Implementera Azure Healthcare-skissen för AI

Machine Learning Studio
Key Vault
Azure Security Center

Hälso- och sjukvårdsritningen för AI-bootstraps AI och maskininlärning i din organisation med azure. Den här artikeln beskriver hur du installerar skissen och vilka dess komponenter är. Sedan går vi igenom hur du använder lösningen för att köra ett AI- och maskininlärningsexperiment som förutsäger en patients vistelselängd.

Arkitektur

Följande bild visar de Azure-produkter som är installerade. Varje resurs eller tjänst tillhandahåller en komponent i AI- och maskininlärningsbearbetningslösningen, inklusive de övergripande problemen med identitet och säkerhet.

Komponentzoner

Ladda ned en Visio-fil med den här arkitekturen.

Scenarioinformation

Sjukvårdsorganisationer inser att artificiell intelligens (AI) och maskininlärning kan vara värdefulla verktyg för många delar av verksamheten, från att förbättra patientresultaten till att effektivisera den dagliga verksamheten. Hälso- och sjukvårdsorganisationer har ofta inte teknikpersonal för att implementera AI- och maskininlärningssystem. För att förbättra den här situationen och snabbt få igång AI- och maskininlärningslösningar i Azure skapade Microsoft AI-skissen för Azure Healthcare. Med hjälp av skissen visar vi hur du snabbt kommer igång med AI och maskininlärning på ett säkert, kompatibelt, säkert och tillförlitligt sätt.

Fördelar

Skissen skapades för att ge hälso- och sjukvårdsorganisationer vägledning och en snabbstart för rätt PaaS-arkitekturer (plattform som en tjänst). Skissen stöder AI och maskininlärning i strikt reglerade sjukvårdsmiljöer. Lösningen säkerställer att systemet upprätthåller HIPAA- och HITRUST-efterlevnadskrav.

Teknikpersonal i vårdorganisationer har ofta lite tid för nya projekt, särskilt de där de måste lära sig en ny och komplex teknik. Skissen kan hjälpa teknisk personal att snabbt bekanta sig med Azure och flera av dess tjänster, vilket sparar kostnaden för en inlärningskurva. När skissen har installerats kan teknisk personal lära sig av den som referensimplementering. Personalen kan sedan använda den kunskapen för att utöka skissens funktioner, eller så kan de skapa en ny AI- och maskininlärningslösning som är mönstrad efter skissen.

Skissen hjälper din organisation att snabbt komma igång med nya AI- och maskininlärningsfunktioner. Med AI och maskininlärning på plats är den tekniska personalen redo att köra AI- och maskininlärningsexperiment med hjälp av data som samlas in via olika källor. Data kan till exempel redan finnas på tidigare instanser av sepsis, och data kan finnas via många av de medföljande variablerna som spårades för enskilda patienter med tillståndet. Genom att använda dessa data i ett anonymiserat format kan teknisk personal leta efter indikatorer på potentiell sepsis hos patienter. De kan sedan hjälpa till att ändra operativa procedurer för att bättre undvika tillståndet.

Skissen innehåller data och exempelkod för att lära dig hur du förutsäger en patients vistelse. Det här är ett exempel på användningsfall som kan användas för att lära dig mer om komponenterna i AI- och maskininlärningslösningen.

Plattform eller infrastruktur som en tjänst

Microsoft Azure erbjuder både PaaS- och SaaS-erbjudanden och valet av rätt för dina behov varierar per användningsfall. Skissen är utformad för att använda PaaS-tjänster som löser för att förutsäga en patients vistelse på sjukhus. Azure Healthcare AI-skissen innehåller allt som behövs för att instansiera en säker och kompatibel AI- och maskininlärningslösning som är förkonfigurerad för sjukvårdsorganisationer. PaaS-modellen som används av den här skissen installerar och konfigurerar skissen som en komplett lösning.

PaaS-alternativ

Användning av en PaaS-tjänstmodell resulterar i minskad total ägandekostnad (TCO) eftersom det inte finns någon maskinvara att hantera. Organisationen behöver inte köpa och underhålla maskinvara eller virtuella datorer. Skissen använder Endast PaaS-tjänster.

Detta minskar kostnaderna för att underhålla en lokal lösning och gör att teknisk personal kan fokusera på strategiska initiativ i stället för infrastruktur. Personalen kan också flytta betalning för databehandling och lagring från sina kapitalkostnadsbudgetar till sina driftskostnadsbudgetar istället. Kostnaderna för att köra det här skissscenariot styrs av användningen av tjänsterna plus kostnaderna för datalagring.

IaaS-alternativ

Även om skissen och den här artikeln fokuserar på PaaS-implementeringen finns det ett öppen källkod tillägg till skissen som gör att du kan använda den i en IaaS-miljö (infrastruktur som en tjänst).

I en IaaS-värdmodell betalar kunderna för drifttid för virtuella Azure-datorer och deras bearbetningskraft. IaaS ger en högre kontrollnivå eftersom kunden hanterar sina egna virtuella datorer, men vanligtvis till ökade kostnader eftersom virtuella datorer debiteras för drifttid jämfört med användning. Dessutom ansvarar kunden för att underhålla de virtuella datorerna genom att tillämpa korrigeringar, skydda mot skadlig kod och så vidare.

IaaS-modellen ligger utanför omfånget för den här artikeln, som fokuserar på en PaaS-distribution av skissen.

Ai- och maskininlärningsskissen för hälso- och sjukvård

Skissen skapar en startpunkt för att använda den här tekniken i en sjukvårdskontext. När skissen installeras i Azure skapas alla resurser, tjänster och flera användarkonton för att stödja AI- och maskininlärningsscenariot med lämpliga aktörer, behörigheter och tjänster.

Skissen innehåller ett AI- och maskininlärningsexperiment för att förutsäga en patients vistelselängd, vilket kan hjälpa till med prognostisering av bemanning, sängantal och annan logistik. Paketet innehåller installationsskript, exempelkod, testdata, säkerhets- och sekretesssupport med mera.

Distribuera det här scenariot

Tekniska resurser för skiss

Resurserna som anges i det här avsnittet finns alla på GitHub-lagringsplatsen.

Granska följande primära resurser:

Övergripande frågor för den här modellen omfattar identitet och säkerhet, som båda är särskilt viktiga vid hantering av patientdata. Komponenterna i maskininlärningspipelinen visas i den här bilden.

Maskininlärningspipeline

Det är komplicerat att implementera ett nytt system i en reglerad hälso- och sjukvårdsmiljö. Om du till exempel ser till att alla aspekter av systemet är HIPAA-kompatibla och HITRUST-certifierbara krävs mer än att utveckla en enkel lösning. Skissen installerar identifierings- och resursbehörigheter för att hjälpa till med dessa komplexiteter.

Skissen innehåller också ytterligare skript och data som används för att simulera och studera resultaten av att ta emot eller skriva ut patienter. Med de här skripten kan personalen omedelbart börja lära sig hur man implementerar AI och maskininlärning med hjälp av lösningen i ett säkert, isolerat scenario.

Ytterligare skissresurser

Skissen ger exceptionell vägledning och instruktioner för teknisk personal och innehåller även artefakter för att skapa en fullt fungerande installation. Se följande ytterligare artefakter:

  • En hotmodell för användning med Microsoft Threat Modeling Tool. Den här hotmodellen visar komponenter i lösningen, dataflödena mellan dem och förtroendegränserna. Verktyget kan användas för hotmodellering av dem som vill utöka basritningen eller för att lära sig om systemarkitekturen ur ett säkerhetsperspektiv.

  • HITRUST-kundansvarsmatrisen är en Excel-arbetsbok. Den här resursen visar vad du (kunden) måste tillhandahålla, jämfört med vad Microsoft tillhandahåller, för varje krav i matrisen. Mer information om den här ansvarsmatrisen finns i den här artikeln i avsnittet "Säkerhets- och efterlevnadsmatris" > i det här dokumentet.

  • Hitrust-hälsodata och AI-granskningsdokumentet undersöker skissen genom linsen av krav som ska uppfyllas för HITRUST-certifiering.

  • HIPAA-hälsodata och AI granskar det tekniska dokumentet och granskar arkitekturen med HIPAA-regler i åtanke.

Dessa resurser finns här på GitHub.

Installera skissen

Det finns inte mycket tid att komma igång med den här skisslösningen. Vi rekommenderar lite kunskap om PowerShell-skript, men det finns stegvisa instruktioner som hjälper dig att vägleda installationen. På så sätt kommer tekniker att lyckas distribuera den här skissen, oavsett deras skriptkunskaper.

Teknisk personal kan förvänta sig att installera skissen med lite erfarenhet av att använda Azure på 30 minuter till en timme.

Installationsskriptet

Skissen innehåller exceptionell vägledning och instruktioner för installation. Den tillhandahåller även skript för installation och avinstallation av skisstjänster och resurser. Det är enkelt att anropa PowerShell-distributionsskriptet. Innan skissen installeras måste vissa data samlas in och användas som argument till deploy.ps1 skript, som visas i följande kod.

.\deploy.ps1 -deploymentPrefix <prefix> `
            -tenantId <tenant id> ` # also known as the Azure Active Directory (Azure AD) directory
            -tenantDomain <tenant domain> `
            -subscriptionId <subscription id> `
            -globalAdminUsername <user id> ` # ID from your Azure AD account
            -deploymentPassword <universal password> ` # applied to all new users and service accounts
            -appInsightsPlan 1 # we want app insights set up

Installationsmiljön

Viktigt! Installera inte skissen från en dator utanför Azure. Det är mycket mer troligt att installationen lyckas om du skapar en ren Windows 10 virtuell dator (eller annan virtuell Windows-dator) i Azure. Kör sedan installationsskripten därifrån. Den här tekniken använder en molnbaserad virtuell dator för att minska svarstiden och bidra till att skapa en smidig installation.

Under installationen anropar skriptet andra paket för att läsa in och använda. När du installerar från en virtuell dator i Azure blir fördröjningen mellan installationsdatorn och målresurserna mycket lägre. Vissa av de nedladdade skriptpaketen är dock fortfarande sårbara för svarstid eftersom skriptpaketen finns utanför Azure-miljön, vilket kan leda till timeout-fel.

Felsökning: Installationsfel

Installationsprogrammet laddar ned några externa paket under installationen. Ibland överskrider en skriptresursbegäran tidsgränsen på grund av fördröjningen mellan installationsdatorn och paketet. När detta inträffar har du två alternativ:

  1. Kör installationsskriptet igen utan ändringar. Installationsprogrammet söker efter redan allokerade resurser och installerar endast de som behövs. Även om den här tekniken kan fungera finns det en risk att installationsskriptet försöker allokera resurser som redan finns på plats. Detta kan orsaka ett fel och installationen misslyckas.

  2. Du kör fortfarande skriptet deploy.ps1, men skickar olika argument för att avinstallera skisstjänsterna.

.\deploy.ps1 -clearDeploymentPrefix <prefix> `
             -tenantId <value> `
             -subscriptionId <value> `
             -tenantDomain <value> `
             -globalAdminUsername <value> `
             -clearDeployment

När avinstallationen är klar ändrar du prefixet i installationsskriptet och försöker installera igen. Svarstidsproblemet kanske inte inträffar igen. Om installationen misslyckas när skriptpaket laddas ned kör du avinstallationsskriptet och sedan installationsprogrammet igen.

När du har kört avinstallationsskriptet är följande borta.

  • Användare som installerats av installationsskriptet
  • Resursgrupperna och deras respektive tjänster är borta, inklusive datalagring
  • Programmet som registrerats med Azure AD

Observera att nyckelvalvet hålls som en "mjuk borttagning" och även om det inte visas i portalen frigörs det inte på 30 dagar. Detta gör det möjligt att återskapa nyckelvalvet om det behövs. Mer information om konsekvenserna av detta och hur du hanterar det finns i avsnittet Nyckelvalv i den här artikeln.

Installera om efter en avinstallation

Om du behöver installera om skissen efter en avinstallation måste du ändra prefixet i nästa distribution eftersom det avinstallerade nyckelvalvet orsakar ett fel om du inte ändrar prefixet. Mer information om detta finns i avsnittet Nyckelvalv i den här artikeln.

Nödvändiga administratörsroller

Personen som installerar skissen måste ha rollen Global administratör i Azure AD. Installationskontot måste också vara azure-prenumerationsadministratör för den prenumeration som används. Om personen som utför installationen inte finns i båda dessa roller misslyckas installationen.

Installationsprogram för skiss

Dessutom är installationen inte utformad för att fungera med MSDN-prenumerationer på grund av den nära integreringen med Azure AD. Ett Azure-standardkonto måste användas. Om det behövs får du en kostnadsfri utvärderingsversion med kredit att spendera för att installera skisslösningen och köra dess demonstrationer.

Lägga till andra resurser

Azure-skissinstallationen innehåller inte fler tjänster än de som behövs för att implementera användningsfallet FÖR AI och maskininlärning. Fler resurser eller tjänster kan dock läggas till i Azure-miljön. Den här funktionen gör det till en bra testbädd för ytterligare initiativ, eller en startpunkt för ett produktionssystem. Du kan till exempel lägga till andra PaaS-tjänster eller IaaS-resurser i samma prenumeration och Azure AD.

Nya resurser, till exempel Azure Cosmos DB eller en ny Azure Functions, kan läggas till i lösningen när fler Azure-funktioner behövs. När du lägger till nya resurser eller tjänster ska du se till att de är konfigurerade för att uppfylla säkerhets- och sekretessprinciper för att förbli kompatibla med regler och principer.

Nya resurser och tjänster kan skapas med Azure REST API:er, Azure PowerShell skript eller med hjälp av Azure Portal.

Använda maskininlärning med skissen

Skissen har skapats för att demonstrera ett maskininlärningsscenario med en regressionsalgoritm som används i en modell för att förutsäga patientens vistelselängd. Detta är en vanlig förutsägelse för vårdgivare som kan köras eftersom det hjälper till att schemalägga bemanning och andra operativa beslut. Dessutom kan avvikelser identifieras över tid när en genomsnittlig vistelselängd för ett givet villkor ökar eller minskar.

Mata in träningsdata

När skissen är installerad och alla tjänster fungerar korrekt kan data som ska analyseras matas in. Det finns 100 000 patientjournaler för inmatning och arbete med modellen. Att mata in patientposter är det första steget i att använda Azure Machine Learning Studio för att köra patientlängden för vistelseexperimentet, som du ser i följande bild.

Mata in

Skissen innehåller ett experiment och nödvändiga data för att köra ett maskininlärningsjobb i Machine Learning Studio. I exemplet används en tränad modell i ett experiment för att förutsäga patientens vistelselängd baserat på många variabler.

I den här demonstrationsmiljön är de data som matas in i Azure SQL-databasen fria från eventuella defekter eller saknade dataelement. Dessa data är rena. Ofta matas orena data in och måste "rensas" innan de kan användas för att mata in en träningsalgoritm för maskininlärning. Eller så måste den rensas innan du använder data i ett maskininlärningsjobb. Om data saknas eller felaktiga värden i data påverkas resultatet av maskininlärningsanalysen negativt.

Machine Learning Studio

Många vårdorganisationer har inte den tekniska personalen som kan fokusera på maskininlärningsprojekt. Det innebär ofta att värdefulla data lämnas oanvända eller att dyra konsulter tas in för att skapa maskininlärningslösningar.

AI- och maskininlärningsexperter samt de som lär sig om AI och maskininlärning kan använda Machine Learning Studio för att utforma experiment. Machine Learning Studio är en webbaserad designmiljö som används för att skapa maskininlärningsexperiment. Med Machine Learning Studio kan du skapa, träna, utvärdera och poängsätta modeller, vilket sparar värdefull tid när du använder olika verktyg för att utveckla modeller.

Machine Learning Studio erbjuder en komplett verktygsuppsättning för maskininlärningsarbetsbelastningar. Det innebär att personer som är nybörjare på maskininlärning kan komma igång snabbt med verktyget och få resultat snabbare än med andra maskininlärningsverktyg. Det gör att IT-personalen kan fokusera på att ge värde någon annanstans och utan att ta in en maskininlärningsspecialist. Den här funktionen i din egen sjukvårdsorganisation innebär att olika hypoteser kan testas. Resulterande data analyseras sedan för att få användbara insikter, till exempel hur patientinterventionism erbjuder färdiga moduler. Dessa moduler ska användas på en dra och släpp-arbetsyta och visuellt skapa datavetenskapsarbetsflöden från slutpunkt till slutpunkt som experiment.

Det finns förskrivna moduler som kapslar in specifika algoritmer, till exempel beslutsträd, beslutsskogar, klustring, tidsserier, avvikelseidentifiering med mera.

Anpassade moduler kan läggas till i alla experiment. Dessa skrivs på R-språket eller i Python. På så sätt kan du använda fördefinierade moduler och anpassad logik för att skapa ett mer avancerat experiment.

Med Machine Learning Studio kan du skapa och använda inlärningsmodeller . Den innehåller en uppsättning fördefinierade experiment för användning i vanliga program. Dessutom kan nya experiment läggas till i Machine Learning Studio utan att någon av skissens resurser ändras.

Om du vill spara tid går du till Azure AI-galleriet för att hitta maskininlärningslösningar som är redo att användas för specifika branscher, inklusive hälso- och sjukvård. Galleriet innehåller till exempel lösningar och experiment för upptäckt av bröstcancer och förutsägelse av hjärtsjukdomar.

Säkerhet och efterlevnad

Säkerhet och efterlevnad är två av de viktigaste sakerna att tänka på när du skapar, installerar eller hanterar programvarusystem i en sjukvårdsmiljö. Investeringen i att införa ett programvarusystem kan underskridas genom att inte uppfylla nödvändiga säkerhetsprinciper och certifieringar.

Även om den här artikeln och hälso- och sjukvårdsritningen fokuserar på teknisk säkerhet är andra typer av säkerhet också viktiga, inklusive fysisk säkerhet och administrativ säkerhet. De här säkerhetsämnena omfattas inte av den här artikeln, som fokuserar på skissens tekniska säkerhet.

Principen om lägsta behörighet

Skissen installerar namngivna användare med roller för att stödja och begränsa deras åtkomstbehov till resurser i lösningen. Den här modellen kallas "principen om lägsta behörighet", en metod för resursåtkomst i systemdesignen. Principen anger att tjänst- och användarkonton endast ska ha åtkomst till de system och tjänster som behövs för ett legitimt ändamål.

Den här säkerhetsmodellen säkerställer att systemet följer HIPAA- och HITRUST-kraven, vilket minskar risken för organisationen.

Skydd på djupet

Systemdesigner som använder flera abstraktionslager av säkerhetskontroller använder skydd på djupet. Skydd på djupet ger säkerhetsredundans på flera nivåer. Det innebär att du inte är beroende av ett enda försvarslager. Det säkerställer att användar- och tjänstkonton har lämplig åtkomst till resurser, tjänster och data. Azure tillhandahåller säkerhets- och övervakningsresurser på alla nivåer i systemarkitekturen för att ge skydd på djupet för hela tekniklandskapet.

I ett programvarusystem som det som installeras av skissen kan en användare logga in men inte ha behörighet till en specifik resurs. Det här exemplet på djupskydd tillhandahålls av RBAC (rollbaserad Access Control) och Azure AD, med stöd för principen om lägsta behörighet.

Tvåfaktorautentisering är också en form av tekniskt skydd på djupet och kan inkluderas när skissen installeras.

Azure Key Vault

Tjänsten Key Vault används för att lagra hemligheter, certifikat och andra data som används av program. Dessa omfattar databassträngar, REST-slutpunkts-URL:er, API-nycklar och andra saker som utvecklare inte vill hårdkoda i ett program eller distribuera i en .config fil.

Valv är tillgängliga via programtjänstidentiteter eller andra konton i med Azure AD behörigheter. På så sätt kan hemligheter användas vid körning av program som behöver ett valvs innehåll.

Nycklar som lagras i ett valv kan krypteras eller signeras, och nyckelanvändningen kan övervakas för eventuella säkerhetsproblem.

Om ett nyckelvalv tas bort rensas det inte omedelbart från Azure. Konsekvenserna av detta beskrivs i avsnittet Nyckelvalv i den här artikeln.

Application Insights

Vårdorganisationer har ofta verksamhets- och livskritiska system som måste vara tillförlitliga och motståndskraftiga. Avvikelser eller avbrott i tjänsten måste identifieras och åtgärdas så snart som möjligt. Application Insights är en APM-teknik (Application Performance Management) som övervakar program och skickar aviseringar när något går fel. Den övervakar program vid körning efter fel eller programavvikelser. Den är utformad för att fungera med flera programmeringsspråk och ger en omfattande uppsättning funktioner för att säkerställa att programmen är felfria och körs smidigt.

Ett program kan till exempel ha en minnesläcka. Application Insights kan hjälpa dig att hitta och diagnostisera problem som detta via de omfattande rapporterings- och KPI:er som övervakas. Application Insights är en robust APM-tjänst för programutvecklare.

Den här interaktiva demonstrationen visar viktiga funktioner i Application Insights, inklusive en omfattande instrumentpanel för övervakning som kan användas av teknologer i hälsoorganisationen för att övervaka programmets tillstånd och hälsa.

Microsoft Defender for Cloud

Realtidssäkerhet och KPI-övervakning är en nödvändighet i verksamhetskritiska program. Defender för molnet hjälper till att säkerställa att dina Azure-resurser är säkra och skyddade. Defender för molnet är en tjänst för säkerhetshantering och avancerat skydd mot hot. Den kan användas för att tillämpa säkerhetsprinciper för dina arbetsbelastningar, begränsa din exponering för hot och identifiera och svara på attacker.

Defender for Cloud-standarden tillhandahåller följande tjänster.

  • Hybridsäkerhet – Få en enhetlig vy över säkerheten för alla dina lokala och molnbaserade arbetsbelastningar. Detta är särskilt användbart i hybridmolnnätverk som används av sjukvårdsorganisationer med Azure.
  • Avancerad hotidentifiering – Defender för molnet använder avancerad analys för att få en fördel jämfört med att utveckla cyberattacker och minimera dem direkt.
  • Åtkomst- och programkontroller – Blockera skadlig kod och andra oönskade program genom att tillämpa rekommendationer för listan över tillåtna för dina specifika arbetsbelastningar och som drivs av maskininlärning.

I samband med skissen hälso-AI analyserar Defender för molnet systemkomponenterna och tillhandahåller en instrumentpanel som visar sårbarheter i tjänster och resurser i prenumerationen. Distinkta instrumentpanelselement ger insyn i en lösnings problem på följande sätt.

  • Princip och efterlevnad
  • Resurssäkerhetshygien
  • Hotskydd

I följande exempelinstrumentpanel visas 13 förslag på hur du kan förbättra säkerhetsrisker för systemhot. Den visar också bara 46 % efterlevnad med HIPAA och policy.

Hotskydd

Att gå in på säkerhetsproblem med hög allvarlighetsgrad visar vilka resurser som påverkas och vilka åtgärder som krävs för varje resurs, som du ser senare i det här avsnittet.

It-personal kan ägna många timmar åt att försöka skydda alla resurser och nätverk manuellt. Med Defender för molnet för att identifiera sårbarheter i ett visst system kan tid ägnas åt andra strategiska aktiviteter. För många av de identifierade säkerhetsriskerna kan Defender för molnet automatiskt tillämpa reparationsåtgärden och skydda resursen utan att en administratör behöver fördjupa sig i problemet.

Höga risker

Defender för molnet gör ännu mer genom sina hotidentifierings- och aviseringsfunktioner. Använd Defender för molnet för att övervaka nätverk, datorer och molntjänster för inkommande attacker och aktiviteter efter intrång för att skydda din miljö. Defender för molnet samlar automatiskt in, analyserar och integrerar säkerhetsinformation och loggar från en mängd olika Azure-resurser.

Med maskininlärningsfunktionerna i Defender för molnet kan den identifiera hot som manuella metoder inte skulle avslöja. En lista över prioriterade säkerhetsaviseringar visas i Defender för molnet tillsammans med den information som behövs för att snabbt undersöka problemet tillsammans med rekommendationer för hur du åtgärdar ett angrepp.

RBAC-säkerhet

Rollbaserade Access Control (RBAC) ger eller nekar åtkomst till skyddade resurser, ibland med specifika rättigheter per resurs. Detta säkerställer att endast lämpliga användare kan komma åt sina utsedda systemkomponenter. En databasadministratör kan till exempel ha åtkomst till en databas som innehåller krypterade patientdata medan en vårdgivare bara har åtkomst till lämpliga patientjournaler via programmet som visar dem. Detta är vanligtvis ett elektroniskt medicinskt register eller elektroniskt hälsoregistersystem. Sjuksköterskan behöver inte komma åt databaserna och databasadministratören behöver inte se en patients hälsojournaldata.

För att aktivera detta är RBAC en del av Azure-säkerheten och möjliggör exakt fokuserad åtkomsthantering för Azure-resurser. Detaljerade inställningar för varje användare gör det möjligt för säkerhets- och systemadministratörer att vara mycket exakta i de rättigheter som de ger varje användare.

Matris för skissansvar

HITRUST-kundansvarsmatrisen är ett Excel-dokument som stöder kunder som implementerar och dokumenterar säkerhetskontroller för system som bygger på Azure. Arbetsboken innehåller relevanta HITRUST-krav och förklarar hur Microsoft och kunden ansvarar för att uppfylla var och en.

Det är viktigt för kunderna att förstå det delade ansvaret för att implementera säkerhetskontroller i en molnmiljö när de skapar system i Azure. Att implementera en specifik säkerhetskontroll kan vara Microsofts ansvar, kundernas ansvar eller ett delat ansvar mellan Microsoft och kunder. Olika molnimplementeringar påverkar hur ansvarsområden delas mellan Microsoft och kunder.

Exempel finns i följande ansvarstabell.

Azure-ansvarsområden Kundens ansvarsområden
Azure ansvarar för implementering, hantering och övervakning av metoder och mekanismer för informationsskyddsprogram i förhållande till tjänstens etableringsmiljö. Kunden ansvarar för implementering, konfiguration, hantering och övervakning av metoder och mekanismer för informationsskyddsprogram för kundkontrollerade tillgångar som används för att komma åt och använda Azure-tjänster.
Azure ansvarar för implementering, konfiguration, hantering och övervakning av metoder och mekanismer för kontohantering i förhållande till tjänstens etableringsmiljö. Kunden ansvarar även för kontohantering av distribuerade instanser av virtuella Azure-datorer och lokala programkomponenter.

Det här är bara två exempel på de många ansvarsområden som ska beaktas vid distribution av molnsystem. HITRUST-kundansvarsmatrisen är utformad för att stödja en organisations HITRUST-efterlevnad med en Azure-systemimplementering.

Anpassning

Det är vanligt att anpassa skissen när den har installerats. Orsaker och tekniker för att anpassa miljön varierar.

Skissen kan anpassas före installationen genom att ändra installationsskripten. Även om detta är möjligt rekommenderar vi att du skapar oberoende PowerShell-skript som ska köras när den första installationen är klar. Nya tjänster kan också läggas till i systemet via portalen när den första installationen har ägt rum.

Anpassningar kan innehålla något av följande:

  • Lägga till nya experiment i Machine Learning Studio
  • Lägga till ytterligare orelaterade tjänster i miljön
  • Ändra datainmatning och maskininlärningsexperimentets utdata så att de använder en annan datakälla än den Azure SQL patientdb-databasen
  • Tillhandahålla produktionsdata till maskininlärningsexperimentet
  • Rensa alla upphovsrättsskyddade data som matas in så att de matchar experimentets behov

Att anpassa installationen skiljer sig inte från att arbeta med en Azure-lösning. Tjänster eller resurser kan läggas till eller tas bort, vilket ger nya funktioner. När du anpassar skissen bör du se till att inte ändra den övergripande maskininlärningspipelinen för att säkerställa att implementeringen fortsätter att fungera.

Tekniska problem

Följande problem kan orsaka att skissinstallationen misslyckas eller att den installeras i en oönskad konfiguration.

Nyckelvalv

Nyckelvalv är unika när du tar bort en Azure-resurs. Valv behålls av Azure i återställningssyfte. Därför måste ett annat prefix skickas till installationsskriptet varje gång installationsskriptet körs, annars misslyckas installationen på grund av en kollision med det gamla valvnamnet. Nyckelvalv och alla andra resurser namnges med det prefix som du anger för installationsskriptet.

Ett nyckelvalv som skapats av installationsskriptet behålls som en "mjuk borttagning" i 30 dagar. Även om de för närvarande inte är tillgängliga via portalen kan mjukt borttagna Nyckelvalv hanteras från PowerShell och kan till och med tas bort manuellt.

Azure AD

Vi rekommenderar starkt att du installerar skissen i ett tomt Azure AD i stället för i ett produktionssystem. Skapa en ny Azure AD-instans och använd dess klientorganisations-ID under installationer för att undvika att lägga till skisskonton i din live-Azure AD-instans.

Komponenter

  • Azure Machine Learning är en maskininlärningstjänst i företagsklass för att snabbt skapa och distribuera modeller. Den ger användare på alla färdighetsnivåer en designer med låg kod, automatiserad maskininlärning och en värdbaserad Jupyter Notebook-miljö som stöder olika IDE:er.
  • Machine Learning Studio är den arbetsyta och det verktyg som dataexperter använder för att skapa maskininlärningsexperiment. Det gör det möjligt att använda inbyggda algoritmer, widgetar för specialändamål samt Python- och R-skript. Träna, distribuera och automatisera maskininlärningsmodeller i den här webbportalen, som omfattar både kodinriktade och icke-kodade perspektiv.
  • Key Vault: är en molntjänst som tillhandahåller ett säkert arkiv för hemligheter som API-nycklar, lösenord, certifikat och kryptografiska nycklar. Key Vault gör det också enkelt att etablera, hantera och distribuera offentliga och privata TLS/SSL-certifikat (Transport Layer Security/Secure Sockets Layer) för användning med Azure och dina interna anslutna resurser.
  • Azure Functions är en händelsedriven, serverlös beräkningstjänst som kör liten kod med en enda uppgift utan att behöva ny infrastruktur. Molninfrastrukturen tillhandahåller servrar för att köra funktionerna i stor skala. Med utlösare och bindningar kan Functions reagera på ändringar i Azure-tjänster som Blob Storage och Azure Cosmos DB. Du kan använda den för att bearbeta massdata, integrera system, arbeta med IoT och skapa enkla API:er och mikrotjänster. Azure Functions Premium-planen ger möjlighet att kommunicera med Functions privat över ett virtuellt nätverk.
  • Azure SQL är en familj sql-molndatabaser som ger en enhetlig upplevelse för hela SQL-portföljen och en mängd olika distributionsalternativ från gränsen till molnet.
  • Azure SQL Database, en del av Azure SQL-familjen, är en fullständigt hanterad paaS-databasmotor (plattform som en tjänst). Den körs alltid på den senaste stabila versionen av SQL Server-databasmotorn och det korrigerade operativsystemet. Den hanterar de flesta databashanteringsfunktioner åt dig, inklusive uppgradering, korrigering, säkerhetskopiering och övervakning.
  • Microsoft Defender för molnet ger enhetlig säkerhetshantering och skydd mot hot i dina hybrid- och molnarbetsbelastningar, inklusive arbetsbelastningar i Azure, Amazon Web Services (AWS) och Google Cloud Platform (GCP). Den integreras med nästan alla större tjänster på Azure-plattformen. Den samlar automatiskt in, analyserar och integrerar loggdata från dina Azure-resurser, nätverket och anslutna partnerlösningar, till exempel brandväggslösningar, för att identifiera verkliga hot och minska falska positiva identifieringar. Defender för molnet hjälper dig att hitta och åtgärda säkerhetsrisker, tillämpa åtkomst- och programkontroller för att blockera skadlig aktivitet, identifiera hot med hjälp av analys och intelligens och svara snabbt när de attackeras. Dess funktioner omfattar säkerhetsaviseringar, avvikelseidentifiering, rekommendationer för bästa praxis, poäng för regelefterlevnad och hotidentifiering.
  • Azure PowerShell är en uppsättning cmdletar för att hantera Azure-resurser direkt från PowerShell. Mer information finns i: Vad är Azure PowerShell?.

Överväganden

  • Skriptspråket PowerShell är avgörande för att konfigurera skissen, även om nödvändiga kommandon visas i installationsanvisningarna.
  • Azure AI Gallery innehåller en receptruta med AI- och maskininlärningslösningar som är användbara för kunder inom branschen. Det finns flera lösningar som publicerats av dataexperter tillsammans med andra experter för hälso- och sjukvård.

Slutsats

Azure Health Data AI-skissen är en komplett maskininlärningslösning och kan användas som ett inlärningsverktyg för teknologer för att bättre förstå Azure och se till att systemen uppfyller hälso- och sjukvårdsregler. Den kan också användas som utgångspunkt för ett produktionssystem genom att använda Machine Learning Studio som fokuspunkt.

Oavsett om du använder skissen för inlärningsändamål eller för en AI- och maskininlärningslösning för din organisation, är den en utgångspunkt för att arbeta med AI och maskininlärning i Azure med fokus på hälso- och sjukvård.

Deltagare

Huvudförfattare:

Nästa steg