Sağlık verilerinin güvenli ve verimli bir şekilde yönetilmesi, sağlık kuruluşları için kritik öneme sahiptir. Azure Health Veri Hizmetleri , bu kuruluşların sıkı güvenlik ve uyumluluk standartlarına uyarken hassas verileri depolamak, işlemek ve analiz etmek için kullanabileceği güçlü bir platform sağlar. Ancak, başvuru mimariniz ve uygulama kılavuzunuz yoksa, Sistem Durumu Veri Hizmetleri'ni karmaşık bir kurumsal ortamda dağıtmak zor olabilir.
Bu makalede bir örnek mimari, eşlik eden bir örnek uygulama ve gelişmiş güvenlikle Health Data Services'i dağıtmaya ve diğer Azure hizmetleriyle tümleştirmeye yönelik bir şema sağlanır. Bu kılavuzda açıklanan uygulamaları takip etmek, sistem durumu verilerinizi koruma becerinizi geliştirebilir.
Mimari
Bu mimarinin bir Visio dosyasını indirin.
İş Akışı
- Azure Uygulaması lication Gateway, İstemci Kimlik Bilgileri Akışı kullanan gelişmiş güvenlikli bir TLS bağlantısı üzerinden tek tek Hızlı Sağlık Hizmeti Birlikte Çalışabilirlik Kaynakları (FHIR) iletileri (örneğin, hasta verileri) alır. Application Gateway, Azure API Management aracılığıyla verileri kalıcı olduğu Health Data Services FHIR hizmetine gönderir.
- Aynı anda istemci, Application Gateway ve API Management aracılığıyla TLS bağlantısı üzerinden aynı FHIR verilerini okuyabilir.
- Toplu veri işleme için Application Gateway, İstemci Kimlik Bilgileri Akışı kullanan bir TLS bağlantısı üzerinden FHIR paketleri alır ve verileri bir depolama hesabına yükler. Sanal ağ ile tümleştirilmiş bir FHIR YükleyiciSi Azure işlevi, FHIR'yi işler ve verileri FHIR hizmetine yükler.
- Gelen veriler HL7 sürüm 2 veya C-CDA biçimindeyse, önce FHIR hizmetinde $convert-veri uç noktasını kullanarak bunu FHIR biçimine dönüştürebilirsiniz. Ardından Application Gateway kullanarak verileri FHIR hizmetine gönderebilirsiniz. Özel uç nokta üzerinden bağlanan Azure Container Registry, HL7 v2 veya C-CDA verilerini FHIR verilerine dönüştürmek için geliştirilmiş güvenlik, özelleştirilmiş Liquid şablonları ile depolamak için kullanılır. Kapsayıcı Kayıt Defteri mimari diyagramında gösterilir, ancak aracılığıyla HL7 v2 / C-CDA'den FHIR'ye dönüştürme
$convert-data, örnek Bicep uygulama şablonu tarafından uygulanmaz. - FHIR ile Synapse Sync Aracısı FHIR hizmetinden verileri ayıklar (tek tek veya toplu veri akışı aracılığıyla alınan veriler için), ayıklanan verileri hiyerarşik Parquet dosyalarına dönüştürür ve Azure Data Lake Storage'a yazar.
- Azure Synapse Analytics, FHIR verilerini sorgulamak ve analiz etmek üzere Data Lake Storage'a bağlanmak için sunucusuz bir SQL veya Spark havuzu kullanır. Azure Synapse Analytics, mimari diyagramında gösterilir, ancak Bicep uygulama şablonu tarafından uygulanmaz.
- Merkez sanal ağı, FHIR hizmet yapılandırmasına gelişmiş güvenlik erişimi sağlamak için bir sıçrama kutusu sanal makinesi (VM) ve bir Azure Bastion konağı içerir. Yöneticiler ve operatörler, Application Gateway'den geçmeden FHIR hizmet uç noktalarını test etmek ve Application Gateway'i atlayarak Azure depolama aracılığıyla FHIR verilerini el ile toplu yüklemek için sıçrama kutusu VM'sini de kullanabilir.
- Azure ExpressRoute veya siteden siteye VPN aracılığıyla şirket içi ağ bağlantısı kurarsanız, şirket içi kullanıcılar ve hizmetler bu bağlantı üzerinden FHIR hizmetine doğrudan erişebilir.
Not
İsteğe bağlı olarak Application Gateway'e Web Uygulaması Güvenlik Duvarı (WAF) ekleyebilirsiniz, ancak WAF'nin FHIR nesnelerini yanlış tanımlaması ve bunları kötü amaçlı kod olarak işlemesiyle ilgili bilinen bir sorun vardır. WAF gerekiyorsa WAF'nin FHIR nesneleriyle çalışmasını sağlamak için WAF kural kümesinizi el ile değiştirmeniz gerekir.
Bileşenler
Microsoft Entra ID , çok kiracılı bir bulut tabanlı dizin ve kimlik yönetimi hizmetidir. İstemci uygulamaları Microsoft Entra Id'ye kaydedilir ve Azure Health Data Services FHIR hizmetine erişmek için kullanılabilir.
Application Gateway , ters ara sunucu hizmeti olarak görev yapabilen bir hizmet olarak platform (PaaS) katman 7 yük dengeleyicidir. İç ve dış kullanıcılar FHIR API'lerine API Management aracılığıyla Application Gateway üzerinden erişir.
API Management , API'leri tüm ortamlarda yönetmeye yönelik karma bir çoklu bulut platformudur. Swagger API tanımını kullanarak FHIR API'lerini API Management'a aktarabilirsiniz. Gelen çağrıları kısıtlamak, kullanıcıların kimliğini doğrulamak/yetkilendirmek ve diğer görevleri gerçekleştirmek için API Management'ı kullanabilirsiniz.
Health Data Services , sağlık hizmetlerini geliştiren ve ölçeklenebilir, gelişmiş güvenlikli sağlık hizmetleri çözümleri sunan iş akışlarını etkinleştiren açık standartlara ve çerçevelere dayanan bir dizi yönetilen API hizmetidir. Health Data Services FHIR hizmeti, yalnızca sanal ağınızdan veya Application Gateway aracılığıyla İnternet üzerinden dış kullanıcılar tarafından erişilebildiğinden emin olmak için özel bir uç nokta ile dağıtılır.
FHIR Yükleyicisi, FHIR paketlerini (sıkıştırılmış ve sıkıştırılmamış) ve NDJSON dosyalarını bir FHIR hizmetine aktarmaya yönelik hizmetler sağlayan Azure İşlevleri bir çözümdür.
Azure Key Vault , gelişmiş güvenlik özelliklerine sahip gizli dizileri, anahtarları ve sertifikaları depolamaya ve bunlara erişmeye yönelik bir Azure hizmetidir. Key Vault, Microsoft Entra Id ile tümleştirilmiş rol tabanlı erişim denetimleri aracılığıyla HSM destekli güvenlik ve denetimli erişim sağlar. Bu mimaride Key Vault sıçrama kutusu kimlik bilgilerini, Application Gateway sertifikalarını, FHIR hizmet ayrıntılarını ve FHIR Yükleyicisi ayrıntılarını depolar.
Container Registry , açık kaynak Docker Registry 2.0'ı temel alan yönetilen bir kayıt defteri hizmetidir. Bu mimaride Liquid şablonlarını barındırmak için kullanılır. Sistem durumu verilerini HL7 v2 ve C-CDA'dan FHIR'ye dönüştürmek için FHIR hizmetinde özel uç noktayı kullanabilirsiniz
$convert-data. İşlemde$convert-dataFHIR veri dönüşümü için FHIR Dönüştürücü'den Liquid şablonları kullanılır.FHIR-Synapse Sync Aracısı , FHIR kaynak API'lerini kullanarak bir FHIR sunucusundan veri ayıklayan, hiyerarşik Parquet dosyalarına dönüştüren ve data Lake Storage'a neredeyse gerçek zamanlı olarak yazan bir Azure kapsayıcı uygulamasıdır . Ayrıca Azure Synapse Analytics sunucusuz SQL havuzunda Parquet dosyalarına işaret eden dış tablolar ve görünümler oluşturmaya yönelik bir betik içerir. Mimari diyagramında Synapse Sync Aracısı, Data Lake Storage ve Azure Synapse Analytics için FHIR gösteriliyor olsa da, Bicep uygulaması şu anda bu hizmetleri dağıtmak için gereken kodu içermez.
Azure Güvenlik Duvarı, Azure'daki bulut iş yükleriniz için tehdit koruması sağlayan buluta özel bir akıllı ağ güvenlik duvarı hizmetidir. Bu mimaride, veri sızdırmanın gerçekleşmediğinden emin olmak için merkez sanal ağından çıkış trafiğini Azure Güvenlik Duvarı üzerinden yönlendirmek için bir yönlendirme tablosu kullanılır. Benzer şekilde, genel sistem durumu bilgileri (PHI) verilerinin sızdırmasını önlemeye yardımcı olmak için gerektiğinde yönlendirme tablosu yolları oluşturabilir ve bunları uç sanal ağ alt ağlarına ekleyebilirsiniz.
Sıçrama kutusu, yöneticilerin ve işleçlerin Uzak Masaüstü Protokolü (RDP) veya Secure Shell (SSH) kullanarak bağlanabileceği Linux veya Windows çalıştıran bir Azure VM'dir. Bu mimarideki hizmetlerin çoğu (Health Data Services, API Management, Key Vault ve diğerleri) özel bir uç noktayla dağıtıldığından, yapılandırma değişiklikleri yapmak veya bu hizmetleri test etmek için bir sıçrama kutusu VM'sine ihtiyacınız vardır. Sıçrama kutusuna yalnızca Azure Bastion üzerinden erişilebilir.
Azure Bastion , tarayıcıyı, Azure portalını veya bilgisayarınızdaki yerel SSH/RDP istemcisini kullanarak vm'ye bağlanmanızı sağlar. Bu uygulamada Azure Bastion, sıçrama kutusu VM'sine gelişmiş güvenlik erişimi sağlar.
Bulut için Defender, HIPAA ve HITRUST uyumluluk ilkesi girişimleri, Azure altyapı dağıtımının Microsoft bulut güvenliği karşılaştırmasına ve Sağlık sektörü uyumluluk gereksinimlerine uygun olmasını sağlamaya yardımcı olur.
Senaryo ayrıntıları
Bu çözüm gelişmiş güvenlikle Sistem Sağlığı Veri Hizmetleri'ni dağıtma, tek tek ve toplu FHIR verilerini alma ve verileri Health Data Services FHIR hizmetinde kalıcı hale getirmek için rehberlik sağlar.
Gelişmiş güvenlikli bir Application Gateway bağlantısı kullanarak FHIR iletilerini tek tek ve toplu olarak FHIR hizmetine yüklemek için çözümü kullanabilirsiniz.
FHIR verilerini analiz etmek ve içgörüleri ayıklamak için FHIR'yi diyagramda gösterildiği gibi Synapse Sync Aracısı'na dağıtabilirsiniz. Azure Synapse Analytics, FHIR verilerini sorgulamak ve analiz etmek için Data Lake Storage'a bağlanabilir.
Sağlık Veri Hizmetleri MedTech hizmetini kullanarak tıbbi ve giyilebilir cihazlardan veri almak için çözümü genişletebilirsiniz. Bu hizmeti kullanarak verileri FHIR biçimine dönüştürebilir ve Azure Synapse Analytics'i kullanarak içgörüleri ayıklamak için FHIR hizmetinde kalıcı hale gelebilirsiniz.
Ayrıca çözümü FHIR olmayan verileri (HL7 v2 ve C-CDA) almak için genişletebilir, Container Registry'de depolayabileceğiniz Liquid şablonlarını kullanarak FHIR'ye dönüştürebilir ve FHIR hizmetinde kalıcı hale ekleyebilirsiniz.
Bu çözümü dağıt
Bu çözümü dağıtmak için Başlarken'deki adımları izleyin.
Katkıda Bulunanlar
Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.
Asıl yazar:
- Umar Mohamed Usman | Baş Mühendis
Diğer katkıda bulunanlar:
- Mick Alberts | Teknik Yazar
- Srini Padala | Kıdemli Mühendis
- Sonalika Roy | Kıdemli Mühendis
- Victor Santana | Kıdemli Mühendis
Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.
Sonraki adımlar
- Azure Health Data Services Atölyesi
- Azure Health Data Services'ı kullanmaya başlama
- FHIR-Toplu Yükleyici ve Dışarı Aktarma
- API Management için FHIR sunucusu Swagger oluşturma
- HL7 v2 ve C-CDA verilerini dönüştürmek için FHIR Dönüştürücüsü'ni kullanma