此資料聯盟解決方案使用 Azure 元件。 它滿足以下目標:
- 為多個組織提供共用資料的方式。
- 集中資料編排工作。
- 確保資料安全。
- 保證患者隱私。
- 支援資料互通。
- 提供客製化選項以滿足特定組織的要求。
架構
下載此架構的 Visio 檔案。
資料流程
原始資料源自本地和第三方來源。 該聯盟的成員將此資料載入到 Azure Data Share 中的任何儲存服務:
該聯盟要求成員共用資料。 作為資料生產者,成員可以共用快照或使用就地共用。
聯盟作為資料取用者,接收共用成員資料。 這些資料進入聯盟 Data Share 中的資料湖儲存體以進行進一步轉換。
Azure Data Factory 和 Azure Databricks 清理成員資料並將其轉換為通用格式。
該聯盟將成員資料組合起來並將其儲存在服務中。 資料的結構和數量決定了最適合的儲存服務類型。 可能性包括:
- Azure Synapse Analytics
- Azure SQL Database
- Azure Data Lake 儲存體
- Azure 資料總管
作為資料共用生產者,該聯盟邀請成員接收資料。 成員可以接受快照資料或就地共用資料。
作為資料取用者,成員接收共用資料。 資料進入會員資料儲存以進行研究和分析。
整個系統:
- Microsoft Entra ID、Azure Key Vault 和適用於雲端的 Microsoft Defender 管理存取權並提供安全性。
- Azure Pipelines 是 Azure DevOps 的一項服務,用於建置、測試和發佈程式碼。
元件
此解決方案使用以下組件:
醫療保健平台
電子健康記錄 (EHR) 是患者即時資訊的數位版本。
快速醫療保健互通性資源 (FHIR) 是 Health Level Seven International (HL7) 發佈的醫療保健資料交換標準。
醫療物聯網 (IoMT) 是透過線上電腦網路連接到 IT 系統的醫療裝置和應用程式的集合。
基因組資料提供有關基因如何彼此相互作用以及與環境相互作用的資訊。
影像資料包括放射學、心臟病學成像、放射治療和其他裝置產生的影像。
客戶關係管理 (CRM)、計費和第三方系統提供病患資料。
Azure 元件
Azure Data Share 為多個組織提供了一種安全共用資料的方法。 透過這項服務,資料提供者可以控制他們共用的資料。 管理和監控誰在何時共用哪些資料非常簡單。 Data Share 還可以透過組合來自不同成員的資料來輕鬆豐富分析和人工智慧情境。
Azure Synapse Analytics 是一項針對資料倉儲和巨量資料系統的分析服務。 借助此產品,您可以使用無伺服器、按需資源或預先設定資源來查詢資料。 Azure Synapse Analytics 可以很好地處理大量結構化資料。
Azure SQL 資料庫是完全託管的平台即服務 (PaaS) 資料庫引擎。 憑藉著人工智慧驅動的自動化功能,SQL 資料庫可以處理升級、修補、備份和監控等資料庫管理功能。 該服務非常適合結構化資料。
Data Lake 儲存體是一個可大規模擴展且安全的資料湖,適用於高效能分析工作負載。 此服務可以管理數 PB 的資訊,同時維持數百 GB 的輸送量。 資料湖儲存提供了一種在一個位置儲存來自多個成員的結構化和非結構化資料的方法。
Azure 資料總管是一種快速、完全託管的資料分析服務。 您可以使用此服務對大量資料進行即時分析。 Azure 資料總管可以處理來自應用程式、網站、IoT 裝置和其他來源的各種資料流。 Azure 資料總管非常適合就地共用串流遙測和記錄資料。
Azure Data Factory 是一種混合式資料整合服務。 您可以使用這種完全託管的無伺服器解決方案來實現資料整合和轉換工作流程。 Data Factory 提供無程式碼的 UI 和易於使用的監控面板。 在此解決方案中,Data Factory 透過管道從不同的成員資料共用中提取資料。
Azure Databricks 是資料分析平台。 Azure Databricks 基於最新的 Apache Spark 分散式處理系統,支援與開放原始碼程式庫的無縫整合。 此解決方案使用 Azure Databricks 筆記本將所有成員資料轉換為通用格式。
Microsoft Entra ID 是一種多租用戶、基於雲端的身分和存取管理服務。
Azure Key Vault 安全地儲存和控制對 API 金鑰、密碼、憑證和加密金鑰等機密的存取。 此雲端服務還管理安全性證書。
Azure Pipelines 會自動建置和測試程式碼專案。 此 Azure DevOps 服務結合了持續整合和持續交付 (CI/CD)。 使用這些實踐,Azure Pipelines 不斷地、一致地測試和建立程式碼並將其傳送到任何目標。
適用於雲端的 Defender 跨混合雲工作負載提供統一的安全管理和進階威脅防護。
替代項目
透過 Data Share,存在許多資料儲存替代方案。 您選擇的服務取決於您的共用方式以及資料量和類型:
對於批次資料的快照共用,請使用下列任一服務:
- Azure Synapse Analytics
- SQL Database
- Data Lake Storage
- Azure Blob 儲存體
若要就地共用串流遙測和記錄資料,請使用 Azure 資料總管。 有關分析各種來源的資料的詳細資訊,請參閱[Azure 資料總管互動式分析][Azure 資料總管互動式分析]。
有些資料集很大或是非關係型的。 有些不包含標準化格式的資料。 對於這些類型的資料集,Blob 儲存體或 Azure Data Lake Storage 比 Azure Synapse Analytics 和 SQL 資料庫更適合與 Data Share 交換資料。 有關有效存儲醫療資料的更多資訊,請參閱醫療資料存儲解決方案。
如果無法選擇 Data Share,請考慮使用虛擬私人網路 (VPN)。 您可以使用網站到網站 VPN 在成員和聯盟資料儲存之間傳輸資料。
案例詳細資料
傳統的臨床試驗可能很複雜、耗時且成本高昂。 為了解決這些問題,越來越多的醫療機構正在合作建立資料聯盟來進行臨床試驗。
資料聯盟在許多方面使醫療保健受益:
- 提供研究資料。
- 提供新的收入來源。
- 透過提供對資料的快速存取,做出具有成本效益的監管決策。
- 透過加速創新,讓患者更安全、更健康。
潛在使用案例
許多類型的醫療保健專業人員可以從該解決方案中受益:
- 使用真實世界的觀察資料 (例如患者結果) 來確定治療方法的組織。
- 專門從事個人化或精準醫療的醫生。
- 需要輕鬆存取患者資料的遠距醫療提供者。
- 處理基因組資料的研究人員。
考量
這些考量能實作 Azure Well-Architected Framework 的支柱,其為一組指導原則,可以用來改善工作負載的品質。 如需更多資訊,請參閱 Microsoft Azure 結構完善的架構。
此解決方案中的技術可滿足大多數公司對安全性、可擴展性和可用性的要求。
安全性
安全性可提供保證,以避免刻意攻擊和濫用您寶貴的資料和系統。 如需詳細資訊,請參閱安全性支柱的概觀。
由於醫療資訊的敏感性,有幾個組件在保護資料方面發揮作用:
Data Share 中的安全功能可透過以下方式保護資料:
- 靜態加密資料,其中底層資料儲存支援靜態加密。
- 使用傳輸層安全性 (TLS) 1.2 加密傳輸中的資料。
- 加密有關靜態和傳輸中資料共用的中繼資料。
- 不儲存共用客戶資料的內容。
Azure Synapse Analytics 提供全面的安全性模型。 您可以使用其細粒度的控制來保護從單一單元到整個資料庫的各個層級的資料。
SQL 資料庫使用分層方法來保護客戶資料。 該戰略涵蓋以下領域:
- 網路安全性
- 存取管理
- 威脅保護
- 資訊保護
資料湖儲存提供存取控制。 此模型支援以下類型的控制項:
- Azure 角色型存取控制 (RBAC)
- 可移植作業系統介面 (POSIX) 存取控制清單 (ACL)
-
- 對 Azure 資源使用 Microsoft Entra ID 託管識別碼。
- 使用 RBAC 來分離職責並限制存取。
- 阻止源自 Azure 資料總管外部網段的流量。
- 使用 Azure 磁碟加密保護資料並協助您履行承諾。 該服務為虛擬機器資料磁碟和作業系統提供磁碟區加密。 Azure 磁碟加密也與 Key Vault 整合,後者使用 Microsoft 管理的金鑰或客戶自控金鑰對機密進行加密。
可用性
此解決方案採用單區域部署。 某些情境需要多區域部署以實現高可用性、災害復原或鄰近性。 對於這些情況,以下服務提供配對的 Azure 區域以實現高可用性:
SQL 資料庫的高可用性架構提供了 99.99% 的正常運作時間保證。
成本最佳化
成本最佳化是關於考慮如何減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱成本最佳化支柱的概觀。
該解決方案的定價取決於幾個因素:
- 您選擇的服務
- 您的系統的容量和傳輸量
- 您對資料使用的轉換
- 您的業務連續性水平
- 您的災害復原層級
如需詳細資訊,請參閱定價詳細資料。
參與者
本文由 Microsoft 維護。 原始投稿人如下。
主要作者:
- Matt Hansen | 資深雲端解決方案架構設計師
- Aruna Ranganathan | 主要客戶工程經理
若要查看非公開的 LinkedIn 設定檔,請登入 LinkedIn。
下一步
透過澄清以下幾點來確定如何客製化解決方案:
- 可用的資料來源
- 每個資料來源的位置
- 哪些 Azure 服務成員可以使用來接收來源資料
- 哪些資料成員可以與聯盟共用
- 成員如何共用資料:以快照或資料流的形式批次共用並就地共用
- 聯盟可以使用哪些 Azure 服務來接收共用資料
- 會員資料的格式以及是否需要清理或轉換
- 聯盟可以與成員分享哪些資料
產品文件:
- 什麼是 Microsoft Cloud for Healthcare?
- 什麼是 Azure Data Share?
- 什麼是 Azure Synapse Analytics?
- 什麼是 Azure SQL 資料庫?
- Azure Data Lake Storage 簡介
- 什麼是 Azure 資料總管?
- 什麼是 Azure Data Factory
- 什麼是資料塊?
- 什麼是 Microsoft Entra 識別碼?
- 關於 Azure Key Vault
- 什麼是 Azure Pipelines?