Skiss för säkerhet och efterlevnad i Azure – HIPAA/HITRUST-hälsodata och AI

Översikt

Azures säkerhets- och efterlevnadsskiss – HIPAA/HITRUST-hälsodata och AI erbjuder en nyckelfärdig distribution av en Azure PaaS- och IaaS-lösning som visar hur du matar in, lagrar, analyserar, interagerar, identiteter och distribuerar lösningar på ett säkert sätt med hälsodata samtidigt som du kan uppfylla branschens efterlevnadskrav. Skissen hjälper till att påskynda molnimplementeringen och användningen för kunder med data som är reglerade.

Azure Security and Compliance Blueprint – HIPAA/HITRUST Health Data and AI Blueprint innehåller verktyg och vägledning för att distribuera en säker HIPAA-miljö (Health Insurance Portability and Accountability Act) och HITRUST-redo plattform som en tjänst-miljö (Health Insurance Portability and Accountability Act) och HITRUST-redo plattform som en tjänst-miljö (Health Insurance Portability and Accountability Act) för inmatning, lagring, analys och interaktion med personliga och icke-personliga medicinska journaler i en säker molnmiljö med flera nivåer. distribueras som en slutpunkt till slutpunkt-lösning.

IaaS-lösningen visar hur du migrerar en lokal SQL-baserad lösning till Azure och implementerar en PAW -arbetsstation (Privileged Access Workstation) för säker hantering av molnbaserade tjänster och lösningar. IaaS-SQL Server-databasen lägger till potentiella experimentdata som importeras till en virtuell SQL IaaS-dator och den virtuella datorn använder MSI-autentiserad åtkomst för att interagera med en SQL Azure PaaS-tjänsten. Båda dessa visar en gemensam referensarkitektur och är utformade för att förenkla införandet av Microsoft Azure. Den här tillhandahållna arkitekturen illustrerar en lösning som uppfyller behoven hos organisationer som söker en molnbaserad metod för att minska belastningen och kostnaden för distribution.

Lösningen är utformad för att använda en exempeldatauppsättning formaterad med FHIR (Fast Healthcare Interoperability Resources), en global standard för utbyte av hälso- och sjukvårdsinformation elektroniskt och lagra den på ett säkert sätt. Kunder kan sedan använda Azure Machine Learning Studio för att dra nytta av kraftfulla Business Intelligence-verktyg och analyser för att granska förutsägelser som gjorts på exempeldata. Som ett exempel på den typ av experiment som Azure Machine Learning Studio kan underlätta innehåller skissen en exempeldatauppsättning, skript och verktyg för att förutsäga längden på en patients vistelse på en sjukhusanläggning.

Den här skissen är avsedd att fungera som en modulär grund för kunder att anpassa sig till sina specifika krav och utveckla nya Azure Machine Learning-experiment för att lösa både kliniska och operativa användningsfall. Den är utformad för att vara säker och kompatibel när den distribueras. Kunder ansvarar dock för att konfigurera roller korrekt och implementera eventuella ändringar. . Tänk på följande:

• Den här skissen innehåller en baslinje som hjälper kunder att använda Microsoft Azure i en HITRUST- och HIPAA-miljö.

• Även om skissen har utformats för att anpassas till HIPAA och HITRUST (via Common Security Framework – CSF), bör den inte betraktas som kompatibel förrän den certifierats av en extern granskare per HIPAA- och HITRUST-certifieringskrav.

• Kunderna ansvarar för att utföra lämpliga säkerhets- och efterlevnadsgranskningar av alla lösningar som skapats med den här grundläggande arkitekturen.

Distribuera automatiseringen

• Om du vill distribuera lösningen följer du anvisningarna i distributionsvägledningen.

• En snabb översikt över hur den här lösningen fungerar finns i den här videon som förklarar och demonstrerar dess distribution.

• Vanliga frågor och svar finns i vägledningen för vanliga frågor och svar .

• Arkitekturdiagram. Diagrammet visar referensarkitekturen som används för skissen och exempelscenariot för användningsfall.

• IaaS-tillägg Den här lösningen visar hur du migrerar en lokal SQL-baserad lösning till Azure och implementerar en arbetsstation med privilegierad åtkomst för att hantera molnbaserade tjänster och lösningar på ett säkert sätt.

Lösningskomponenter

Den grundläggande arkitekturen består av följande komponenter:

• Hotmodell En omfattande hotmodell tillhandahålls i tm7-format för användning med Microsoft Threat Modeling Tool, som visar komponenterna i lösningen, dataflödena mellan dem och förtroendegränserna. Modellen kan hjälpa kunderna att förstå potentiella risker i systeminfrastrukturen när de utvecklar Machine Learning Studio-komponenter eller andra ändringar.

• Matris för kundimplementering En Microsoft Excel-arbetsbok innehåller en lista över relevanta HITRUST-krav och förklarar hur Microsoft och kunden ansvarar för att uppfylla var och en av dem.

• Hälsogranskning. Lösningen granskades av Coalfire Systems, Inc. Granskning och vägledning för implementering av hälsoefterlevnad (HIPAA och HITRUST) ger en granskare av lösningen och överväganden för att omvandla skissen till en produktionsklar distribution.

Arkitekturdiagram

Roller

Skissen definierar två roller för administrativa användare (operatörer) och tre roller för användare inom sjukhushantering och patientvård. En sjätte roll definieras för en granskare för att utvärdera efterlevnaden av HIPAA och andra föreskrifter. Rollbaserade Azure-Access Control (RBAC) möjliggör exakt fokuserad åtkomsthantering för varje användare av lösningen via inbyggda och anpassade roller. Se Kom igång med Role-Based Access Control i Azure Portal och inbyggda roller för rollbaserad åtkomstkontroll i Azure för detaljerad information om RBAC, roller och behörigheter.

Webbplatsadministratör

Webbplatsadministratören ansvarar för kundens Azure-prenumeration. De styr den övergripande distributionen, men har ingen åtkomst till patientposter.

• Standardrolltilldelningar: Ägare

• Anpassade rolltilldelningar: Ej tillämpligt

• Omfång: Prenumeration

Databasanalytiker

Databasanalytikern administrerar SQL Server instans och databas. De har ingen tillgång till patientjournaler.

• Inbyggda rolltilldelningar: SQL DB-deltagare, SQL Server deltagare

• Anpassade rolltilldelningar: Ej tillämpligt

• Omfång: ResourceGroup

Datavetare

Dataexperten driver Azure Machine Learning Studio. De kan importera, exportera och hantera data och köra rapporter. Dataexperten har åtkomst till patientdata, men har inte administratörsbehörighet.

• Inbyggda rolltilldelningar: Lagringskontodeltagare

• Anpassade rolltilldelningar: Ej tillämpligt

• Omfång: ResourceGroup

Chief Medical Information Officer (CMIO)

CMIO sträcker sig över klyftan mellan informatik/teknik och sjukvårdspersonal i en sjukvårdsorganisation. Deras uppgifter omfattar vanligtvis användning av analys för att avgöra om resurser allokeras på lämpligt sätt inom organisationen.

• Inbyggda rolltilldelningar: Ingen

Care Line Manager

Vårdlinjens chef är direkt involverad i vården av patienter. Den här rollen kräver övervakning av enskilda patienters status samt att personalen är tillgänglig för att uppfylla de specifika vårdkraven för sina patienter. Vårdlinjechefen ansvarar för att lägga till och uppdatera patientjournaler.

• Inbyggda rolltilldelningar: Ingen

• Anpassade rolltilldelningar: Har behörighet att köra HealthcareDemo.ps1 att göra både patientinträde och urladdning.

• Omfång: ResourceGroup

Granskare

Revisorn utvärderar lösningen för efterlevnad. De har ingen direkt åtkomst till nätverket.

• Inbyggda rolltilldelningar: Läsare

• Anpassade rolltilldelningar: Ej tillämpligt

• Omfång: Prenumeration

Exempel på användningsfall

Exempelanvändningsfallet som ingår i den här skissen illustrerar hur skissen kan användas för att aktivera maskininlärning och analys av hälsodata i molnet. Contosoclinic är ett litet sjukhus i USA. Sjukhusnätverksadministratörerna vill använda Azure Machine Learning Studio för att bättre förutsäga längden på en patients vistelse vid tidpunkten för intagningen, för att öka effektiviteten i driftens arbetsbelastning och förbättra kvaliteten på vården som den kan ge.

Förutsäga vistelsens längd

Exempelscenariot för användningsfall använder Azure Machine Learning Studio för att förutsäga en nyligen inlagd patients vistelselängd genom att jämföra de medicinska uppgifter som tagits vid patientintaget med aggregerade historiska data från tidigare patienter. Skissen innehåller en stor uppsättning anonymiserade medicinska journaler för att demonstrera lösningens träning och prediktiva funktioner. I en produktionsdistribution skulle kunderna använda sina egna poster för att träna lösningen för mer exakta förutsägelser som återspeglar den unika informationen om deras miljö, anläggningar och patienter.

Användare och roller

Webbplatsadministratör – Alex

Email: Alex_SiteAdmin

Alex jobb är att utvärdera tekniker som kan minska bördan med att hantera ett lokalt nätverk och minska kostnaderna för hantering. Alex har utvärderat Azure under en tid men har kämpat för att konfigurera de tjänster som han behöver för att uppfylla Kraven på HiTrust-efterlevnad för att lagra patientdata i molnet. Alex har valt Azure Health AI för att distribuera en efterlevnadsklar hälsolösning som har åtgärdat kraven för att uppfylla kundernas krav för HiTrust.

Dataforskare -- Debra

Email: Debra_DataScientist

Debra ansvarar för att använda och skapa modeller som analyserar medicinska journaler för att ge insikter om patientvård. Debra använder SQL och det statistiska R-programmeringsspråket för att skapa sina modeller.

Databasanalytiker – Danny

Email: Danny_DBAnalyst

Danny är den viktigaste kontakten för allt som rör Microsoft SQL Server som lagrar alla patientdata för Contosoclinic. Danny är en erfaren SQL Server administratör som nyligen har bekantat sig med Azure SQL Database.

Chief Medical Information Officer -- Caroline

Caroline arbetar med Chris care line manager, och Debra Dataforskare för att avgöra vilka faktorer som påverkar patientens vistelselängd. Caroline använder förutsägelserna från lösningen för vistelsens längd (LOS) för att avgöra om resurser tilldelas på lämpligt sätt i sjukhusnätverket. Du kan till exempel använda instrumentpanelen som finns i den här lösningen.

Care Line Manager - Chris

Email: Chris_CareLineManager

Som den person som är direkt ansvarig för att hantera patientinläggning och urladdningar på Contosoclinic använder Chris de förutsägelser som genereras av LOS-lösningen för att säkerställa att tillräcklig personal är tillgänglig för att ge vård till patienter medan de bor i anläggningen.

Granskare -- Han

Email: Han_Auditor

Han är en certifierad granskare som har erfarenhet av granskning för ISO, SOC och HiTrust. Han anlitades för att granska Contosoclincs nätverk. Han kan granska kundansvarsmatrisen som medföljer lösningen för att säkerställa att skissen och LOS-lösningen kan användas för att lagra, bearbeta och visa känsliga personuppgifter.

Designkonfiguration

I det här avsnittet beskrivs de standardkonfigurationer och säkerhetsåtgärder som är inbyggda i skissen som beskrivs för att:

• Mata in dataråkällor inklusive FHIR-datakälla
• LAGRA känslig information
• ANALYSERA och förutsäga resultat
• INTERAGERA MED resultaten och förutsägelserna
• Identitetshantering av lösningen
• Säkerhetsaktiverade funktioner

IDENTITET

Azure Active Directory och rollbaserad åtkomstkontroll (RBAC)

Autentisering:

• Azure Active Directory (Azure AD) är Microsofts molnbaserade katalog- och identitetshanteringstjänst för flera klientorganisationer. Alla användare för lösningen skapades i Azure Active Directory, inklusive användare som har åtkomst till SQL Database.

• Autentisering till programmet utförs med hjälp av Azure AD. Mer information finns i Integrating applications with Azure Active Directory (Integrera program med Azure Active Directory).

• Azure Active Directory Identity Protection identifierar potentiella sårbarheter som påverkar organisationens identiteter, konfigurerar automatiserade svar på identifierade misstänkta åtgärder relaterade till organisationens identiteter och undersöker misstänkta incidenter och vidtar lämpliga åtgärder för att lösa dem.

• Rollbaserade Azure-Access Control (RBAC) möjliggör exakt fokuserad åtkomsthantering för Azure. Prenumerationsåtkomsten är begränsad till prenumerationsadministratören och Åtkomsten till Azure Key Vault är begränsad till webbplatsadministratören. Starka lösenord (minst 12 tecken med minst en övre/nedre bokstav, siffra och specialtecken) krävs.

• Multifaktorautentisering stöds när växeln -enableMFA är aktiverad under distributionen.

• Lösenord upphör att gälla efter 60 dagar när växeln -enableADDomainPasswordPolicy är aktiverad under distributionen.

Roller:

• Lösningen använder inbyggda roller för att hantera åtkomst till resurser.

• Alla användare tilldelas specifika inbyggda roller som standard.

Azure Key Vault

• Data som lagras i Key Vault omfattar:

  • Application Insight-nyckel
  • Åtkomstnyckel för patientdatalagring
  • Patientanslutningssträng
  • Namn på patientdatatabell
  • Azure ML-webbtjänstslutpunkt
  • Azure ML-tjänstens API-nyckel

• Avancerade åtkomstprinciper konfigureras efter behov

• Key Vault åtkomstprinciper definieras med minsta nödvändiga behörigheter för nycklar och hemligheter

• Alla nycklar och hemligheter i Key Vault har förfallodatum

• Alla nycklar i Key Vault skyddas av HSM [nyckeltyp = HSM-skyddad 2 048-bitars RSA-nyckel]

• Alla användare/identiteter beviljas minsta nödvändiga behörigheter med rollbaserad Access Control (RBAC)

• Program delar inte en Key Vault om de inte litar på varandra och de behöver åtkomst till samma hemligheter vid körning

• Diagnostikloggar för Key Vault aktiveras med en kvarhållningsperiod på minst 365 dagar.

• Tillåtna kryptografiska åtgärder för nycklar är begränsade till de som krävs

ÄTER

Azure Functions

Lösningen har utformats för att använda Azure Functions för att bearbeta urvalslängden för vistelsedata som används i analysdemon. Tre funktioner i funktionerna har skapats.

1. Massimport av kunddata phi-data

När du använder demoskriptet. .\HealthcareDemo.ps1 med BulkPatientAdmission-växeln enligt beskrivningen i Distribuera och köra demonstrationen körs följande bearbetningspipeline:

1. Azure Blob Storage – Exempel på patientdata .csv fil som laddats upp till lagring
2. Event Grid – Händelsen publicerar data till Azure Function (massimport – blobhändelse)
3. Azure-funktion – Utför bearbetningen och lagrar data i SQL Storage med hjälp av den säkra funktionen – händelse(typ; blob-URL)
4. SQL DB – Databaslagret för patientdata med taggar för klassificering, och ML-processen startas för att utföra träningsexperimentet.

Dessutom har Azure-funktionen utformats för att läsa och skydda avsedda känsliga data i exempeldatauppsättningen med hjälp av följande taggar:

• dataProfile => "ePHI"
• owner =><Site Admin UPN>
• environment => "Pilot"
• department => "Global Ecosystem" Taggningen tillämpades på exempeldatauppsättningen där patientens "namn" identifierades som klartext.

2. Antagning av nya patienter

När du använder demoskriptet. .\HealthcareDemo.ps1 med BulkPatientadmission-växeln enligt beskrivningen i Distribuera och köra demon kör den följande bearbetningspipeline: 1. Azure Function utlöses och funktionsbegäranden för en ägartoken från Azure Active Directory.

2. Key Vault begärde för en hemlighet som är kopplad till den begärda token.

3. Azure-roller verifierar begäran och auktoriserar åtkomstbegäran till Key Vault.

4. Key Vault returnerar hemligheten, i det här fallet SQL DB-anslutningssträngen.

5. Azure Function använder anslutningssträngen för att ansluta säkert till SQL Database och fortsätter att bearbeta för att lagra ePHI-data.

För att uppnå lagring av data implementerades ett vanligt API-schema efter FHIR (Fast Healthcare Interoperability Resources, pronounced fire). Funktionen tillhandahölls följande FHIR-utbyteselement:

• Patientschemat omfattar "vem"-information om en patient.

• Observationsschemat omfattar det centrala elementet i hälso- och sjukvården, som används för att stödja diagnos, övervaka förloppet, fastställa baslinjer och mönster och till och med fånga demografiska egenskaper.

• Mötesschema omfattar typer av möten som ambulatory, emergency, home health, inpatient och virtual encounters.

• Villkorsschemat omfattar detaljerad information om ett tillstånd, problem, diagnos eller annan händelse, situation, problem eller kliniskt begrepp som har ökat till en nivå av oro.

Event Grid

Lösningen stöder Azure Event Grid, en enda tjänst för att hantera routning av alla händelser från valfri källa till alla mål, vilket ger:

• Säkerhet och autentisering

• Rollbaserad åtkomstkontroll för olika hanteringsåtgärder, till exempel att lista händelseprenumerationer, skapa nya och generera nycklar

• Granskning

LAGRA

SQL Database och server

• Transparent datakryptering (TDE) ger kryptering och dekryptering i realtid av data som lagras i Azure SQL Database med hjälp av en nyckel som lagras i Azure Key Vault.

• SQL Vulnerability Assessment är ett enkelt att konfigurera verktyg som kan identifiera, spåra och åtgärda potentiella databassårbarheter.

• SQL Database Hotidentifiering aktiverat.

• SQL Database granskning aktiverat.

• SQL Database mått och diagnostikloggning har aktiverats.

• Brandväggsreglerna på server- och databasnivå har skärpts.

• Always Encrypted kolumner används för att skydda patientens förnamn, mellannamn och efternamn. Dessutom använder databaskolumnkryptering även Azure Active Directory (AD) för att autentisera programmet för att Azure SQL Database.

• Åtkomst till SQL Database och SQL Server konfigureras enligt principen om lägsta behörighet.

• Endast nödvändiga IP-adresser tillåts åtkomst via SQL-brandväggen.

Lagringskonton

• Data i rörelse överförs endast med TLS/SSL.

• Anonym åtkomst tillåts inte för containrar.

• Aviseringsregler har konfigurerats för att spåra anonym aktivitet.

• HTTPS krävs för åtkomst till lagringskontoresurser.

• Data för autentiseringsbegäran loggas och övervakas.

• Data i Blob Storage krypteras i vila.

ANALYSERA

Machine Learning

• Loggning är aktiverat för Machine Learning Studio-webbtjänster.
• Användning av Machine Learning Studio kräver utveckling av experiment som ger möjlighet att förutsäga till en lösningsuppsättning.

SÄKERHET

Azure Security Center

• Azure Security Center ger en central vy över säkerhetstillståndet för alla dina Azure-resurser. Du kan snabbt kontrollera att lämpliga säkerhetskontroller är på plats och korrekt konfigurerade, och du kan snabbt identifiera alla resurser som kräver uppmärksamhet.

• Azure Advisor är en anpassad molnkonsult som hjälper dig att följa bästa praxis för att optimera dina Azure-distributioner. Advisor analyserar din resurskonfiguration och användningstelemetri och rekommenderar sedan lösningar som kan hjälpa dig att förbättra kostnadseffektiviteten, prestanda, tillgängligheten och säkerheten för dina Azure-resurser.

Application Insights

• Application Insights är en utökningsbar APM-tjänst (Application Performance Management) för webbutvecklare på flera plattformar. Du kan använda den för att övervaka ditt live-webbprogram. Den identifierar prestandaavvikelser. Den inkluderar kraftfulla analysverktyg för att hjälpa dig diagnosticera problem och förstå vad användare faktiskt gör med din app. Den är avsedd för utvecklare och för att hjälpa dig att kontinuerligt förbättra prestanda och användbarhet.

Azure-aviseringar

• Aviseringar erbjuder en metod för att övervaka Azure-tjänster och gör att du kan konfigurera villkor för data. Aviseringar ger också meddelanden när ett aviseringsvillkor matchar övervakningsdata.

Azure Monitor-loggar

Azure Monitor-loggar är en samling hanteringstjänster.

• Arbetsytan är aktiverad för Security Center

• Arbetsytan är aktiverad för arbetsbelastningsövervakning

• Arbetsbelastningsövervakning är aktiverat för:

  • Identitet och åtkomst

  • Säkerhet och granskning

  • Azure SQL DB-analys

  • Azure WebApp Analytics Lösning

  • Key Vault-analys

  • Spårning av ändringar

• Application Insights Connector (förhandsversion) är aktiverat

• Aktivitetslogganalys är aktiverat