Redigera

Share via

Arkitekturguide för Azure Health Data Services

Azure Health Data Services
Azure API Management
Azure Application Gateway
Azure Synapse Analytics
Azure Firewall

Säker och effektiv hantering av hälsodata är avgörande för sjukvårdsorganisationer. Azure Health Data Services är en kraftfull plattform som dessa organisationer kan använda för att lagra, bearbeta och analysera känsliga data samtidigt som de följer stränga säkerhet och efterlevnadsstandarder. Det kan dock vara svårt att distribuera Hälsodatatjänster i en komplex företagsmiljö om du inte har någon referensarkitektur och implementeringsguide.

Den här artikeln innehåller en exempelarkitektur, en tillhörande exempelimplementering och en skiss för att distribuera Hälsodatatjänster med förbättrad säkerhet och integrering med andra Azure-tjänster. Genom att följa de metoder som beskrivs i den här guiden kan du förbättra din förmåga att skydda dina hälsodata.

Arkitektur

Architecture diagram that shows how to deploy Health Data Services on Azure and integrate with other Azure services.

Ladda ned en Visio-fil med den här arkitekturen.

Arbetsflöde

  1. Azure Application Gateway tar emot enskilda FHIR-meddelanden (Fast Healthcare Interoperability Resources) (till exempel patientdata) över en förbättrad TLS-anslutning med förbättrad säkerhet som använder ett flöde för klientautentiseringsuppgifter. Application Gateway skickar data via Azure API Management till Health Data Services FHIR-tjänsten, där den sparas.
  2. Samtidigt kan en klient läsa samma FHIR-data via en TLS-anslutning via Application Gateway och API Management med hjälp av ett verktyg som Postman.
  3. För massbearbetning av data tar Application Gateway emot FHIR-paket via en TLS-anslutning som använder ett flöde för klientautentiseringsuppgifter och läser in data till ett lagringskonto. En FHIR Loader Azure-funktion som är integrerad med det virtuella nätverket bearbetar FHIR-paket och läser in data i FHIR-tjänsten.
  4. Om inkommande data är i HL7 version 2 eller C-CDA-format kan du först konvertera dem till FHIR-format med hjälp av slutpunkten $convert-data i FHIR-tjänsten. Du kan sedan publicera data till FHIR-tjänsten med hjälp av Application Gateway. Azure Container Registry, som är anslutet via en privat slutpunkt, används för att lagra, med förbättrad säkerhet, anpassade Liquid-mallar för konvertering av HL7 v2- eller C-CDA-data till FHIR-data. Container Registry visas i arkitekturdiagrammet, men HL7 v2/C-CDA till FHIR-konvertering via $convert-data implementeras inte av exempel på Bicep-implementeringsmallen.
  5. FHIR till Synapse Sync Agent extraherar data från FHIR-tjänsten (för data som matas in via antingen det enskilda dataflödet eller massdataflödet), konverterar extraherade data till hierarkiska Parquet-filer och skriver dem till Azure Data Lake Storage.
  6. Azure Synapse Analytics använder en serverlös SQL- eller Spark-pool för att ansluta till Data Lake Storage för att fråga och analysera FHIR-data. Azure Synapse Analytics visas i arkitekturdiagrammet, men det implementeras inte av Bicep-implementeringsmallen.
  7. Det virtuella hubbnätverket innehåller en virtuell jumpbox-dator (VM) och en Azure Bastion-värd för att ge förbättrad säkerhetsåtkomst till FHIR-tjänstkonfigurationen. Administratörer och operatörer kan också använda den virtuella jumpbox-datorn för att testa FHIR-tjänstslutpunkter utan att skicka via Application Gateway och massinläsa FHIR-data manuellt via Azure Storage och kringgå Application Gateway.
  8. Om du upprättar en lokal nätverksanslutning via Azure ExpressRoute eller plats-till-plats-VPN kan lokala användare och tjänster direkt komma åt FHIR-tjänsten via den här anslutningen.

Kommentar

Du kan också lägga till Web Application Firewall (WAF) till Application Gateway, men det finns ett känt problem med att WAF felidentifierar FHIR-objekt och behandlar dem som skadlig kod. Om du behöver WAF måste du manuellt ändra waf-regeluppsättningen så att WAF kan arbeta med FHIR-objekt.

Komponenter

  • Microsoft Entra ID är en molnbaserad katalog- och identitetshanteringstjänst för flera klientorganisationer. Klientprogram är registrerade i Microsoft Entra-ID och kan användas för att komma åt Azure Health Data Services FHIR-tjänsten.

  • Application Gateway är en paaS-lastbalanserare (plattform som en tjänst) layer-7 som kan fungera som en omvänd proxytjänst. Interna och externa användare får åtkomst till FHIR-API:er via Application Gateway via API Management.

  • API Management är en hybridplattform för flera moln för hantering av API:er i alla miljöer. Du kan importera FHIR-API:er till API Management med hjälp av Swagger API-definitionen. Du kan använda API Management för att begränsa inkommande anrop, autentisera/auktorisera användare och utföra andra uppgifter.

  • Health Data Services är en uppsättning hanterade API-tjänster baserade på öppna standarder och ramverk som möjliggör arbetsflöden som förbättrar hälso- och sjukvården och erbjuder skalbara, förbättrade lösningar för hälso- och sjukvård. Health Data Services FHIR-tjänsten distribueras med en privat slutpunkt för att säkerställa att den endast kan nås från ditt virtuella nätverk eller av externa användare via Internet via Application Gateway.

  • FHIR Loader är en Azure Functions-lösning som tillhandahåller tjänster för import av FHIR-paket (komprimerade och icke-komprimerade) och NDJSON-filer till en FHIR-tjänst.

  • Azure Key Vault är en Azure-tjänst för lagring och åtkomst till hemligheter, nycklar och certifikat med förbättrad säkerhet. Key Vault ger HSM-stödd säkerhet och granskad åtkomst via rollbaserade åtkomstkontroller som är integrerade med Microsoft Entra-ID. I den här arkitekturen lagrar Key Vault jumpbox-autentiseringsuppgifter, Application Gateway-certifikat, FHIR-tjänstinformation och information om FHIR Loader.

  • Container Registry är en hanterad registertjänst som baseras på Docker Registry 2.0 med öppen källkod. I den här arkitekturen används den som värd för Liquid-mallar . Du kan använda den $convert-data anpassade slutpunkten i FHIR-tjänsten för att konvertera hälsodata från HL7 v2 och C-CDA till FHIR. Åtgärden $convert-data använder Liquid-mallar från FHIR-konverteraren för FHIR-datakonvertering.

  • FHIR till Synapse Sync Agent är en Azure-containerapp som extraherar data från en FHIR-server med hjälp av FHIR-resurs-API:er, konverterar dem till hierarkiska Parquet-filer och skriver dem till Data Lake Storage nästan i realtid. Den innehåller också ett skript för att skapa externa tabeller och vyer i en serverlös SQL-pool i Azure Synapse Analytics som pekar på Parquet-filerna. Även om arkitekturdiagrammet visar FHIR till Synapse Sync Agent, Data Lake Storage och Azure Synapse Analytics innehåller Bicep-implementeringen för närvarande inte koden för att distribuera dessa tjänster.

  • Azure Firewall är en molnbaserad intelligent nätverksbrandväggstjänst som ger skydd mot hot för dina molnarbetsbelastningar i Azure. I den här arkitekturen används en routningstabell för att dirigera utgående trafik från det virtuella hubbnätverket via Azure Firewall för att säkerställa att dataexfiltrering inte sker. På samma sätt kan du skapa routningstabellvägar och koppla dem till virtuella ekernätverksundernät efter behov för att förhindra exfiltrering av phi-data (public health information).

  • Jumpboxen är en virtuell Azure-dator som kör Linux eller Windows som administratörer och operatörer kan ansluta till med hjälp av Remote Desktop Protocol (RDP) eller Secure Shell (SSH). Eftersom de flesta tjänsterna (Health Data Services, API Management, Key Vault och andra) i den här arkitekturen distribueras med en privat slutpunkt, behöver du en virtuell jumpbox-dator för att göra konfigurationsändringar eller testa dessa tjänster. Jumpboxen kan bara nås via Azure Bastion.

  • Med Azure Bastion kan du ansluta till en virtuell dator med hjälp av en webbläsare, Azure-portalen eller via den interna SSH/RDP-klienten på datorn. I den här implementeringen ger Azure Bastion förbättrad säkerhetsåtkomst till den virtuella jumpbox-datorn.

  • Defender för molnet- och HIPAA- och HITRUST-efterlevnadspolicyinitiativ hjälper till att säkerställa att Distributionen av Azure-infrastrukturen följer Microsofts prestandamått för molnsäkerhet och efterlevnadskrav för sjukvårdsbranschen.

Information om scenario

Den här lösningen ger vägledning om hur du distribuerar Hälsodatatjänster med förbättrad säkerhet, matar in enskilda och massbaserade FHIR-data och bevarar data i FHIR-tjänsten Health Data Services.

Du kan använda lösningen för att läsa in FHIR-meddelanden, individuellt och i grupp, till FHIR-tjänsten med hjälp av en utökad Application Gateway-anslutning.

Om du vill analysera FHIR-data och extrahera insikter kan du distribuera FHIR till Synapse Sync Agent enligt diagrammet. Azure Synapse Analytics kan ansluta till Data Lake Storage för att fråga och analysera FHIR-data.

Du kan utöka lösningen för att ta emot data från medicinska och bärbara enheter med hjälp av Health Data Services MedTech-tjänsten. Du kan använda den här tjänsten för att transformera data till FHIR-format och spara dem i FHIR-tjänsten så att du kan extrahera insikter med hjälp av Azure Synapse Analytics.

Du kan också utöka lösningen för att mata in icke-FHIR-data (HL7 v2 och C-CDA), konvertera den till FHIR med hjälp av Liquid-mallar, som du kan lagra i Container Registry och spara dem i FHIR-tjänsten.

Distribuera den här lösningen

Om du vill distribuera den här lösningen följer du stegen i Komma igång.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Övriga medarbetare:

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Nästa steg