Scenariusz firmy Lamna Healthcare na potrzeby analizy w skali chmury na platformie Azure
Ta architektura referencyjna jest napisana dla klientów, którzy chcą korzystać z analizy w skali chmury nie tylko w celu skalowalności, ale także do zabezpieczania danych. Pokazuje on, w jaki sposób można kontrolować dostęp do poufnych danych i jak odpowiednio można rozróżniać dane, które mogą być udostępniane analitykom.
Profil klienta
Firma Lamna Healthcare (Lamna) oferuje usługi zarządzania pacjentami dla dostawców usług opieki zdrowotnej. Firma obsługuje wysoce poufne dane pacjentów w trakcie swojej działalności. Dostęp do szczegółowych danych musi być starannie ograniczony. Firma Lamna chce jednak również bezpiecznie korzystać z niektórych wersji tych danych w celu informowania o swoich praktykach biznesowych. Potrzebują mechanizmu udostępniania danych analitykom, który nie narusza praw dotyczących zaufania pacjentów ani ochrony danych.
Bieżąca sytuacja
Obecnie firma Lamna przechowuje wszystkie swoje dane lokalnie. Dane pacjentów są przechowywane w tradycyjnym systemie bazy danych. Jednak wraz ze wzrostem ich działalności i wzrostem ilości danych firma musi migrować aplikacje pacjentów do chmury. W ramach tego przejścia firma chce skopiować dane z aplikacji do platformy analitycznej opartej na chmurze, która umożliwi analitykom lepsze wykorzystanie danych bez konieczności dodatkowego ładowania bazy danych aplikacji.
Krytyczną kwestią dla firmy Lamna jest bezpieczeństwo danych pacjentów. Jako firma opieki zdrowotnej podlegają kilku różnym przepisom o ochronie danych.
Rozwiązanie architektoniczne
Firma Lamna zaimplementuje analizę w skali chmury jako rozwiązanie dla platformy analizy opartej na chmurze. Będą one polegać na wielu strefach docelowych zarówno w celu zwiększenia skalowalności, jak i jasnego rozdzielenia poufnych produktów danych.
Strefa docelowa zarządzania danymi
Krytyczna koncepcja dla każdej implementacji analizy w skali chmury obejmuje jedną strefę docelową zarządzania danymi. Ta subskrypcja zawiera zasoby, które będą współużytkowane we wszystkich strefach docelowych. Obejmuje to współużytkowane składniki sieciowe, takie jak zapora i prywatne strefy DNS. Obejmuje ona również zasoby dotyczące zarządzania danymi i chmurą, takie jak Azure Policy i Azure Purview.
Strefa docelowa danych pacjentów
Na wykresie organizacyjnym firmy Lamna grupa zarządzania pacjentami jest częścią grupy operacyjnej. Jednak ze względu na ekstremalną wrażliwość używanych danych będą mieli własną strefę docelową danych w architekturze analizy w skali chmury.
Ta strefa docelowa będzie hostować kopię szczegółowych danych pacjentów i rekordów zdrowia z aplikacji do zarządzania pacjentami firmy i powiązanych produktów danych. Te produkty danych zostaną załadowane do strefy docelowej przez aplikacje danych, które będą regularnie pozyskiwać dane do chmury i umieszczać je w Azure Data Lake Storage.
Strefa docelowa danych operacji
Grupa operacyjna w firmie Lamna jest odpowiedzialna za podstawową działalność firmy, a mianowicie świadczenie usług doradczych dostawcom usług opieki zdrowotnej. W strefie docelowej danych operacyjnych przechowują dane związane z tymi dostawcami usług opieki zdrowotnej i usługami, z którymi się zaangażowali.
Podobnie jak wszystkie dane biznesowe, istnieje element poufności tych produktów danych, a firma Lamna chce chronić swoją listę klientów. Jednak ponieważ te dane nie zawierają informacji o zdrowiu osób fizycznych, nie podlegają najbardziej rygorystycznym przepisom dotyczącym ochrony danych.
Aplikacje danych
Strefa docelowa operacji zawiera aplikację danych , która ładuje dane dostawcy opieki zdrowotnej z lokalnego systemu operacyjnego firmy Lamna. Podobnie jak w przypadku wszystkich aplikacji danych, dane są w chmurze w stanie takim, w jakim są i nie są stosowane przekształcenia do produktów danych.
Produkty danych
Analitycy w całej firmie Lamna potrzebują dostępu do danych w celu tworzenia raportów dla firmy. Jednak duża część danych jest zbyt wrażliwa dla szerokiej grupy odbiorców. Aby bezpiecznie zapewnić dostęp do wysoce poufnych danych pacjentów, zespół operacyjny utworzył produkt zestawu danych Tokenized patients w swojej strefie docelowej. Korzystając z Azure Data Factory, kopiują dane pacjentów ze strefy docelowej pacjentów. Jednak zespół był ostrożny, aby usunąć lub tokenizować wszystkie kolumny zawierające dane osobowe. Dzięki temu analitycy mogą używać danych do celów biznesowych bez ujawniania żadnych danych osobowych pacjentów.
Strefa docelowa danych marketingowych
Grupa marketingowa koncentruje się na uzyskaniu nowych klientów i zarządzaniu stanowiskiem firmy Lamna na platformie handlowej. Ich strefa docelowa marketingu jest używana głównie do przechowywania i analizowania produktów danych zewnętrznych na temat rynków, które obsługują i branży opieki zdrowotnej.
Jednak w celu wspierania nowych działań marketingowych grupa chce przeprowadzić badanie wyników zdrowotnych dla pacjentów obsługiwanych przez klientów firmy Lamna. Mają nadzieję stworzyć raport oparty na faktach wspierany przez silne dowody statystyczne pokazujące, że ich podejście do opieki zdrowotnej prowadzi do lepszych wyników.
Aby wspierać ten nowy wysiłek, naukowcy w grupie marketingowej będą musieli uzyskać dostęp do wysoce poufnych danych pacjentów w bezpieczny i zgodny sposób, jednocześnie będąc w stanie uzyskać potrzebne informacje.
Aby zaspokoić tę potrzebę, zespół ds. marketingu tworzy zagregowane produkty danych na podstawie tokenizowanego zestawu danych pacjentów utworzonego przez zespół operacyjny. Te produkty danych nie zawierają pojedynczych rekordów kondycji. Zamiast tego grupują rekordy na różnych osiach. Pomaga to naukowcom przeprowadzać badania populacji jako całości bez ryzyka dostępu do informacji o zdrowiu jakiejkolwiek osoby.
Rysunek 1. Diagram architektury. Nie wszystkie usługi platformy Azure są reprezentowane na diagramie. Upraszczano wyróżnianie podstawowych pojęć dotyczących sposobu organizowania zasobów w architekturze.
Uzasadnienie
Czy wszystkie poufne dane powinny zawsze mieć własną strefę docelową danych?
Nie. Tylko najbardziej ograniczone dane wymagające określonych zabezpieczeń, takich jak dostęp just in time lub klucze zarządzane przez klienta, wymagają własnej strefy docelowej. W przypadku innych scenariuszy inne funkcje ochrony danych na platformie Azure zapewniają wysoce bezpieczne środowisko danych. Obejmuje to zabezpieczenia na poziomie wiersza, zabezpieczenia na poziomie kolumny i zaszyfrowane kolumny.
Szablony wdrażania
Aby wdrożyć architektury, użyj strefy docelowej zarządzania danymi i szablonów implementacji odwołań strefy docelowej danych w następujących repozytoriach GitHub:
Użyj następujących szablonów, aby wdrożyć inne aplikacje danych i produkty danych w strefach docelowych danych firmy Lamna:
| Nazwa | Strefa docelowa danych | Typ | Template |
|---|---|---|---|
| Pacjentów | Pacjentów | Aplikacja danych | Szablon wsadowy produktu danych |
| Rekordy kondycji | Pacjentów | Aplikacja danych | Szablon wsadowy produktu danych |
| Dostawcy | Operacje | Aplikacja danych | Szablon wsadowy produktu danych |
| Tokenizowani pacjenci | Operacje | Produkt danych | Szablon wsadowy produktu danych |
| Zagregowane dane pacjentów | Marketing | Produkt danych | Szablon wsadowy produktu danych |
Ważne
Nie wszystkie elementy w powyższych szablonach implementacji referencyjnej należy wdrożyć w celu spełnienia wymagań firmy Lamna. Do szablonów będzie wymagany pewien poziom dostosowywania. Usługi, które nie są potrzebne, należy usunąć z szablonów przed wdrożeniem.