Panduan arsitektur Azure Health Data Services

Manajemen data kesehatan yang aman dan efisien sangat penting untuk organisasi layanan kesehatan. Azure Health Data Services menyediakan platform canggih yang dapat digunakan organisasi ini untuk menyimpan, memproses, dan menganalisis data sensitif sambil mematuhi standar keamanan dan kepatuhan yang ketat. Namun, menyebarkan Health Data Services di lingkungan perusahaan yang kompleks dapat menjadi tantangan jika Anda tidak memiliki arsitektur referensi dan panduan implementasi.

Artikel ini menyediakan arsitektur sampel, implementasi sampel yang menyertainya, dan cetak biru untuk menyebarkan Health Data Services dengan keamanan yang ditingkatkan dan mengintegrasikannya dengan layanan Azure lainnya. Mengikuti praktik yang diuraikan dalam panduan ini dapat meningkatkan kemampuan Anda untuk melindungi data kesehatan Anda.

Sistem

Unduh file Visio arsitektur ini.

Alur kerja

1. Azure Application Gateway menerima pesan Sumber Daya Interoperabilitas Fast Healthcare (FHIR) individual (misalnya, data pasien) melalui koneksi TLS keamanan yang ditingkatkan yang menggunakan Alur Kredensial Klien. Application Gateway mengirimkan data melalui Azure API Management ke layanan Health Data Services FHIR, tempat data disimpan.
2. Secara bersamaan, klien dapat membaca data FHIR yang sama melalui koneksi TLS melalui Application Gateway dan API Management.
3. Untuk pemrosesan data massal, Application Gateway menerima bundel FHIR melalui koneksi TLS yang menggunakan Alur Kredensial Klien dan memuat data ke akun penyimpanan. Fungsi FHIR Loader Azure yang terintegrasi dengan jaringan virtual memproses bundel FHIR dan memuat data ke dalam layanan FHIR.
4. Jika data masuk dalam format HL7 versi 2 atau C-CDA, Anda dapat terlebih dahulu mengonversinya ke format FHIR dengan menggunakan titik akhir $convert-data di layanan FHIR. Anda kemudian dapat memposting data ke layanan FHIR dengan menggunakan Application Gateway. Azure Container Registry, yang terhubung melalui titik akhir privat, digunakan untuk menyimpan, dengan keamanan yang ditingkatkan, templat Liquid yang disesuaikan untuk mengonversi data HL7 v2 atau C-CDA ke data FHIR. Container Registry ditampilkan dalam diagram arsitektur, tetapi konversi HL7 v2 / C-CDA ke FHIR melalui $convert-data tidak diimplementasikan oleh sampel templat implementasi Bicep.
5. FHIR ke Synapse Sync Agent mengekstrak data dari layanan FHIR (untuk data yang diserap melalui aliran data individual atau massal), mengonversi data yang diekstrak menjadi file Parquet hierarkis, dan menulisnya ke Azure Data Lake Storage.
6. Azure Synapse Analytics menggunakan kumpulan SQL atau Spark tanpa server untuk menyambungkan ke Data Lake Storage untuk mengkueri dan menganalisis data FHIR. Azure Synapse Analytics ditampilkan dalam diagram arsitektur, tetapi tidak diimplementasikan oleh templat implementasi Bicep.
7. Jaringan virtual hub berisi komputer virtual jumpbox (VM) dan host Azure Bastion untuk menyediakan akses keamanan yang ditingkatkan ke konfigurasi layanan FHIR. Administrator dan operator juga dapat menggunakan VM jumpbox untuk menguji titik akhir layanan FHIR tanpa melewati Application Gateway dan untuk memuat data FHIR secara massal secara manual melalui penyimpanan Azure, melewati Application Gateway.
8. Jika Anda membuat konektivitas jaringan lokal melalui Azure ExpressRoute atau VPN situs-ke-situs, pengguna dan layanan lokal dapat langsung mengakses layanan FHIR melalui koneksi ini.

Komponen

• MICROSOFT Entra ID adalah layanan manajemen identitas dan direktori berbasis cloud multipenyewa. Aplikasi klien terdaftar di ID Microsoft Entra dan dapat digunakan untuk mengakses layanan FHIR Azure Health Data Services.

• Application Gateway adalah penyeimbang muatan lapisan-7 platform as a service (PaaS) yang dapat bertindak sebagai layanan proksi terbalik. Pengguna internal dan eksternal mengakses API FHIR melalui Application Gateway melalui API Management.

• API Management adalah platform multicloud hibrid untuk mengelola API di semua lingkungan. Anda dapat mengimpor API FHIR ke API Management dengan menggunakan definisi API Swagger. Anda dapat menggunakan API Management untuk membatasi panggilan masuk, mengautentikasi/mengotorisasi pengguna, dan melakukan tugas lain.

• Health Data Services adalah sekumpulan layanan API terkelola berdasarkan standar dan kerangka kerja terbuka yang memungkinkan alur kerja yang meningkatkan layanan kesehatan dan menawarkan solusi layanan kesehatan yang dapat diskalakan dan ditingkatkan. Layanan FHIR Health Data Services disebarkan dengan titik akhir privat untuk membantu memastikan bahwa layanan tersebut hanya dapat diakses dari jaringan virtual Anda atau oleh pengguna eksternal melalui internet melalui Application Gateway.

• FHIR Loader adalah solusi Azure Functions yang menyediakan layanan untuk mengimpor bundel FHIR (terkompresi dan tidak terkompresi) dan file NDJSON ke dalam layanan FHIR.

• Azure Key Vault adalah layanan Azure untuk menyimpan dan mengakses rahasia, kunci, dan sertifikat dengan keamanan yang ditingkatkan. Key Vault menyediakan keamanan yang didukung HSM dan akses yang diaudit melalui kontrol akses berbasis peran yang terintegrasi dengan ID Microsoft Entra. Dalam arsitektur ini, Key Vault menyimpan kredensial jumpbox, sertifikat Application Gateway, detail layanan FHIR, dan detail FHIR Loader.

• Container Registry adalah layanan registri terkelola yang didasarkan pada Docker Registry sumber terbuka 2.0. Dalam arsitektur ini, ini digunakan untuk menghosting templat Liquid . Anda dapat menggunakan $convert-data titik akhir kustom di layanan FHIR untuk mengonversi data kesehatan dari HL7 v2 dan C-CDA ke FHIR. Operasi ini $convert-data menggunakan templat Liquid dari FHIR Converter untuk konversi data FHIR.

• FHIR ke Synapse Sync Agent adalah aplikasi kontainer Azure yang mengekstrak data dari server FHIR dengan menggunakan API sumber daya FHIR, mengonversinya menjadi file Parquet hierarkis, dan menulisnya ke Data Lake Storage mendekati real time. Ini juga berisi skrip untuk membuat tabel dan tampilan eksternal di kumpulan SQL tanpa server Azure Synapse Analytics yang menunjuk ke file Parquet. Meskipun diagram arsitektur menunjukkan FHIR ke Synapse Sync Agent, Data Lake Storage, dan Azure Synapse Analytics, implementasi Bicep saat ini tidak menyertakan kode untuk menyebarkan layanan ini.

• Azure Firewall adalah layanan firewall jaringan cerdas cloud-native yang memberikan perlindungan ancaman untuk beban kerja cloud Anda di Azure. Dalam arsitektur ini, tabel rute digunakan untuk merutekan lalu lintas keluar dari jaringan virtual hub melalui Azure Firewall untuk membantu memastikan penyelundupan data tidak terjadi. Demikian pula, Anda dapat membuat rute tabel rute dan melampirkannya ke subnet jaringan virtual spoke sesuai kebutuhan untuk membantu mencegah eksfiltrasi data informasi kesehatan publik (PHI).

• Jumpbox adalah VM Azure yang menjalankan Linux atau Windows yang dapat disambungkan oleh administrator dan operator dengan menggunakan Remote Desktop Protocol (RDP) atau Secure Shell (SSH). Karena sebagian besar layanan (Health Data Services, API Management, Key Vault, dan lainnya) dalam arsitektur ini disebarkan dengan titik akhir privat, Anda memerlukan VM jumpbox untuk membuat perubahan konfigurasi atau menguji layanan ini. Jumpbox hanya dapat diakses melalui Azure Bastion.

• Azure Bastion memungkinkan Anda menyambungkan ke VM dengan menggunakan browser, portal Azure, atau melalui klien SSH/RDP asli di komputer Anda. Dalam implementasi ini, Azure Bastion menyediakan akses keamanan yang ditingkatkan ke VM jumpbox.

• Defender untuk Cloud dan inisiatif kebijakan kepatuhan HIPAA dan HITRUST membantu memastikan bahwa penyebaran infrastruktur Azure mematuhi tolok ukur keamanan cloud Microsoft dan persyaratan kepatuhan industri Kesehatan.

Detail skenario

Solusi ini memberikan panduan tentang cara menyebarkan Health Data Services dengan keamanan yang ditingkatkan, menyerap data FHIR individual dan massal, dan mempertahankan data ke dalam layanan FHIR Health Data Services.

Anda dapat menggunakan solusi untuk memuat pesan FHIR, secara individual dan massal, ke layanan FHIR dengan menggunakan koneksi Application Gateway keamanan yang ditingkatkan.

Untuk menganalisis data FHIR dan mengekstrak wawasan, Anda dapat menyebarkan FHIR ke Synapse Sync Agent seperti yang ditunjukkan dalam diagram. Azure Synapse Analytics dapat tersambung ke Data Lake Storage untuk mengkueri dan menganalisis data FHIR.

Anda dapat memperluas solusi untuk menerima data dari perangkat medis dan yang dapat dipakai dengan menggunakan layanan MedTech Health Data Services. Anda dapat menggunakan layanan ini untuk mengubah data ke format FHIR dan mempertahankannya ke layanan FHIR sehingga Anda dapat mengekstrak wawasan dengan menggunakan Azure Synapse Analytics.

Anda juga dapat memperluas solusi untuk menyerap data non-FHIR (HL7 v2 dan C-CDA), mengonversinya ke FHIR dengan menggunakan templat Liquid, yang dapat Anda simpan di Container Registry, dan mempertahankannya di layanan FHIR.

Sebarkan solusi ini

Untuk menyebarkan solusi ini, ikuti langkah-langkah dalam Memulai.

Kontributor

Artikel ini dikelola oleh Microsoft. Ini awalnya ditulis oleh kontributor berikut.

Penulis utama:

• Umar Mohamed Usman | Insinyur Utama

Kontributor lain:

• Mick Alberts | Penulis Teknis
• Srini Padala | Insinyur Senior
• Sonalika Roy | Insinyur Senior
• Victor Santana | Insinyur Senior

Untuk melihat profil LinkedIn non-publik, masuk ke LinkedIn.

Langkah berikutnya

• Lokakarya Azure Health Data Services
• Mulai menggunakan Azure Health Data Services
• FHIR-Bulk Loader & Export
• Pembuatan Swagger server FHIR untuk API Management
• Menggunakan FHIR Converter untuk mengonversi data HL7 v2 dan C-CDA

Sumber daya terkait

• Solusi untuk industri layanan kesehatan
• Apa itu Azure Health Data Services?