konfigurálja a monitorozást. Az Azure Blob Storage biztonsági eljárásairól bővebben is olvashat.
Azure Cosmos DB
A szerepköralapú hozzáférés-vezérlőket engedélyezni kell az Azure Cosmos DB-felügyelethez. Az Adatokhoz való hozzáférést az Azure Cosmos DB-ben megfelelően védeni kell. Az Azure Cosmos DB konfigurálható úgy, hogy diagnosztikai naplókat tároljon a vezérlősík műveleteihez és az erőforrásnaplók tárolásához. További részletek az Azure Cosmos DB biztonsági eljárásairól.
Azure Key Vault
Az Azure Key Vaulthoz küldött kéréseket a kiemelt hozzáférés-vezérléseken kívül Microsoft Entra-azonosítóval vagy MSI-sel kell hitelesíteni. A Key Vault integrálása Felhőhöz készült Microsoft Defender a Key Vault-műveletek Azure Monitorban való naplózása mellett. További információ az Azure Key Vault biztonsági eljárásairól.
Azure AD B2C
Az Azure AD B2C beépített funkcióival védheti a fenyegetéseket , például a szolgáltatásmegtagadást és a jelszóalapú támadásokat. Konfigurálja a naplózást a biztonsági vizsgálatok engedélyezéséhez, valamint a B2C által létrehozott fenyegetéskezelési naplók naplóriasztásainak létrehozásához. További információ az Azure AD B2C biztonsági eljárásairól.
Azure Log Analytics
A Log Analytics számára szerepköralapú hozzáférés-vezérlőket kell létrehozni, hogy csak a jogosult felhasználók férhessenek hozzá a munkaterületre küldött adatokhoz. Az Azure Log Analytics biztonsági eljárásairól bővebben is olvashat.
Azure Application Insights
Minden személyes adatot el kell rögzíteni, mielőtt elküldené őket az Application Insightsnak. Az Application Insights szerepköralapú hozzáférés-vezérlését is be kell állítani, hogy csak a jogosult felhasználók tekinthessék meg az Application Insightsnak küldött adatokat. A Azure-alkalmazás Insights biztonsági eljárásairól bővebben is olvashat.
Emellett tekintse meg az Azure Notification Hub biztonsági eljárásait is.
Költségoptimalizálás
A költségoptimalizálás a szükségtelen kiadások csökkentésének és a működési hatékonyság javításának módjairól szól. További információ: A költségoptimalizálási pillér áttekintése.
Az architektúra díjszabása nagyrészt változó a használt szolgáltatások szintjei, a kapacitás, az átviteli sebesség, az adatokon végzett lekérdezések típusai, a felhasználók száma, valamint az üzletmenet folytonossága és a vészhelyreállítás alapján. Ez körülbelül 2500 USD/hó összegből indulhat ki, és onnan skálázható.
Első lépésként itt tekintheti meg az Azure Calculator általános becslését.
A számítási feladatok méretétől és a nagyvállalati funkciókra vonatkozó követelményektől függően az Azure API Management használati szintje csökkentheti a költségeket.
Közreműködők
Ezt a cikket a Microsoft tartja karban. Eredetileg a következő közreműködők írták.
Fő szerző:
- Matt Hansen | Felhőprogram-tervező
Következő lépések
- További információ az Azure FHIR szolgáltatásról
- További információ az Azure Health Data Servicesről.
- További információ a belső API-k külső közzétételéről.
Kapcsolódó erőforrások
- Az Azure Health Data Services architektúra-útmutatója
- HIPAA- és HITRUST-kompatibilis állapotadatok AI
- Méretezhető felhőalkalmazások és helymegerősítési mérnöki (SRE)
- Alapkonfiguráció magas rendelkezésre állású zónaredundáns webalkalmazás
- Alapkonfiguráció zónaredundáns webalkalmazása
- Magas rendelkezésre állású többrégiós webalkalmazás