Azure'da tüketici durumu portalı

Bu makalede, Azure'da sağlık hizmeti sağlayıcılarıyla hastalar arasındaki iletişimi kolaylaştırabilen bir tüketici sağlığı dijital portalının örnek mimarisi açıklanmaktadır. Buna ek olarak, bu platform tıbbi kayıtları, tıbbi görüntüleri depolayabilir, hastanın sağlık verilerini izlemesine ve daha fazlasını yapabilir.

Mimari

Bu mimarinin bir Visio dosyasını indirin.

İş Akışı

• Bu çözüm, gelen verilerin kimliğini doğrulamak için Azure Front Door'un genel ayak izini ve Azure Web Uygulaması Güvenlik Duvarı (WAF) uç güvenlik özelliklerini kullanır.
• Daha sonra kimliği doğrulanmış veriler Azure API Management (APIM) tarafından Azure Uygulaması Hizmeti'ndeki kullanıcılar için ön uç arabirimine veya Azure İşlevleri'de barındırılan API'lere yönlendirilir.

Bu mimaride kullanılan birincil arka uç veri hizmeti Azure Cosmos DB'dir. Azure Cosmos DB'nin ölçeklenebilirlik ve güvenliğine ek olarak çok modelli özellikleri, her tür tüketici durumu portalı için esneklik sağlar. Kayıt biçiminde olmayan tüm veriler nesne olarak Azure Blob Depolama depolanır. Bu veriler tıbbi görüntüleri, tüketici tarafından çekilen fotoğrafları, karşıya yüklenen belgeleri, arşivlenmiş verileri vb. içerebilir. Blob depolama, büyük hacimli yapılandırılmamış veriler için uygun fiyatlı bir depolama alanı sağlar. Bu tür veriler Azure Cosmos DB'de depolama için iyileştirilmemiştir ve maliyetini ve performansını olumsuz etkileyebilir.

Bileşenler

• Azure HIPAA HITRUST 9.2 şeması, Azure İlkesi kullanan bir Azure şemasıdır. HIPAA HITRUST 9.2 denetimlerini değerlendirmeye ve Azure iş yükleri için temel bir ilke kümesi dağıtmaya yardımcı olur. Bu, HIPAA HITRUST için tam uyumluluk kapsamı sunmasa da, uygun ve gerekli olduğunda daha fazla denetim başlatmak ve eklemek için harika bir yerdir. İlke girişimleriyle uyumluluk, bu şemada ve Bulut için Microsoft Defender arabiriminde de görselleştirilebilir.

• Azure Front Door , uç trafiğin ölçeğinde yönetmek ve dünyanın dört bir yanındaki uç noktaları sunarak son kullanıcıların performansını artırmak için kullanılır. Bu teknoloji, herhangi bir lisans gerektirmeyen buluta özeldir; yalnızca kullandığınız kadar ödersiniz. Bu iş yükü senaryosunda Azure Front Door, tüketici durumu portalına gelen tüm trafik için giriş noktası görevi görür.

• Azure Web Uygulaması Güvenlik Duvarı uygulamaları OWASP güvenlik açıkları, SQL eklemeleri, siteler arası betik oluşturma ve diğerleri gibi yaygın web tabanlı saldırılardan korur. Bu teknoloji, herhangi bir lisans gerektirmeyen ve kullandıkça öde özelliğine sahip buluta özeldir.

• Azure API Management , API'lerin yayımlanması, yönlendirilmesi, güvenliğinin sağlanması, günlüğe kaydedilmesi ve analizinde yardımcı olur. API'nin yalnızca son kullanıcı tarafından kullanılıp kullanılmadığı veya dış birlikte çalışabilirlik için üçüncü bir tarafla tümleştirildiği durumlarda API yönetimi, API'lerin genişletilip sunulma şekli konusunda esneklik sağlar.

• Azure Uygulaması Hizmeti, HTTP tabanlı web hizmetlerini barındırmak için kullanılan bir hizmettir. Çok çeşitli dilleri destekler, Linux veya Windows üzerinde çalışabilir, CI/CD işlem hatlarıyla tamamen tümleşir ve hatta kapsayıcı iş yüklerini PaaS teklifi olarak çalıştırabilir. App Service, Azure'da kimlik, güvenlik ve günlük hizmetleriyle yerel tümleştirmeye ek olarak hem ölçeği artırmaya hem de ölçeği genişletmeye olanak tanır. Uyumluluğu korurken tüketici durumu portalının ölçeklendirme gereksinimlerini karşılayabildi. Bu mimaride ön uç web portalını barındırıyor.

• Azure İşlev Uygulamaları, Azure'da geliştiricilerin temel alınan sistemleri korumak zorunda kalmadan isteğe bağlı işlem kodu yazmasına olanak tanıyan sunucusuz bir platform çözümüdür. Bu mimaride Azure İşlevleri API'leri ve belirli bir süre boyunca düzenli işleri çalıştırma ve bilgi işlem istatistikleri gibi zaman uyumsuz olarak yapılması gereken tüm işleri barındırabilir.

• Azure Cosmos DB , tek basamaklı yanıt süreleri sunan ve her ölçekte performansı garanti eden, tam olarak yönetilen, çok modelli bir NoSQL veritabanı teklifidir. Tüketici durumu sistemindeki her kullanıcının yalnızca kendileriyle ilgili verileri olur ve bu da NoSQL veri yapısının kullanılmasını haklı gösterir. Azure Cosmos DB neredeyse sınırsız ölçeklendirmenin yanı sıra çok bölgeli okuma ve yazma işlemlerine sahiptir. Azure Cosmos DB, bu tür tüketici sağlığı sistemleri tarafından toplanan veri miktarının büyük ölçüde artmasıyla birlikte, 100 veya 1.000.000 etkin kullanıcı olmasına bakılmaksızın uygun güvenlik, hız ve ölçek sağlayabilir.

• Azure Key Vault gizli dizileri, anahtarları ve sertifikaları güvenli bir şekilde depolamak ve bunlara erişmek için kullanılan bir Azure yerel hizmetidir. Key Vault, HSM destekli güvenlik ve Microsoft Entra tümleşik rol tabanlı erişim denetimleri aracılığıyla denetimli erişim sağlar. Uygulamalar hiçbir zaman anahtarları veya gizli dizileri yerel olarak depolamamalıdır. Bu mimariDE API Anahtarları, parolalar, şifreleme anahtarları ve sertifikalar gibi tüm gizli dizileri depolamak için Azure Key Vault kullanılır.

• Azure Active Directory B2C , maliyeti etkin kullanıcı sayınızla birlikte ölçeklendirilen büyük ölçekte hizmet olarak işletmeden tüketiciye kimlik sağlar. Bu çözüm gibi tüketiciye yönelik uygulamalarda, kullanıcılar yeni bir hesap oluşturmak yerine kendi kimliklerini getirmek isteyebilir. Sosyal kimlikten, e-posta hesabına veya herhangi bir SAML sağlayıcısı kimlik hizmetine kadar her şey olabilir. Bu yöntem, kullanıcı için daha kolay bir ekleme deneyimi sağlar. Çözüm sağlayıcısının yalnızca kullanıcı kimliklerine başvurması ve bunları barındırması ve koruması gerekmez.

• Azure İzleyici Günlükleri aracı Azure Log Analytics, tanılama veya günlüğe kaydetme bilgileri için ve bu verileri sıralamak, filtrelemek veya görselleştirmek üzere sorgulamak için kullanılabilir. Bu hizmet tüketime göre fiyatlanır ve bu çözümdeki tüm hizmetlerden tanılama ve kullanım günlüklerini barındırmak için idealdir.

• Azure İzleyici'nin bir diğer özelliği olan Azure Uygulaması Lication Insights, Azure'daki yerel Uygulama Performansı Yönetimi (APM) hizmetidir. Uygulamaların canlı izlenmesini sağlamak için ön uç App Service'e ve tüm Azure İşlevleri koduna kolayca tümleştirilebilir. Application Insights, yalnızca bunları barındıran işlem platformundan değil, doğrudan uygulamalardan oluşturulan performans, kullanılabilirlik anomalileri ve hataları kolayca algılayabilir.

• Azure İletişim Hizmetleri, iletişimi uygulamalarınızla tümleştirmenize yardımcı olmak için kullanılabilen REST API'leri ve istemci kitaplığı SDK'ları ile bulut tabanlı hizmetlerdir. Medya kodlama veya telefon gibi temel teknolojilerde uzman olmadan uygulamalarınıza iletişim ekleyebilirsiniz. Bu çözümde, randevu onayları veya anımsatıcılar gibi tüketici durumu portalıyla ilgili tüm e-postaları, kısa mesajları veya otomatik telefon çağrılarını göndermek için kullanılabilir.

• Azure Notification Hub , herhangi bir mobil platforma bildirim gönderme olanağı sağlayan basit ve ölçeklenebilir bir anında iletme bildirimi altyapısıdır. Mobil uygulama kullanan bir tüketici durumu portalı, uygulamayı cep telefonlarına yükleyen kullanıcılara anında iletme bildirimleri göndermenin uygun maliyetli bir yolu için Azure Notification Hub ile tümleştirilebilir. Bu mimaride, kullanıcılara randevularını anımsatmak, bağlantısı kesilmiş cihazların bilgilerini girmek, belirli sağlık hedeflerine ulaşmak vb. için bildirimler gönderilebilir.

• Bulut için Microsoft Defender) bu buluta özel çözümün tamamı için güvenlik izleme ve duruş yönetiminin temelini oluşturur. Bulut için Microsoft Defender, Azure platformundaki neredeyse tüm önemli hizmetlerle tümleştirilir. Özellikleri arasında güvenlik uyarıları, anomali algılama, en iyi uygulama önerileri, mevzuat uyumluluğu puanları ve tehdit algılama yer alır. HIPAA/HITRUST uyumluluk izlemesine ve genel Azure Güvenliği en iyi uygulama izlemesine ek olarak, bu çözüm aşağıdaki özellik kümelerini kullanır:

  • App Service için Microsoft Defender
  • Depolama için Microsoft Defender
  • Key Vault için Microsoft Defender
  • Resource Manager için Microsoft Defender
  • Azure Cosmos DB için Microsoft Defender

Alternatifler

• Azure Sağlık Veri Hizmetleri'nin bir parçası olarak Azure FHIR Hizmeti, HL7 veya FHIR iletişim standartları kullanılarak tıbbi kayıtların birlikte çalışabilirliği için kullanılabilir. Uygulamanızın diğer sistemlerden tıbbi kayıtları alması veya iletmesi gerekiyorsa bu hizmet kullanılmalıdır. Örneğin, bu çözüm tıbbi sağlayıcılar için bir portalsa, FHIR için Azure API doğrudan sağlayıcının elektronik tıbbi kayıt sistemiyle tümleştirilebilir.

• Azure IoT Hub , cihaz verilerini almak için hassas bir şekilde ayarlanmış bir hizmettir. Portal, giyilebilir bir cihazdan veya başka bir tıbbi cihazdan veri toplayan bir çözümün ön ucuysa, bu verileri almak için IoT Hub kullanılmalıdır. Daha fazla bilgi için Uzaktan Hasta İzleme Çözümleri mimarisinin INGEST işlemini okuyun.

• Microsoft 365 E-posta , e-posta ve iletişim için kullanılan sektör lideri bir hizmettir. Birçok kuruluş bu hizmete zaten yatırım yaptı ve daha tam özellikli Azure İletişim Hizmetleri alternatif olarak kullanılabilir. Bu çözümde, tüketici durumu portalıyla ilgili randevu onayı veya anımsatıcı e-postaları gibi tüm e-postaları göndermek için kullanılabilir.

Senaryo ayrıntıları

Sağlık ve yaşam bilimleri sektörü genelinde kuruluşlar dijital bir sağlık stratejisi benimsemektedir. Temel yapılardan biri ve dijital sistem durumu çözümünün gerekli bileşenlerinden biri tüketici sağlığı portalıdır. Tüketici sağlığı portalı giyilebilir bir cihazdan ilerlemeyi ve istatistikleri izlemek, bir tıbbi sağlayıcıyla etkileşim kurmak ve hatta sağlıklı beslenme alışkanlıklarını izlemek için kullanılabilir.

Olası kullanım örnekleri

• Giyilebilir bir cihazın istatistiklerini izleyin.
• Tıbbi kayıtlara erişim elde edin ve bir tıbbi sağlayıcıyla etkileşime geçin.
• Verileri doldurmak veya ilaçların kendi kendine izlenmesi için kullanılabilecek ilaçların zamanlarını ve dozlarını girin.
• Kilo kaybı veya diyabet için sağlıklı bir beslenme koçu ile etkileşime geçin.

Dikkat edilmesi gereken noktalar

Bu önemli noktalar, bir iş yükünün kalitesini artırmak için kullanılabilecek bir dizi yol gösteren ilke olan Azure İyi Tasarlanmış Çerçeve'nin yapı taşlarını uygular. Daha fazla bilgi için bkz . Microsoft Azure İyi Tasarlanmış Çerçeve.

Kullanılabilirlik

Bu çözüm şu anda tek bölgeli dağıtım olarak tasarlanmıştır. Senaryonuz yüksek kullanılabilirlik, olağanüstü durum kurtarma ve hatta yakınlık için çok bölgeli dağıtım gerektiriyorsa, aşağıdaki yapılandırmalara sahip eşleştirilmiş bir Azure Bölgesi gerekebilir.

• Azure Cosmos DB, çok bölgeli yapılandırmayı etkinleştirmek için genişletilmiştir.

• Azure API Management, CI/CD kullanılarak ikincil bir bölgeye dağıtılır. API Management'ın Çok Bölgeli Dağıtım özelliğini de uygulayabilirsiniz.

• Azure Uygulaması Hizmeti ve İşlevleri birden çok bölgeye ayrı olarak dağıtılır. Bu dağıtım, paralel bir dağıtım oluşturarak CI/CD işlem hattınızda gerçekleştirilebilir. Daha fazla rehberlik için Yüksek oranda kullanılabilir çok bölgeli web uygulamasını okuyun.

• RTO gereksinimine (kurtarma süresi hedefi) bağlı olarak, Azure Blob Depolama coğrafi olarak yedekli depolama (GRS) olarak yapılandırılabilir veya doğrudan alternatif bölgeden okunmasına izin veren okuma erişimli coğrafi olarak yedekli depolama (RA-GRS) olabilir. Daha fazla bilgi edinmek için Azure Depolama yedekliliği makalesine bakın.

• Azure Key Vault hizmetinde birden çok kullanılabilirlik ve yedeklilik katmanı yerleşik olarak bulunur.

Güvenlik

Güvenlik, kasıtlı saldırılara ve değerli verilerinizin ve sistemlerinizin kötüye kullanılmasına karşı güvence sağlar. Daha fazla bilgi için bkz . Güvenlik sütununa genel bakış.

Aşağıdaki bölümlerde, bu çözümde kullanılan hizmetlerin her biri için en iyi güvenlik yöntemleri açıklanmaktadır.

Azure Front Door

Birçok farklı yaygın saldırıyı azaltmak için Azure Front Door'un Web Uygulaması Güvenlik Duvarı (WAF) kullanılmalıdır. İyi bir temel, Open Web Application Security Project (OWASP) çekirdek kural kümelerinin (CRS) en son sürümünü kullanarak başlamak ve sonra gerektiğinde özel ilkeler eklemektir. Azure Front Door büyük miktarda trafiği emecek şekilde tasarlanmış olsa da, mümkün olduğunda arka uç sistemlerine trafik yükünü azaltmak için bu hizmetle birlikte sağlanan önbelleğe alma mekanizmalarını kullanmayı göz önünde bulundurun. Sorun giderme ve olası güvenlik araştırmalarını desteklemek için günlüğe kaydetme hem Azure Front Door hem de Web Uygulaması Güvenlik Duvarı için yapılandırılmalıdır. Daha fazla bilgi için bkz . Azure Front Door için güvenlik uygulamaları.

Azure API Management

AZURE AD B2C APIM kimlik doğrulaması kullanılarak veya belirteçle tanımlanan oturumlarla APIM'ye giden tüm trafiğin kimliği doğrulanmalıdır. Kaynak günlüklerini depolamak için Azure API Management'ı yapılandırın. Daha fazla bilgi için bkz . Azure API Management için güvenlik uygulamaları.

Azure App Service

App service de dahil olmak üzere bu mimariye yönelik tüm trafik TLS ile uçtan uca güvenli hale getirilmelidir. App Service, saldırı yüzeyini sıkmak için güvenli olmayan protokolleri reddetmelidir. Ayrıca, APIM'nin kendi istemci kimlik doğrulamasına ve yetkilendirmesine karşı doğrulamasını sağlamak için istemcinin kimlik doğrulamasını App Service'e geri geçirmesi gerekir. App Service'te kullanılan tüm gizli diziler, mümkün olduğunca yönetilen hizmet kimliği kullanılarak Key Vault'ta depolanmalıdır. App Service ayrıca tüm güvenlik tanılama çalışmalarını desteklemek için tanılama günlüklerini depolamalı ve App Service için Microsoft Defender ile tümleştirilmelidir. daha fazla bilgi için bkz. Azure Uygulaması Hizmeti için güvenlik uygulamaları

Azure İşlevleri

Bu çözümdeki Azure İşlevleri yönelik tüm isteklerin HTTPS gerektirmesi, isteklerin kimliğini doğrulamak için Azure API Management'ı kullanması ve mümkün olduğunda Yönetilen Kimlikler'i kullanması gerekir. Tüm anahtarları İşlev kodunda bırakmak yerine Azure Key Vault'ta depolayın. Her uygulamada olduğu gibi girişte verileri doğrulayıp Bulut için Microsoft Defender ile tümleştirin. Son olarak, her zaman Azure İşlevleri için günlüğe kaydetmeyi ve izlemeyi yapılandırın. daha fazla bilgi için bkz. Azure İşlevleri için güvenlik uygulamaları.

Azure Blob Storage

Mümkün olduğunda, kullanıcı erişimini yetkilendirmek için Microsoft Entra Id ve blob depolamaya kaynak erişimi için Yönetilen Hizmet Kimlikleri'ni kullanarak blob depolamaya erişimi kısıtlayın. Bu kimlik doğrulama türleri uygulamanız için işe yaramazsa, hesap anahtarı yerine en ayrıntılı düzeyde bir Paylaşılan Erişim İmzası (SAS) belirteci kullanın. HESAP anahtarları döndürüldikten sonra SAS belirteçleri geçersiz kılındı.

Blob depolama için rol tabanlı erişim denetimi de kullandığınızdan emin olun. Güvenilen Microsoft Hizmetleri'nden gelen trafik dışında ağ trafiğine izin vermek için Azure Depolama Güvenlik Duvarları'nı kullanın. Azure Depolama'yı her zaman Bulut için Microsoft Defender ile tümleştirin ve izlemeyi yapılandırın. daha fazla bilgi için bkz. Azure Blob Depolama için güvenlik uygulamaları.

Azure Cosmos DB

Rol tabanlı erişim denetimleri Azure Cosmos DB yönetimi için etkinleştirilmelidir. Azure Cosmos DB'deki verilere erişim uygun şekilde güvenli hale getirilmelidir. Denetim düzlemi işlemleri için tanılama günlüklerini depolamak ve kaynak günlüklerini depolamak için Azure Cosmos DB'yi yapılandırabilirsiniz. Daha fazla ayrıntı için bkz. Azure Cosmos DB için güvenlik uygulamaları.

Azure Key Vault

Azure Key Vault'a yapılan isteklerin kimliği, ayrıcalıklı erişim denetimlerine ek olarak Microsoft Entra Id veya MSI kullanılarak doğrulanmalıdır. Azure İzleyici'de Key Vault eylemlerini günlüğe kaydetmeye ek olarak Key Vault'ı Bulut için Microsoft Defender ile tümleştirin. Daha fazla bilgi için bkz . Azure Key Vault için güvenlik uygulamaları.

Azure AD B2C

Hizmet reddi ve parola tabanlı saldırılar gibi tehditlere karşı koruma sağlamak için Azure AD B2C'deki yerleşik özellikleri kullanın. Güvenlik araştırmalarına izin vermek ve B2C tarafından oluşturulan tehdit yönetimi günlükleri için günlük uyarıları oluşturmak için Denetim Günlüğü'nü yapılandırın. Daha fazla bilgi için bkz . Azure AD B2C için güvenlik uygulamaları.

Azure Log Analytics

Log Analytics'in yalnızca yetkili kullanıcıların çalışma alanına gönderilen verilere erişmesine izin vermesi için rol tabanlı erişim denetimleri sağlanmalıdır. Daha fazla bilgi için bkz . Azure Log Analytics için güvenlik uygulamaları.

Azure Application Insights

Tüm kişisel veriler Application Insights'a gönderilmeden önce gizlenmelidir. Uygulama içgörüleri için rol tabanlı erişim denetimleri de yalnızca yetkili kullanıcıların Application Insights'a gönderilen verileri görüntülemesine izin verecek şekilde yerleştirilmelidir. daha fazla bilgi için bkz. Azure Uygulaması lication Insights için güvenlik uygulamaları.

Ayrıca bkz . Azure Notification Hub için güvenlik uygulamaları.

Maliyet iyileştirme

Maliyet iyileştirmesi, gereksiz giderleri azaltmanın ve operasyonel verimlilikleri iyileştirmenin yollarını aramaktır. Daha fazla bilgi için bkz . Maliyet iyileştirme sütununa genel bakış.

Bu mimarinin fiyatlandırması, kullandığınız hizmetlerin katmanlarına, kapasiteye, aktarım hızına, veriler üzerinde yapılan sorgu türlerine, kullanıcı sayısına ve iş sürekliliği ve olağanüstü durum kurtarmaya göre büyük ölçüde değişkendir. Yaklaşık $2.500/mo'dan başlayıp buradan ölçeklendirilebilir.

Başlamak için Azure HesapLayıcısı Genel Tahmini'ni burada görüntüleyebilirsiniz.

İş yükünüzün ölçeğine ve kurumsal işlevsellik gereksinimlerinize bağlı olarak, Azure API Management'ın tüketim katmanını kullanmak maliyeti düşürebilir.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

• Matt Hansen | Bulut Programı Mimarı

Sonraki adımlar

• Azure FHIR Hizmeti hakkında daha fazla bilgi edinin
• Azure Health Veri Hizmetleri hakkında daha fazla bilgi edinin.
• İç API'leri harici olarak yayımlama hakkında daha fazla bilgi edinin.

İlgili kaynaklar

• Azure Health Data Services Mimari Kılavuzu
• HIPAA ve HITRUST Uyumlu Sistem Durumu Verileri Yapay Zekası
• Ölçeklenebilir bulut uygulamaları ve site güvenilirliği mühendisliği (SRE)
• Temel yüksek oranda kullanılabilir alanlar arası yedekli web uygulaması
• Temel alanlar arası yedekli web uygulaması
• Yüksek oranda kullanılabilir çok bölgeli web uygulaması