Portal voor consumentenstatus in Azure

In dit artikel wordt een typische architectuur van een portal voor consumentenstatus beschreven, die overeenkomt met de pijlers van het Azure Well Architected Framework. U kunt ervoor kiezen deze architectuur aan te passen aan uw specifieke behoeften.

Architectuur

Een Visio-bestand van deze architectuur downloaden.

Workflow

• Deze oplossing maakt gebruik van de wereldwijde footprint van Azure Front Door en edge-beveiligingsfuncties van Azure Web Application Firewall (WAF) om de binnenkomende gegevens te verifiëren.
• De geverifieerde gegevens worden vervolgens gerouteerd door Azure API Management (APIM) naar de front-endinterface voor de gebruikers op de Azure-app Service of API's die worden gehost in Azure Functions.

De primaire back-endgegevensservice die in deze architectuur wordt gebruikt, is Azure Cosmos DB. De mogelijkheden voor meerdere modellen van Azure Cosmos DB bieden naast de schaalbaarheid en beveiliging flexibiliteit voor elk type consumentenstatusportal. Gegevens die geen recordindeling hebben, worden als object opgeslagen in Azure Blob Storage. Deze gegevens kunnen medische afbeeldingen, foto's van de consument zijn, geüploade documenten, gearchiveerde gegevens, enzovoort. Blob Storage biedt een betaalbare opslag voor grote volumes ongestructureerde gegevens. Dit type gegevens is niet geoptimaliseerd voor opslag in Azure Cosmos DB en kan een negatieve invloed hebben op de kosten en prestaties.

Onderdelen

• Azure HIPAA HITRUST 9.2-blauwdruk is een Azure-blauwdruk die gebruikmaakt van Azure Policy. Hiermee kunt u HIPAA HITRUST 9.2-besturingselementen beoordelen en een kernset beleidsregels implementeren voor Azure-workloads. Hoewel dit geen volledige nalevingsdekking biedt voor HIPAA HITRUST, is het een uitstekende plek om te beginnen en meer besturingselementen toe te voegen, indien van toepassing en nodig. Naleving van de beleidsinitiatieven kan ook worden gevisualiseerd in deze blauwdruk en in de interface van Microsoft Defender voor Cloud.

• Azure Front Door wordt gebruikt om edge-verkeer op schaal te beheren en om de prestaties voor eindgebruikers te verbeteren door eindpunten over de hele wereld te presenteren. Deze technologie is cloudeigen, waarvoor geen licentie is vereist; u betaalt alleen voor wat u gebruikt. In dit workloadscenario fungeert Azure Front Door als het ingangspunt voor al het verkeer naar de portal voor consumentenstatus.

• Azure Web Application Firewall beschermt toepassingen tegen veelvoorkomende webaanvallen, zoals OWASP-beveiligingsproblemen , SQL-injecties, scripts op meerdere sites en andere. Deze technologie is cloudeigen, waarvoor geen licentie is vereist en betalen per gebruik.

• Azure API Management helpt bij het publiceren, routeren, beveiligen, vastleggen en analyseren van API's. Ongeacht of de API alleen wordt gebruikt door de eindgebruiker of wordt geïntegreerd met een derde partij voor externe interoperabiliteit, biedt API Management flexibiliteit in de manier waarop API's worden uitgebreid en gepresenteerd.

• Azure-app Service is een service die wordt gebruikt voor het hosten van op HTTP gebaseerde webservices. Het ondersteunt een breed scala aan talen, kan worden uitgevoerd op Linux of Windows, volledig geïntegreerd met CI/CD-pijplijnen en kan zelfs containerworkloads uitvoeren als paaS-aanbieding. Met App Service kunt u zowel omhoog schalen als uitschalen, naast systeemeigen integratie met identiteits-, beveiligings- en logboekregistratieservices in Azure. Het is in staat om te voldoen aan de schaalbehoeften van de portal voor consumentenstatus, terwijl de naleving wordt gehandhaafd. In deze architectuur wordt de front-endwebportal gehost.

• Azure Function Apps is een serverloze platformoplossing in Azure waarmee ontwikkelaars compute-on-demand code kunnen schrijven, zonder dat ze een van de onderliggende systemen hoeven te onderhouden. In deze architectuur kan Azure Functions API's hosten en elk werk dat asynchroon moet worden uitgevoerd, zoals het uitvoeren van periodieke taken en computerstatistieken gedurende een bepaalde periode.

• Azure Cosmos DB is een volledig beheerde, multimodel, NoSQL-database die reactietijden met één cijfer biedt en garandeert prestaties op elke schaal. Elke gebruiker in het gezondheidssysteem van de consument heeft alleen gegevens met betrekking tot zichzelf, die het gebruik van een NoSQL-gegevensstructuur rechtvaardigt. Azure Cosmos DB heeft bijna onbeperkte schaal en lees- en schrijfbewerkingen voor meerdere regio's. Met de drastische groei van de hoeveelheid gegevens die door deze typen consumentenstatussystemen wordt verzameld, kan Azure Cosmos DB de juiste beveiliging, snelheid en schaal bieden, ongeacht of er 100 of 1.000.000 actieve gebruikers zijn.

• Azure Key Vault is een systeemeigen Azure-service die wordt gebruikt voor het veilig opslaan en openen van geheimen, sleutels en certificaten. Key Vault biedt beveiliging met HSM-ondersteuning en gecontroleerde toegang via geïntegreerde op rollen gebaseerde toegangsbeheer van Microsoft Entra. Toepassingen mogen nooit sleutels of geheimen lokaal opslaan. Deze architectuur maakt gebruik van Azure Key Vault voor het opslaan van alle geheimen, zoals API-sleutels, wachtwoorden, cryptografische sleutels en certificaten.

• Azure Active Directory B2C biedt op grote schaal identiteits-naar-consumentenidentiteit als een service, de kosten waarvoor u samen met het aantal actieve gebruikers schaalt. In consumententoepassingen zoals deze oplossing, in plaats van een nieuw account te maken, willen gebruikers mogelijk hun eigen identiteit meenemen. Dit kan alles zijn van een sociale id, een e-mailaccount of een SAML-provideridentiteitsservice. Deze methode biedt een eenvoudigere onboarding-ervaring voor de gebruiker. De oplossingsprovider hoeft alleen naar de gebruikersidentiteiten te verwijzen en hoeft deze niet te hosten en te onderhouden.

• Azure Log Analytics, een hulpprogramma voor Azure Monitor-logboeken, kan worden gebruikt voor diagnostische gegevens of logboekregistratiegegevens en voor het opvragen van deze gegevens om ze te sorteren, filteren of visualiseren. Deze service is geprijsd per verbruik en is perfect voor het hosten van diagnostische logboeken en gebruikslogboeken van alle services in deze oplossing.

• Azure-toepassing Insights, een andere functie van Azure Monitor, is de systeemeigen APM-service (Application Performance Management) in Azure. Het kan eenvoudig worden geïntegreerd in de front-end App Service en in alle Azure Functions-code om live bewaking van de toepassingen mogelijk te maken. Application Insights kan eenvoudig prestatie-, bruikbaarheidsafwijkingen en fouten detecteren die rechtstreeks worden gegenereerd vanuit de toepassingen zelf, en niet alleen vanuit het rekenplatform dat ze host.

• Azure Communication Services zijn cloudservices met REST API's en clientbibliotheek-SDK's die beschikbaar zijn om u te helpen bij het integreren van communicatie in uw toepassingen. U kunt communicatie toevoegen aan uw toepassingen zonder een expert te zijn in onderliggende technologieën, zoals mediacodering of telefonie. In deze oplossing kan het worden gebruikt voor het verzenden van e-mailberichten, sms-berichten of geautomatiseerde telefoongesprekken met betrekking tot de consumentenstatusportal, zoals bevestigingen van afspraken of herinneringen.

• Azure Notification Hub is een eenvoudige en schaalbare pushmeldingsengine waarmee u meldingen kunt verzenden naar elk mobiel platform. Een portal voor consumentenstatus, die gebruikmaakt van een mobiele app, kan worden geïntegreerd met Azure Notification Hub voor een rendabele manier om meldingen te verzenden naar gebruikers die de app op hun mobiele apparaten hebben geïnstalleerd. In deze architectuur kunnen meldingen worden verzonden om gebruikers te herinneren aan hun afspraken, om informatie in te voeren voor niet-verbonden apparaten, om bepaalde gezondheidsdoelen te bereiken, enzovoort.

• Microsoft Defender voor Cloud) is de kern van beveiligingsbewaking en houdingsbeheer voor deze volledige cloudoplossing. Microsoft Defender voor Cloud integreert met bijna alle belangrijke services op het Azure-platform. De mogelijkheden zijn onder andere beveiligingswaarschuwingen, anomaliedetectie, aanbevelingen voor best practices, nalevingsscores voor regelgeving en detectie van bedreigingen. Naast HIPAA/HITRUST-nalevingsbewaking en algemene best practice-bewaking van Azure Security gebruikt deze oplossing de volgende functiesets:

  • Microsoft Defender voor App Service
  • Microsoft Defender voor Storage
  • Microsoft Defender voor Key Vault
  • Microsoft Defender voor Resource Manager
  • Microsoft Defender voor Azure Cosmos DB

Alternatieven

• Azure FHIR Service als onderdeel van de Azure Health Data Services kan worden gebruikt voor de interoperabiliteit van medische dossiers, met behulp van HL7- of FHIR-communicatiestandaarden. Deze service moet worden gebruikt als uw toepassing medische dossiers van andere systemen moet ontvangen of verzenden. Als deze oplossing bijvoorbeeld een portal voor medische providers was, kan Azure API for FHIR rechtstreeks worden geïntegreerd met het systeem voor elektronische medische dossiers van de provider.

• Azure IoT Hub is een service die is afgestemd op het opnemen van apparaatgegevens. Als de portal de front-end is voor een oplossing die gegevens verzamelt van een draagbare of een ander medisch apparaat, moet IoT Hub worden gebruikt om deze gegevens op te nemen. Lees voor meer informatie het INGEST-proces van de architectuur voor externe patiëntbewakingsoplossingen .

• Microsoft 365 Email is een toonaangevende service die wordt gebruikt voor e-mail en communicatie. Veel organisaties hebben al geïnvesteerd in deze service en kunnen worden gebruikt als alternatief voor de meer volledige Azure Communication Services. In deze oplossing kan het worden gebruikt voor het verzenden van e-mailberichten met betrekking tot de consumentenstatusportal, zoals bevestigings- of herinneringsmails voor afspraken.

Scenariodetails

In de hele sector gezondheids- en levenswetenschappen nemen organisaties een digitale gezondheidsstrategie aan. Een van de belangrijkste pijlers en een noodzakelijk onderdeel van een digitale gezondheidsoplossing is een portal voor consumentenstatus. Een portal voor consumentenstatus kan worden gebruikt voor het bijhouden van de voortgang en statistieken van een draagbaar apparaat, het betrekken van een medische provider of zelfs het bijhouden van gezonde eetgewoonten.

Potentiële gebruikscases

• Statistieken van een draagbaar apparaat bijhouden.
• Krijg toegang tot medische dossiers en neem contact op met een medische provider.
• Voer tijden en doses medicijnen in, die kunnen worden gebruikt voor het vullen van gegevens of het zelf volgen van medicijnen.
• Interactie met een gezonde eetcoach voor gewichtsverlies of diabetes.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die kunnen worden gebruikt om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Beschikbaarheid

Deze oplossing is momenteel ontworpen als een implementatie met één regio. Als uw scenario een implementatie met meerdere regio's vereist voor hoge beschikbaarheid, herstel na noodgevallen of zelfs nabijheid, hebt u mogelijk een gekoppelde Azure-regio nodig met de volgende configuraties.

• Azure Cosmos DB is uitgebreid om een configuratie met meerdere regio's mogelijk te maken.

• Azure API Management wordt geïmplementeerd met behulp van CI/CD in een secundaire regio. U kunt ook de implementatiefunctie voor meerdere regio's van API Management toepassen.

• Azure-app Service en Functions worden afzonderlijk geïmplementeerd in meerdere regio's. Deze implementatie kan worden uitgevoerd in uw CI/CD-pijplijn door een parallelle implementatie te maken. Lees de webtoepassing met hoge beschikbaarheid voor meerdere regio's voor verdere richtlijnen.

• Afhankelijk van de vereiste voor RTO (beoogde hersteltijd), kan Azure Blob Storage worden geconfigureerd als geografisch redundante opslag (GRS) of geografisch redundante opslag met leestoegang (RA-GRS) die leesbewerkingen rechtstreeks vanuit de alternatieve regio toestaat. Zie het artikel over redundantie van Azure Storage voor meer informatie.

• Er zijn meerdere lagen beschikbaarheid en redundantie ingebouwd in de Azure Key Vault-service.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

In de volgende secties worden de aanbevolen beveiligingsprocedures beschreven voor elk van de services die in deze oplossing worden gebruikt.

Azure Front Door

De Web Application Firewall (WAF) van Azure Front Door moet worden gebruikt om veel verschillende veelvoorkomende aanvallen te beperken. Een goede basislijn is om te beginnen met de nieuwste versie van de Core Rule Sets (OWASP) open Web Application Security Project (CRS) en vervolgens aangepaste beleidsregels toe te voegen indien nodig. Hoewel Azure Front Door is ontworpen om grote hoeveelheden verkeer op te vangen, kunt u overwegen de cachemechanismen te gebruiken die beschikbaar zijn voor deze service om de verkeersbelasting naar de back-endsystemen waar mogelijk te verminderen. Voor het oplossen en ondersteunen van mogelijke beveiligingsonderzoeken moet logboekregistratie worden geconfigureerd voor zowel Azure Front Door als de Web Application Firewall. Meer informatie vindt u in Beveiligingsprocedures voor Azure Front Door.

Azure API Management

Al het verkeer naar APIM moet worden geverifieerd met behulp van Azure AD B2C APIM-verificatie of met door token geïdentificeerde sessies. Configureer Azure API Management om resourcelogboeken op te slaan. Meer informatie vindt u in beveiligingsprocedures voor Azure API Management.

Azure App Service

Al het verkeer naar deze architectuur, inclusief de App Service, moet end-to-end worden beveiligd met TLS. De App Service moet onveilige protocollen weigeren om het kwetsbaarheid voor aanvallen te verscherpen. Daarnaast moet APIM de verificatie van de client doorgeven aan de App Service, zodat deze kan valideren op basis van eigen clientverificatie en -autorisatie. Alle geheimen die in App Service worden gebruikt, moeten waar mogelijk worden opgeslagen in Key Vault, met behulp van een beheerde service-identiteit . De App Service moet ook diagnostische logboeken opslaan ter ondersteuning van alle beveiligingsdiagnose-inspanningen en moet worden geïntegreerd met Microsoft Defender voor App Service. Meer informatie vindt u in Beveiligingsprocedures voor Azure-app Service

Azure Functions

Alle aanvragen voor de Azure Functions in deze oplossing moeten HTTPS vereisen, Azure API Management gebruiken om aanvragen te verifiëren en waar mogelijk beheerde identiteiten te gebruiken. Sla alle sleutels op in Azure Key Vault in plaats van ze in de functiecode te laten staan. Net als bij elke toepassing moet u ervoor zorgen dat u gegevens bij invoer valideert en integreert met Microsoft Defender voor Cloud. Ten slotte configureert u altijd logboekregistratie en bewaking voor Azure Functions. Meer informatie vindt u in Beveiligingsprocedures voor Azure Functions.

Azure Blob-opslag

Beperk waar mogelijk de toegang tot blobopslag met behulp van Microsoft Entra ID om gebruikerstoegang te autoriseren en Managed Service Identities voor resourcetoegang tot blobopslag. Als deze verificatietypen mogelijk niet werken voor uw toepassing, gebruikt u een SAS-token (Shared Access Signature) op het meest gedetailleerde niveau in plaats van een accountsleutel. SAS-tokens worden ongeldig nadat accountsleutels zijn gedraaid.

Zorg ervoor dat u ook een op rollen gebaseerd toegangsbeheer gebruikt voor de blobopslag. Gebruik Azure Storage Firewalls om netwerkverkeer niet toe te laten, behalve verkeer van vertrouwde Microsoft-services. Integreer Azure Storage altijd met Microsoft Defender voor Cloud en configureer de bewaking. Meer informatie vindt u in Beveiligingsprocedures voor Azure Blob Storage.

Azure Cosmos DB

Op rollen gebaseerd toegangsbeheer moet zijn ingeschakeld voor Azure Cosmos DB-beheer. Toegang tot de gegevens in Azure Cosmos DB moet op de juiste wijze worden beveiligd. U kunt Azure Cosmos DB configureren voor het opslaan van diagnostische logboeken voor besturingsvlakbewerkingen en voor het opslaan van resourcelogboeken. Zie meer informatie over beveiligingsprocedures voor Azure Cosmos DB.

Azure Key Vault

Aanvragen die zijn gedaan bij Azure Key Vault, moeten worden geverifieerd met behulp van Microsoft Entra ID of MSI , naast bevoegde toegangsbeheer. Integreer Key Vault met Microsoft Defender voor Cloud naast het vastleggen van Key Vault-acties in Azure Monitor. Meer informatie vindt u in Beveiligingsprocedures voor Azure Key Vault.

Azure AD B2C

Gebruik de ingebouwde functies in Azure AD B2C om te beschermen tegen bedreigingen , zoals denial-of-service- en wachtwoordaanvallen. Configureer auditlogboekregistratie om beveiligingsonderzoeken toe te staan en logboekwaarschuwingen te maken voor eventuele logboeken voor bedreigingsbeheer die door B2C worden gegenereerd. Meer informatie vindt u in Beveiligingsprocedures voor Azure AD B2C.

Azure Log Analytics

Op rollen gebaseerd toegangsbeheer moet zijn ingesteld voor Log Analytics, zodat alleen geautoriseerde gebruikers toegang hebben tot gegevens die naar de werkruimte worden verzonden. Meer informatie vindt u in Beveiligingsprocedures voor Azure Log Analytics.

Azure Application Insights

Eventuele persoonsgegevens moeten worden verborgen voordat ze naar Application Insights worden verzonden. Op rollen gebaseerd toegangsbeheer voor Application Insights moet ook worden ingesteld om alleen geautoriseerde gebruikers toe te staan gegevens weer te geven die naar Application Insights worden verzonden. Meer informatie vindt u in Beveiligingsprocedures voor Azure-toepassing Insights.

Zie ook de beveiligingsprocedures voor Azure Notification Hub.

Kostenoptimalisatie

Kostenoptimalisatie gaat over manieren om onnodige uitgaven te verminderen en operationele efficiëntie te verbeteren. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

Prijzen voor deze architectuur zijn grotendeels variabel op basis van de serviceslagen die u uiteindelijk gebruikt, de capaciteit, doorvoer, typen query's die worden uitgevoerd op de gegevens, het aantal gebruikers, evenals bedrijfscontinuïteit en herstel na noodgevallen. Het kan beginnen vanaf ongeveer $ 2.500/mo en vanaf daar schalen.

Om aan de slag te gaan, kunt u hier de algemene schatting van de Azure Calculator bekijken.

Afhankelijk van de schaal van uw workload en vereisten voor bedrijfsfunctionaliteit, kan het gebruik van de verbruikslaag van Azure API Management de kosten verminderen.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

• Matt Hansen | Cloudprogrammaarchitect

Volgende stappen

• Meer informatie over Azure FHIR Service
• Meer informatie over Azure Health Data Services.
• Meer informatie over het extern publiceren van interne API's.

Verwante resources

• Architectuurhandleiding voor Azure Health Data Services
• HIPAA- en HITRUST Compliant Health Data AI
• Schaalbare cloudtoepassingen en sitebetrouwbaarheidstechniek (SRE)
• Maximaal beschikbare zone-redundante webtoepassing basislijn
• Zone-redundante basislijnwebtoepassing
• Maximaal beschikbare webtoepassing voor meerdere regio's