Azure Güvenlik ve Uyumluluk Şeması - HIPAA/HITRUST Sistem Durumu Verileri ve Yapay Zeka

  • Makale

Genel Bakış

Azure Güvenlik ve Uyumluluk Şeması - HIPAA/HITRUST Sistem Durumu Verileri ve Yapay Zeka, endüstri uyumluluk gereksinimlerini karşılarken sistem durumu verileriyle çözümleri alma, depolama, analiz etme, etkileşim kurma, kimlik oluşturma ve Güvenli bir şekilde dağıtmayı gösteren bir Azure PaaS ve IaaS çözümünün anahtar teslimi dağıtımını sunar. Şema, düzenlenmiş verilerle müşterilerin bulut benimsemesini ve kullanımını hızlandırmaya yardımcı olur.

Azure Güvenlik ve Uyumluluk Şeması - HIPAA/HITRUST Health Data and AI Blueprint, güvenli, çok katmanlı bir bulut ortamında kişisel ve kişisel olmayan tıbbi kayıtları almak, depolamak, analiz etmek ve bunlarla etkileşime geçmek için güvenli, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) ve Health Information Trust Alliance (HITRUST) hazır hizmet olarak platform (PaaS) ortamı dağıtmaya yardımcı olacak araçlar ve rehberlik sağlar. uçtan uca bir çözüm olarak dağıtılır.

IaaS çözümü, şirket içi SQL tabanlı bir çözümü Azure'a geçirmeyi ve bulut tabanlı hizmetleri ve çözümleri güvenli bir şekilde yönetmek için Privileged Access Workstation (PAW) uygulamayı gösterir. IaaS SQL Server veritabanı olası deneme verilerinin bir SQL IaaS VM'sine içeri aktarıldığını ve bu VM'nin bir SQL Azure PaaS hizmetiyle etkileşime geçmek için MSI kimliği doğrulanmış erişimi kullandığını ekler. Her ikisi de ortak bir başvuru mimarisini gösterir ve Microsoft Azure'ın benimsenmesini basitleştirmek için tasarlanmıştır. Sağlanan bu mimaride, dağıtım yükünü ve maliyetini azaltmaya yönelik bulut tabanlı bir yaklaşım arayan kuruluşların ihtiyaçlarını karşılamaya yönelik bir çözüm gösterilmektedir.

Çözüm, sağlık bilgilerini elektronik olarak alışverişe yönelik dünya çapında bir standart olan Fast Healthcare Birlikte Çalışabilirlik Kaynakları (FHIR) kullanarak biçimlendirilmiş bir örnek veri kümesini kullanacak ve güvenli bir şekilde depolamıştır. Müşteriler daha sonra Azure Machine Learning Studio'yu kullanarak güçlü iş zekası araçlarından ve analizlerinden yararlanarak örnek veriler üzerinde yapılan tahminleri gözden geçirebilir. Azure Machine Learning Studio'nun kolaylaştırabileceği bir deneme türüne örnek olarak şemada bir hastanın hastanede kaldığı sürenin uzunluğunu tahmin etmek için örnek veri kümesi, betikler ve araçlar yer alır.

Bu şema, müşterilerin kendi gereksinimlerine uyum sağlamaları için modüler bir temel görevi görecek ve hem klinik hem de operasyonel kullanım örneği senaryolarını çözmek için yeni Azure Machine learning denemeleri geliştirecek. Dağıtıldığında güvenli ve uyumlu olacak şekilde tasarlanmıştır; ancak, rolleri doğru yapılandırmak ve değişiklikleri uygulamak müşteriler tarafından sorumludur. Şunlara dikkat edin:

  • Bu şema, müşterilerin Microsoft Azure'ı hiTRUST ve HIPAA ortamında kullanmasına yardımcı olmak için bir temel sağlar.

  • Şema HIPAA ve HITRUST (Common Security Framework -- CSF aracılığıyla) ile uyumlu olacak şekilde tasarlanmış olsa da, HIPAA ve HITRUST sertifikasyon gereksinimleri için bir dış denetçi tarafından onaylanana kadar uyumlu olarak kabul edilmemelidir.

  • Müşteriler, bu temel mimari kullanılarak oluşturulan tüm çözümlerin uygun güvenlik ve uyumluluk gözden geçirmelerini yürütmekle sorumludur.

Otomasyonu dağıtma

  • Çözümü dağıtmak için dağıtım kılavuzunda sağlanan yönergeleri izleyin.

  • Bu çözümün nasıl çalıştığına hızlı bir genel bakış için dağıtımını açıklayan ve gösteren bu videoyu izleyin.

  • Sık sorulan sorular SSS kılavuzunda bulunabilir.

  • Mimari diyagram. Diyagramda şema için kullanılan başvuru mimarisi ve örnek kullanım örneği senaryosu gösterilmektedir.

  • IaaS Uzantısı Bu çözüm, şirket içi SQL tabanlı bir çözümü Azure'a geçirmeyi ve bulut tabanlı hizmetleri ve çözümleri güvenli bir şekilde yönetmek için Privileged Access İş İstasyonu uygulamayı gösterir.

Çözüm bileşenleri

Temel mimari aşağıdaki bileşenlerden oluşur:

  • Tehdit modeli Çözümün bileşenlerini, aralarındaki veri akışlarını ve güven sınırlarını gösteren, Microsoft Threat Modeling Tool ile kullanmak üzere tm7 biçiminde kapsamlı bir tehdit modeli sağlanır. Model, müşterilerin Machine Learning Studio bileşenlerini veya diğer değişiklikleri geliştirirken sistem altyapısındaki olası risk noktalarını anlamasına yardımcı olabilir.

  • Müşteri uygulama matrisi Bir Microsoft Excel çalışma kitabı, ilgili HITRUST gereksinimlerini listeler ve Microsoft'un ve müşterinin her birinin karşılanmasından nasıl sorumlu olduğunu açıklar.

  • Sistem durumu incelemesi. Çözüm Coalfire systems, Inc. tarafından incelendi. Sistem Durumu Uyumluluğu (HIPAA ve HITRUST) İnceleme ve uygulama kılavuzu, bir denetçinin çözümü gözden geçirmesini ve şemayı üretime hazır bir dağıtıma dönüştürme konusunda dikkat edilmesi gerekenleri sağlar.

Mimari şema

Roller

Şema, yönetim kullanıcıları (operatörler) için iki rol, hastane yönetimi ve hasta bakımındaki kullanıcılar için de üç rol tanımlar. Bir denetçinin HIPAA ve diğer düzenlemelere uyumluluğu değerlendirmesi için altıncı rol tanımlanır. Azure Rol tabanlı Access Control (RBAC), yerleşik ve özel roller aracılığıyla çözümün her kullanıcısı için tam olarak odaklanmış erişim yönetimi sağlar. RBAC, roller ve izinler hakkında ayrıntılı bilgi için bkz. Azure rol tabanlı erişim denetimi için Azure portal ve Yerleşik roller bölümünde Role-Based Access Control kullanmaya başlama.

Site Yöneticisi

Site yöneticisi müşterinin Azure aboneliğinden sorumludur. Genel dağıtımı denetler, ancak hasta kayıtlarına erişimi yoktur.

  • Varsayılan rol atamaları: Sahip

  • Özel rol atamaları: Yok

  • Kapsam: Abonelik

Veritabanı Analisti

Veritabanı analisti, SQL Server örneğini ve veritabanını yönetir. Hasta kayıtlarına erişimleri yok.

Veri Bilimcisi

Veri bilimcisi Azure Machine Learning Studio'yu çalıştırır. Verileri içeri aktarabilir, dışarı aktarabilir, yönetebilir ve raporları çalıştırabilir. Veri bilimcisi hasta verilerine erişebilir ancak yönetici ayrıcalıklarına sahip değildir.

Baş Tıbbi Bilgi Yetkilisi (CMIO)

CMIO, bir sağlık kuruluşundaki bilişim/teknoloji ve sağlık uzmanları arasındaki ayrıma sahiptir. Görevleri genellikle kaynakların kuruluş içinde uygun şekilde ayrılarak ayrılmadığını belirlemek için analiz kullanmayı içerir.

  • Yerleşik rol atamaları: Yok

Bakım Hattı Yöneticisi

Bakım hattı yöneticisi hastaların bakımıyla doğrudan ilgilenir. Bu rol bireysel hastaların durumunun izlenmesini ve personelin hastalarının özel bakım gereksinimlerini karşılamak için uygun olmasını sağlamayı gerektirir. Bakım hattı yöneticisi hasta kayıtlarını eklemek ve güncelleştirmekle sorumludur.

  • Yerleşik rol atamaları: Yok

  • Özel rol atamaları: Hem Hasta Kabulü hem de Taburcu etme HealthcareDemo.ps1 çalıştırma ayrıcalığına sahiptir.

  • Kapsam: ResourceGroup

Denetleyici

Denetçi, çözümü uyumluluk açısından değerlendirir. Ağa doğrudan erişimleri yoktur.

  • Yerleşik rol atamaları: Okuyucu

  • Özel rol atamaları: Yok

  • Kapsam: Abonelik

Örnek Kullanım örneği

Bu şemada yer alan örnek kullanım örneği, şemanın buluttaki sistem durumu verileri üzerinde makine öğrenmesini ve analizini etkinleştirmek için nasıl kullanılabileceğini göstermektedir. Contosoclinic, Birleşik Devletler bulunan küçük bir hastanedir. Hastane ağ yöneticileri, operasyon iş yükü verimliliğini artırmak ve sağlayabilecekleri bakım kalitesini artırmak amacıyla hastanın kabul sırasındaki konaklama süresini daha iyi tahmin etmek için Azure Machine Learning Studio'yu kullanmak istiyor.

Konaklama süresini tahmin etme

Örnek kullanım örneği senaryosunda, hasta alımında alınan tıbbi ayrıntıları önceki hastalardan toplanan geçmiş verilerle karşılaştırarak yeni kabul edilen bir hastanın kalış süresini tahmin etmek için Azure Machine Learning Studio kullanılmaktadır. Şema, çözümün eğitim ve tahmine dayalı özelliklerini göstermek için büyük bir anonimleştirilmiş tıbbi kayıt kümesi içerir. Bir üretim dağıtımında müşteriler kendi kayıtlarını kullanarak kendi ortamlarının, tesislerinin ve hastalarının benzersiz ayrıntılarını yansıtan daha doğru tahminler için çözümü eğitiyorlardı.

Kullanıcılar ve roller

Site Yöneticisi -- Alex

Email: Alex_SiteAdmin

Alex'in görevi, şirket içi ağı yönetme yükünü azaltabilecek ve yönetim maliyetlerini azaltabilecek teknolojileri değerlendirmektir. Alex bir süredir Azure'ı değerlendiriyor ancak Hasta Verilerini bulutta depolamak için HiTrust uyumluluk gereksinimlerini karşılamak için ihtiyaç duyduğu hizmetleri yapılandırmakta zorlandı. Alex, HiTrust için müşteri gereksinimlerini karşılama gereksinimlerini karşılayan, uyumluluk için hazır bir sistem durumu çözümü dağıtmak için Azure Health yapay zekasını seçti.

Veri Bilimci -- Debra

Email: Debra_DataScientist

Debra, hasta bakımıyla ilgili içgörüler sağlamak için tıbbi kayıtları analiz eden modeller kullanmak ve oluşturmakla sorumludur. Debra, modellerini oluşturmak için SQL ve R istatistiksel programlama dilini kullanır.

Veritabanı Analisti -- Danny

Email: Danny_DBAnalyst

Danny, Contosoclinic için tüm hasta verilerini depolayan Microsoft SQL Server ile ilgili her şeyin ana temasıdır. Danny, kısa süre önce Azure SQL Veritabanı hakkında bilgi sahibi olan deneyimli bir SQL Server yöneticisidir.

Baş Tıbbi Bilgi Sorumlusu -- Caroline

Caroline, Bakım Hattı Yöneticisi Chris ve Veri Bilimci Debra ile birlikte çalışarak hastanın kalış süresini hangi faktörlerin etkilediğini saptar. Caroline, kaynakların hastane ağında uygun şekilde ayrıldığını belirlemek için kalış süresi (LOS) çözümünden elde edilen tahminleri kullanır. Örneğin, bu çözümde sağlanan panoyu kullanarak.

Bakım Hattı Yöneticisi -- Chris

Email: Chris_CareLineManager

Hasta kabulü yönetiminden doğrudan sorumlu olan ve Contosoclinic'te taburcu olan kişi olarak Chris, LOS çözümü tarafından oluşturulan tahminleri kullanarak hastalara bakım sağlamak için yeterli personelin tesiste kalmasını sağlar.

Denetçi -- Han

Email: Han_Auditor

Han, ISO, SOC ve HiTrust için denetim deneyimine sahip sertifikalı bir denetçidir. Han, Contosoclinc'in ağını gözden geçirmek için işe alındı. Han, şemanın ve LOS çözümünün hassas kişisel verileri depolamak, işlemek ve görüntülemek için kullanılabildiğinden emin olmak için çözümle birlikte sağlanan Müşteri Sorumluluğu Matrisi'ni gözden geçirebilir.

Tasarım yapılandırması

Bu bölümde, Şemada yerleşik olarak bulunan varsayılan yapılandırmalar ve güvenlik önlemlerinin ayrıntıları aşağıda özetlenmiştir:

  • FHIR veri kaynağı dahil olmak üzere INGEST veri ham kaynakları
  • STORE hassas bilgileri
  • SONUÇLARı ANALIZ ETME ve tahmin etme
  • Sonuçlar ve tahminlerle ETKILEŞIM kurma
  • Çözümün KIMLIK yönetimi
  • GÜVENLİk özellikli özellikler

KİMLİK

Azure Active Directory ve rol tabanlı erişim denetimi (RBAC)

Kimlik doğrulama:

  • Azure Active Directory (Azure AD), Microsoft'un çok kiracılı bulut tabanlı dizin ve kimlik yönetimi hizmetidir. Çözüme yönelik tüm kullanıcılar, SQL Veritabanı erişen kullanıcılar da dahil olmak üzere Azure Active Directory'de oluşturulmuştur.

  • Uygulamada kimlik doğrulaması Azure AD kullanılarak gerçekleştirilir. Daha fazla bilgi için bkz. Uygulamaları Azure Active Directory ile tümleştirme.

  • Azure Active Directory Kimlik Koruması kuruluşunuzun kimliklerini etkileyen olası güvenlik açıklarını algılar, kuruluşunuzun kimlikleriyle ilgili olarak algılanan şüpheli eylemlere otomatik yanıtlar yapılandırır ve şüpheli olayları araştırır ve bunları çözmek için uygun eylemleri gerçekleştirir.

  • Azure Rol tabanlı Access Control (RBAC), Azure için tam olarak odaklanmış erişim yönetimi sağlar. Abonelik erişimi abonelik yöneticisiyle sınırlıdır ve Azure Key Vault erişimi site yöneticisiyle sınırlıdır. Güçlü parolalar (en az bir Büyük/Küçük harf, sayı ve özel karakter içeren en az 12 karakter) gereklidir.

  • Dağıtım sırasında -enableMFA anahtarı etkinleştirildiğinde çok faktörlü kimlik doğrulaması desteklenir.

  • Dağıtım sırasında -enableADDomainPasswordPolicy anahtarı etkinleştirildiğinde parolaların süresi 60 gün sonra dolar.

Rolleri:

  • Çözüm, kaynaklara erişimi yönetmek için yerleşik rolleri kullanır.

  • Tüm kullanıcılara varsayılan olarak belirli yerleşik roller atanır.

Azure Key Vault

  • Key Vault depolanan veriler şunları içerir:

    • Uygulama içgörü anahtarı
    • Patient Data Storage Access anahtarı
    • Hasta bağlantı dizesi
    • Hasta veri tablosu adı
    • Azure ML Web Hizmeti Uç Noktası
    • Azure ML Hizmeti API Anahtarı

  • Gelişmiş erişim ilkeleri ihtiyaç temelinde yapılandırılır

  • Key Vault erişim ilkeleri anahtarlar ve gizli diziler için gereken en düşük izinlerle tanımlanır

  • Key Vault'daki tüm anahtarların ve gizli dizilerin son kullanma tarihleri vardır

  • Key Vault içindeki tüm anahtarlar HSM tarafından korunur [Anahtar Türü = HSM Korumalı 2048 bit RSA Anahtarı]

  • Rol Tabanlı Access Control (RBAC) kullanılarak tüm kullanıcılara/kimliklere gereken en düşük izinler verilir

  • Uygulamalar birbirlerine güvenmedikleri ve çalışma zamanında aynı gizli dizilere erişmeleri gerekmediği sürece bir Key Vault paylaşmaz

  • Key Vault için tanılama günlükleri en az 365 günlük saklama süresiyle etkinleştirilir.

  • Anahtarlar için izin verilen şifreleme işlemleri gerekli olanlarla sınırlıdır

YUTMAYIN

Azure İşlevleri

Çözüm, analiz tanıtımında kullanılan kalış verilerinin örnek uzunluğunu işlemek için Azure İşlevleri kullanacak şekilde tasarlanmıştır. İşlevlerde üç özellik oluşturuldu.

1. Müşteri verilerini toplu içeri aktarma phi verileri

Tanıtım betiğini kullanırken. .\HealthcareDemo.ps1 BulkPatientAdmission anahtarıyla birlikte Dağıtım ve çalıştırma demosunda açıklandığı gibi aşağıdaki işlem hattı yürütülür:

  1. Azure Blob Depolama - Hasta verileri .csv dosya örneği depolamaya yüklendi
  2. Event Grid - Olay Verileri Azure İşlevine yayımlar (Toplu içeri aktarma - blob olayı)
  3. Azure İşlevi - güvenli işlevi kullanarak işlemeyi gerçekleştirir ve verileri SQL Depolama'da depolar - olay(tür; blob url'si)
  4. SQL DB - Sınıflandırma için etiketler kullanan Hasta Verileri için veritabanı deposu ve eğitim denemesini yapmak için ML işlemi başlatılır.

Ayrıca azure işlevi, aşağıdaki etiketler kullanılarak örnek veri kümesindeki belirlenmiş hassas verileri okumak ve korumak için tasarlanmıştır:

  • dataProfile => "ePHI"
  • owner =><Site Yönetici UPN>
  • environment => "Pilot"
  • department => "Global Ekosistem" Etiketleme, hastanın "adları"nın düz metin olarak tanımlandığı örnek veri kümesine uygulandı.

2. Yeni hastaların kabulü

Tanıtım betiğini kullanırken. .\HealthcareDemo.ps1 , BulkPatientadmission anahtarıyla demoyu dağıtma ve çalıştırma bölümünde açıklandığı gibi aşağıdaki işlem hattını yürütür: 1. Azure İşlevi tetiklenir ve Azure Active Directory'den taşıyıcı belirteç için işlev istekleri.

2. Key Vault istenen belirteçle ilişkili bir gizli dizi için istendi.

3. Azure Rolleri isteği doğrular ve Key Vault erişim isteğini yetkiler.

4. Key Vault gizli diziyi ( bu örnekte SQL DB Bağlantı dizesi) döndürür.

5. Azure İşlevi, SQL Veritabanı güvenli bir şekilde bağlanmak için bağlantı dizesini kullanır ve ePHI verilerini depolamak için daha fazla işlemeye devam eder.

Verilerin depolanmasını sağlamak için Hızlı Sağlık Hizmeti Birlikte Çalışabilirlik Kaynakları'nın (FHIR, ateş olarak okunur) ardından ortak bir API şeması uygulandı. işlevine aşağıdaki FHIR değişim öğeleri sağlanmıştır:

  • Hasta şeması , bir hastayla ilgili "kim" bilgilerini kapsar.

  • Gözlem şeması tanıyı desteklemek, ilerlemeyi izlemek, taban çizgilerini ve desenleri belirlemek ve hatta demografik özellikleri yakalamak için kullanılan sağlık sektöründeki merkezi öğeyi kapsar.

  • Karşılaşma şeması , ambulatory, acil durum, ev sağlığı, hasta ve sanal karşılaşmalar gibi karşılaşma türlerini kapsar.

  • Koşul şeması , endişe düzeyine yükselmiş bir durum, sorun, tanı veya başka bir olay, durum, sorun veya klinik kavram hakkında ayrıntılı bilgileri kapsar.

Event Grid

Çözüm, tüm olayların herhangi bir kaynaktan herhangi bir hedefe yönlendirilmesi için tek bir hizmet olan Azure Event Grid destekler ve şunları sağlar:

MAĞAZASI

SQL Veritabanı ve Sunucu

Depolama hesapları

  • Hareket halindeki veriler yalnızca TLS/SSL kullanılarak aktarılır.

  • Kapsayıcılar için anonim erişime izin verilmez.

  • Uyarı kuralları anonim etkinliği izlemek için yapılandırılır.

  • Depolama hesabı kaynaklarına erişmek için HTTPS gereklidir.

  • Kimlik doğrulama isteği verileri günlüğe kaydedilir ve izlenir.

  • Blob depolamadaki veriler bekleme sırasında şifrelenir.

ANALİZ

Machine Learning

  • Günlüğe kaydetme, Machine Learning Studio web hizmetleri için etkinleştirilir.
  • Machine Learning Studio'nun kullanılması, bir çözüm kümesine tahminde bulunabilme olanağı sağlayan denemelerin geliştirilmesini gerektirir.

GÜVENLİK

Azure Güvenlik Merkezi

  • Azure Güvenlik Merkezi, tüm Azure kaynaklarınızın güvenlik durumunun merkezi bir görünümünü sağlar. Bir bakışta uygun güvenlik denetimlerinin yerinde olduğunu ve doğru yapılandırıldığını doğrulayabilir ve dikkat gerektiren tüm kaynakları hızla belirleyebilirsiniz.

  • Azure Danışmanı, Azure dağıtımlarınızı iyileştirmek için en iyi yöntemleri izlemenize yardımcı olan kişiselleştirilmiş bir bulut danışmanıdır. Danışman, kaynak yapılandırmanızı ve kullanım telemetrinizi analiz ederek Azure kaynaklarınızın maliyet verimliliğini, performansını, yüksek kullanılabilirliğini ve güvenliğini geliştirmenize yardımcı olabilecek çözümler önerir.

Application Insights

  • Application Insights , birden çok platformdaki web geliştiricileri için genişletilebilir bir Uygulama Performansı Yönetimi (APM) hizmetidir. Canlı web uygulamanızı izlemek için kullanabilirsiniz. Performans anomalilerini algılar. Sorunları tanılamanıza ve kullanıcıların uygulamanızla aslında neler yaptığını anlamanıza yardımcı olan güçlü analiz araçları içerir. Performansı ve kullanılabilirliği sürekli geliştirmenize yardımcı olmak amacıyla tasarlanmıştır.

Azure Uyarıları

  • Uyarılar, Azure hizmetlerini izleme yöntemi sunar ve veriler üzerinde koşulları yapılandırmanıza olanak sağlar. Uyarılar ayrıca bir uyarı koşulu izleme verileriyle eşleştiğinde de bildirim sağlar.

Azure İzleyici günlükleri

Azure İzleyici günlükleri bir yönetim hizmetleri koleksiyonudur.