Düzenle

Azure'da tüketici durumu portalı

Azure App Service
Azure Functions
Azure Web Application Firewall

Bu makalede, Azure İyi Tasarlanmış Çerçeve'nin sütunlarıyla uyumlu tipik bir tüketici durumu portalı mimarisi açıklanmaktadır. Bu mimariyi özel gereksinimlerinizi karşılayacak şekilde özelleştirmeyi seçebilirsiniz.

Mimari

Tüketici durumu portalı mimarisinin diyagramı.

Bu mimarinin bir Visio dosyasını indirin.

İş Akışı

  • Bu çözüm, gelen verilerin kimliğini doğrulamak için Azure Front Door'un genel ayak izini ve Azure Web Uygulaması Güvenlik Duvarı (WAF) uç güvenlik özelliklerini kullanır.
  • Daha sonra kimliği doğrulanmış veriler Azure API Management (APIM) tarafından Azure Uygulaması Hizmeti'ndeki kullanıcılar için ön uç arabirimine veya Azure İşlevleri'de barındırılan API'lere yönlendirilir.

Bu mimaride kullanılan birincil arka uç veri hizmeti Azure Cosmos DB'dir. Azure Cosmos DB'nin ölçeklenebilirlik ve güvenliğine ek olarak çok modelli özellikleri, her tür tüketici durumu portalı için esneklik sağlar. Kayıt biçiminde olmayan tüm veriler nesne olarak Azure Blob Depolama depolanır. Bu veriler tıbbi görüntüleri, tüketici tarafından çekilen fotoğrafları, karşıya yüklenen belgeleri, arşivlenmiş verileri vb. içerebilir. Blob depolama, büyük hacimli yapılandırılmamış veriler için uygun fiyatlı bir depolama alanı sağlar. Bu tür veriler Azure Cosmos DB'de depolama için iyileştirilmemiştir ve maliyetini ve performansını olumsuz etkileyebilir.

Bileşenler

  • Azure HIPAA HITRUST 9.2 şeması, Azure İlkesi kullanan bir Azure şemasıdır. HIPAA HITRUST 9.2 denetimlerini değerlendirmeye ve Azure iş yükleri için temel bir ilke kümesi dağıtmaya yardımcı olur. Bu, HIPAA HITRUST için tam uyumluluk kapsamı sunmasa da, uygun ve gerekli olduğunda daha fazla denetim başlatmak ve eklemek için harika bir yerdir. İlke girişimleriyle uyumluluk, bu şemada ve Bulut için Microsoft Defender arabiriminde de görselleştirilebilir.

  • Azure Front Door , uç trafiğin ölçeğinde yönetmek ve dünyanın dört bir yanındaki uç noktaları sunarak son kullanıcıların performansını artırmak için kullanılır. Bu teknoloji, herhangi bir lisans gerektirmeyen buluta özeldir; yalnızca kullandığınız kadar ödersiniz. Bu iş yükü senaryosunda Azure Front Door, tüketici durumu portalına gelen tüm trafik için giriş noktası görevi görür.

  • Azure Web Uygulaması Güvenlik Duvarı uygulamaları OWASP güvenlik açıkları, SQL eklemeleri, siteler arası betik oluşturma ve diğerleri gibi yaygın web tabanlı saldırılardan korur. Bu teknoloji, herhangi bir lisans gerektirmeyen ve kullandıkça öde özelliğine sahip buluta özeldir.

  • Azure API Management , API'lerin yayımlanması, yönlendirilmesi, güvenliğinin sağlanması, günlüğe kaydedilmesi ve analizinde yardımcı olur. API'nin yalnızca son kullanıcı tarafından kullanılıp kullanılmadığı veya dış birlikte çalışabilirlik için üçüncü bir tarafla tümleştirildiği durumlarda API yönetimi, API'lerin genişletilip sunulma şekli konusunda esneklik sağlar.

  • Azure Uygulaması Hizmeti, HTTP tabanlı web hizmetlerini barındırmak için kullanılan bir hizmettir. Çok çeşitli dilleri destekler, Linux veya Windows üzerinde çalışabilir, CI/CD işlem hatlarıyla tamamen tümleşir ve hatta kapsayıcı iş yüklerini PaaS teklifi olarak çalıştırabilir. App Service, Azure'da kimlik, güvenlik ve günlük hizmetleriyle yerel tümleştirmeye ek olarak hem ölçeği artırmaya hem de ölçeği genişletmeye olanak tanır. Uyumluluğu korurken tüketici durumu portalının ölçeklendirme gereksinimlerini karşılayabildi. Bu mimaride ön uç web portalını barındırıyor.

  • Azure İşlev Uygulamaları, Azure'da geliştiricilerin temel alınan sistemleri korumak zorunda kalmadan isteğe bağlı işlem kodu yazmasına olanak tanıyan sunucusuz bir platform çözümüdür. Bu mimaride Azure İşlevleri API'leri ve belirli bir süre boyunca düzenli işleri çalıştırma ve bilgi işlem istatistikleri gibi zaman uyumsuz olarak yapılması gereken tüm işleri barındırabilir.

  • Azure Cosmos DB , tek basamaklı yanıt süreleri sunan ve her ölçekte performansı garanti eden, tam olarak yönetilen, çok modelli bir NoSQL veritabanı teklifidir. Tüketici durumu sistemindeki her kullanıcının yalnızca kendileriyle ilgili verileri olur ve bu da NoSQL veri yapısının kullanılmasını haklı gösterir. Azure Cosmos DB neredeyse sınırsız ölçeklendirmenin yanı sıra çok bölgeli okuma ve yazma işlemlerine sahiptir. Azure Cosmos DB, bu tür tüketici sağlığı sistemleri tarafından toplanan veri miktarının büyük ölçüde artmasıyla birlikte, 100 veya 1.000.000 etkin kullanıcı olmasına bakılmaksızın uygun güvenlik, hız ve ölçek sağlayabilir.

  • Azure Key Vault gizli dizileri, anahtarları ve sertifikaları güvenli bir şekilde depolamak ve bunlara erişmek için kullanılan bir Azure yerel hizmetidir. Key Vault, HSM destekli güvenlik ve Microsoft Entra tümleşik rol tabanlı erişim denetimleri aracılığıyla denetimli erişim sağlar. Uygulamalar hiçbir zaman anahtarları veya gizli dizileri yerel olarak depolamamalıdır. Bu mimariDE API Anahtarları, parolalar, şifreleme anahtarları ve sertifikalar gibi tüm gizli dizileri depolamak için Azure Key Vault kullanılır.

  • Azure Active Directory B2C , maliyeti etkin kullanıcı sayınızla birlikte ölçeklendirilen büyük ölçekte hizmet olarak işletmeden tüketiciye kimlik sağlar. Bu çözüm gibi tüketiciye yönelik uygulamalarda, kullanıcılar yeni bir hesap oluşturmak yerine kendi kimliklerini getirmek isteyebilir. Sosyal kimlikten, e-posta hesabına veya herhangi bir SAML sağlayıcısı kimlik hizmetine kadar her şey olabilir. Bu yöntem, kullanıcı için daha kolay bir ekleme deneyimi sağlar. Çözüm sağlayıcısının yalnızca kullanıcı kimliklerine başvurması ve bunları barındırması ve koruması gerekmez.

  • Azure İzleyici Günlükleri aracı Azure Log Analytics, tanılama veya günlüğe kaydetme bilgileri için ve bu verileri sıralamak, filtrelemek veya görselleştirmek üzere sorgulamak için kullanılabilir. Bu hizmet tüketime göre fiyatlanır ve bu çözümdeki tüm hizmetlerden tanılama ve kullanım günlüklerini barındırmak için idealdir.

  • Azure İzleyici'nin bir diğer özelliği olan Azure Uygulaması Analizler, Azure'daki yerel Uygulama Performansı Yönetimi (APM) hizmetidir. Uygulamaların canlı izlenmesini sağlamak için ön uç App Service'e ve tüm Azure İşlevleri koduna kolayca tümleştirilebilir. Uygulama Analizler yalnızca bunları barındıran işlem platformundan değil, doğrudan uygulamalardan oluşturulan performans, kullanılabilirlik anomalileri ve hataları kolayca algılayabilir.

  • Azure İletişim Hizmetleri, iletişimi uygulamalarınızla tümleştirmenize yardımcı olmak için kullanılabilen REST API'leri ve istemci kitaplığı SDK'ları ile bulut tabanlı hizmetlerdir. Medya kodlama veya telefon gibi temel teknolojilerde uzman olmadan uygulamalarınıza iletişim ekleyebilirsiniz. Bu çözümde, randevu onayları veya anımsatıcılar gibi tüketici durumu portalıyla ilgili tüm e-postaları, kısa mesajları veya otomatik telefon çağrılarını göndermek için kullanılabilir.

  • Azure Notification Hub , herhangi bir mobil platforma bildirim gönderme olanağı sağlayan basit ve ölçeklenebilir bir anında iletme bildirimi altyapısıdır. Mobil uygulama kullanan bir tüketici durumu portalı, uygulamayı cep telefonlarına yükleyen kullanıcılara anında iletme bildirimleri göndermenin uygun maliyetli bir yolu için Azure Notification Hub ile tümleştirilebilir. Bu mimaride, kullanıcılara randevularını anımsatmak, bağlantısı kesilmiş cihazların bilgilerini girmek, belirli sağlık hedeflerine ulaşmak vb. için bildirimler gönderilebilir.

  • Bulut için Microsoft Defender) bu buluta özel çözümün tamamı için güvenlik izleme ve duruş yönetiminin temelini oluşturur. Bulut için Microsoft Defender, Azure platformundaki neredeyse tüm önemli hizmetlerle tümleştirilir. Özellikleri arasında güvenlik uyarıları, anomali algılama, en iyi uygulama önerileri, mevzuat uyumluluğu puanları ve tehdit algılama yer alır. HIPAA/HITRUST uyumluluk izlemesine ve genel Azure Güvenliği en iyi uygulama izlemesine ek olarak, bu çözüm aşağıdaki özellik kümelerini kullanır:

Alternatifler

  • Azure Sağlık Veri Hizmetleri'nin bir parçası olarak Azure FHIR Hizmeti, HL7 veya FHIR iletişim standartları kullanılarak tıbbi kayıtların birlikte çalışabilirliği için kullanılabilir. Uygulamanızın diğer sistemlerden tıbbi kayıtları alması veya iletmesi gerekiyorsa bu hizmet kullanılmalıdır. Örneğin, bu çözüm tıbbi sağlayıcılar için bir portalsa, FHIR için Azure API doğrudan sağlayıcının elektronik tıbbi kayıt sistemiyle tümleştirilebilir.

  • Azure IoT Hub , cihaz verilerini almak için hassas bir şekilde ayarlanmış bir hizmettir. Portal, giyilebilir bir cihazdan veya başka bir tıbbi cihazdan veri toplayan bir çözümün ön ucuysa, bu verileri almak için IoT Hub kullanılmalıdır. Daha fazla bilgi için Uzaktan Hasta İzleme Çözümleri mimarisinin INGEST işlemini okuyun.

  • Microsoft 365 E-posta , e-posta ve iletişim için kullanılan sektör lideri bir hizmettir. Birçok kuruluş bu hizmete zaten yatırım yaptı ve daha tam özellikli Azure İletişim Hizmetleri alternatif olarak kullanılabilir. Bu çözümde, tüketici durumu portalıyla ilgili randevu onayı veya anımsatıcı e-postaları gibi tüm e-postaları göndermek için kullanılabilir.

Senaryo ayrıntıları

Sağlık ve yaşam bilimleri sektörü genelinde kuruluşlar dijital bir sağlık stratejisi benimsemektedir. Temel yapılardan biri ve dijital sistem durumu çözümünün gerekli bileşenlerinden biri tüketici sağlığı portalıdır. Tüketici sağlığı portalı giyilebilir bir cihazdan ilerlemeyi ve istatistikleri izlemek, bir tıbbi sağlayıcıyla etkileşim kurmak ve hatta sağlıklı beslenme alışkanlıklarını izlemek için kullanılabilir.

Olası kullanım örnekleri

  • Giyilebilir bir cihazın istatistiklerini izleyin.
  • Tıbbi kayıtlara erişim elde edin ve bir tıbbi sağlayıcıyla etkileşime geçin.
  • Verileri doldurmak veya ilaçların kendi kendine izlenmesi için kullanılabilecek ilaçların zamanlarını ve dozlarını girin.
  • Kilo kaybı veya diyabet için sağlıklı bir beslenme koçu ile etkileşime geçin.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Kullanılabilirlik

Bu çözüm şu anda tek bölgeli dağıtım olarak tasarlanmıştır. Senaryonuz yüksek kullanılabilirlik, olağanüstü durum kurtarma ve hatta yakınlık için çok bölgeli dağıtım gerektiriyorsa, aşağıdaki yapılandırmalara sahip eşleştirilmiş bir Azure Bölgesi gerekebilir.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.

Aşağıdaki bölümlerde, bu çözümde kullanılan hizmetlerin her biri için en iyi güvenlik yöntemleri açıklanmaktadır.

Azure Front Door

Birçok farklı yaygın saldırıyı azaltmak için Azure Front Door'un Web Uygulaması Güvenlik Duvarı (WAF) kullanılmalıdır. İyi bir temel, Open Web Application Security Project (OWASP) çekirdek kural kümelerinin (CRS) en son sürümünü kullanarak başlamak ve sonra gerektiğinde özel ilkeler eklemektir. Azure Front Door büyük miktarda trafiği emecek şekilde tasarlanmış olsa da, mümkün olduğunda arka uç sistemlerine trafik yükünü azaltmak için bu hizmetle birlikte sağlanan önbelleğe alma mekanizmalarını kullanmayı göz önünde bulundurun. Sorun giderme ve olası güvenlik araştırmalarını desteklemek için günlüğe kaydetme hem Azure Front Door hem de Web Uygulaması Güvenlik Duvarı için yapılandırılmalıdır. Daha fazla bilgi için bkz . Azure Front Door için güvenlik uygulamaları.

Azure API Management

AZURE AD B2C APIM kimlik doğrulaması kullanılarak veya belirteçle tanımlanan oturumlarla APIM'ye giden tüm trafiğin kimliği doğrulanmalıdır. Kaynak günlüklerini depolamak için Azure API Management'ı yapılandırın. Daha fazla bilgi için bkz . Azure API Management için güvenlik uygulamaları.

Azure App Service

App service de dahil olmak üzere bu mimariye yönelik tüm trafik TLS ile uçtan uca güvenli hale getirilmelidir. App Service, saldırı yüzeyini sıkmak için güvenli olmayan protokolleri reddetmelidir. Ayrıca, APIM'nin kendi istemci kimlik doğrulamasına ve yetkilendirmesine karşı doğrulamasını sağlamak için istemcinin kimlik doğrulamasını App Service'e geri geçirmesi gerekir. App Service'te kullanılan tüm gizli diziler, mümkün olduğunca yönetilen hizmet kimliği kullanılarak Key Vault'ta depolanmalıdır. App Service ayrıca tüm güvenlik tanılama çalışmalarını desteklemek için tanılama günlüklerini depolamalı ve App Service için Microsoft Defender ile tümleştirilmelidir. daha fazla bilgi için bkz. Azure Uygulaması Hizmeti için güvenlik uygulamaları

Azure İşlevleri

Bu çözümdeki Azure İşlevleri yönelik tüm isteklerin HTTPS gerektirmesi, isteklerin kimliğini doğrulamak için Azure API Management'ı kullanması ve mümkün olduğunda Yönetilen Kimlikler'i kullanması gerekir. Tüm anahtarları İşlev kodunda bırakmak yerine Azure Key Vault'ta depolayın. Her uygulamada olduğu gibi girişte verileri doğrulayıp Bulut için Microsoft Defender ile tümleştirin. Son olarak, her zaman Azure İşlevleri için günlüğe kaydetmeyi ve izlemeyi yapılandırın. daha fazla bilgi için bkz. Azure İşlevleri için güvenlik uygulamaları.

Azure Blob Storage

Mümkün olduğunda, kullanıcı erişimini yetkilendirmek için Microsoft Entra Id ve blob depolamaya kaynak erişimi için Yönetilen Hizmet Kimlikleri'ni kullanarak blob depolamaya erişimi kısıtlayın. Bu kimlik doğrulama türleri uygulamanız için işe yaramazsa, hesap anahtarı yerine en ayrıntılı düzeyde bir Paylaşılan Erişim İmzası (SAS) belirteci kullanın. HESAP anahtarları döndürüldikten sonra SAS belirteçleri geçersiz kılındı.

Blob depolama için rol tabanlı erişim denetimi de kullandığınızdan emin olun. Güvenilen Microsoft Hizmetleri'nden gelen trafik dışında ağ trafiğine izin vermek için Azure Depolama Güvenlik Duvarlarını kullanın. Azure Depolama her zaman Bulut için Microsoft Defender ile tümleştirin ve izlemeyi yapılandırın. daha fazla bilgi için bkz. Azure Blob Depolama için güvenlik uygulamaları.

Azure Cosmos DB

Rol tabanlı erişim denetimleri Azure Cosmos DB yönetimi için etkinleştirilmelidir. Azure Cosmos DB'deki verilere erişim uygun şekilde güvenli hale getirilmelidir. Denetim düzlemi işlemleri için tanılama günlüklerini depolamak ve kaynak günlüklerini depolamak için Azure Cosmos DB'yi yapılandırabilirsiniz. Daha fazla ayrıntı için bkz. Azure Cosmos DB için güvenlik uygulamaları.

Azure Key Vault

Azure Key Vault'a yapılan isteklerin kimliği, ayrıcalıklı erişim denetimlerine ek olarak Microsoft Entra Id veya MSI kullanılarak doğrulanmalıdır. Azure İzleyici'de Key Vault eylemlerini günlüğe kaydetmeye ek olarak Key Vault'ı Bulut için Microsoft Defender ile tümleştirin. Daha fazla bilgi için bkz . Azure Key Vault için güvenlik uygulamaları.

Azure AD B2C

Hizmet reddi ve parola tabanlı saldırılar gibi tehditlere karşı koruma sağlamak için Azure AD B2C'deki yerleşik özellikleri kullanın. Güvenlik araştırmalarına izin vermek ve B2C tarafından oluşturulan tehdit yönetimi günlükleri için günlük uyarıları oluşturmak için Denetim Günlüğü'nü yapılandırın. Daha fazla bilgi için bkz . Azure AD B2C için güvenlik uygulamaları.

Azure Log Analytics

Log Analytics'in yalnızca yetkili kullanıcıların çalışma alanına gönderilen verilere erişmesine izin vermesi için rol tabanlı erişim denetimleri sağlanmalıdır. Daha fazla bilgi için bkz . Azure Log Analytics için güvenlik uygulamaları.

Azure Application Insights

Tüm kişisel veriler Uygulama Analizler gönderilmeden önce gizlenmelidir. Uygulama içgörüleri için rol tabanlı erişim denetimleri de, yalnızca yetkili kullanıcıların Uygulama Analizler'e gönderilen verileri görüntülemesine izin verecek şekilde yerleştirilmelidir. daha fazla bilgi için bkz. Azure Uygulaması Analizler için güvenlik uygulamaları.

Ayrıca bkz . Azure Notification Hub için güvenlik uygulamaları.

Maliyet iyileştirme

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.

Bu mimarinin fiyatlandırması, kullandığınız hizmetlerin katmanlarına, kapasiteye, aktarım hızına, veriler üzerinde yapılan sorgu türlerine, kullanıcı sayısına ve iş sürekliliği ve olağanüstü durum kurtarmaya göre büyük ölçüde değişkendir. Yaklaşık $2.500/mo'dan başlayıp buradan ölçeklendirilebilir.

Başlamak için Azure HesapLayıcısı Genel Tahmini'ni burada görüntüleyebilirsiniz.

İş yükünüzün ölçeğine ve kurumsal işlevsellik gereksinimlerinize bağlı olarak, Azure API Management'ın tüketim katmanını kullanmak maliyeti düşürebilir.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

Sonraki adımlar