Proyecto de seguridad y cumplimiento de Azure: IA y datos médicos HIPAA/HITRUSTAzure Security and Compliance Blueprint - HIPAA/HITRUST Health Data and AI

Información generalOverview

El Plano técnico de seguridad y cumplimiento de Azure (IA y datos de estado de HIPAA/HITRUST) ofrece una implementación llave en mano de una solución de IaaS y PaaS de Azure para mostrar cómo ingerir, almacenar, analizar, interactuar, identificar y desplegar de forma segura soluciones con datos de estado y alcanzar los requisitos de cumplimiento del sector. El proyecto le ayuda a acelerar la adopción en la nube y el uso de los clientes con datos regulados.The Azure Security and Compliance Blueprint - HIPAA/HITRUST Health Data and AI offers a turn-key deployment of an Azure PaaS and IaaS solution to demonstrate how to ingest, store, analyze, interact, identity and Securely deploy solutions with health data while being able to meet industry compliance requirements. The blueprint helps accelerate cloud adoption and utilization for customers with data that is regulated.

El proyecto de seguridad y cumplimiento de Azure: IA y datos médicos HIPAA/HITRUST proporciona herramientas y orientación para ayudar a implementar un entorno seguro de plataforma como servicio (PaaS) conforme a Health Insurance Portability and Accountability Act (HIPAA) y Health Information Trust Alliance (HITRUST) para introducir, almacenar, analizar e interactuar con los historiales médicos personales y de carácter no personal en un entorno seguro y niveles múltiples en la nube, implementado como una solución de un extremo a otro.The Azure Security and Compliance Blueprint - HIPAA/HITRUST Health Data and AI Blueprint provides tools and guidance to help deploy a secure, Health Insurance Portability and Accountability Act (HIPAA), and Health Information Trust Alliance (HITRUST) ready platform-as-a-service (PaaS) environment for ingesting, storing, analyzing, and interacting with personal and non-personal medical records in a secure, multi-tier cloud environment, deployed as an end-to-end solution.

La solución de IaaS mostrará cómo migrar una solución SQL local a Azure e implementar una estación de trabajo de acceso con privilegios (PAW) para administrar de forma segura soluciones y servicios basados en la nube.IaaS solution will demonstrate how to migrate an on-premises SQL based solution to Azure, and to implement a Privileged Access Workstation (PAW) to securely manage cloud-based services and solutions. La base de datos SQL Server de IaaS agrega posibles datos de experimentación, se importa en una máquina virtual IaaS de SQL y dicha máquina virtual usa el acceso autenticado por MSI para interactuar con de un servicio de Azure PaaS de SQL. Ambas presentan una arquitectura de referencia común y están diseñados para simplificar la adopción de Microsoft Azure.The IaaS SQL Server database adds potential experimentation data is imported into a SQL IaaS VM, and that VM uses MSI authenticated access to interact a SQL Azure PaaS service.Both these showcases a common reference architecture and is designed to simplify adoption of Microsoft Azure. La arquitectura proporcionada muestra una solución completa para satisfacer las necesidades de organizaciones que buscan un enfoque basado en la nube para reducir la carga y los costos de implementación.This provided architecture illustrates a solution to meet the needs of organizations seeking a cloud-based approach to reducing the burden and cost of deployment.

La solución está diseñada para consumir un conjunto de datos de ejemplo en formato Fast Healthcare Interoperability Resources (FHIR), un estándar internacional para el intercambio electrónico de información de datos médicos y su almacenamiento de forma segura.The solution is designed to consume a sample data set formatted using Fast Healthcare Interoperability Resources (FHIR), a worldwide standard for exchanging healthcare information electronically, and store it in a secure manner. Los clientes pueden usar Azure Machine Learning Studio para aprovechar sus eficaces herramientas de inteligencia empresarial y análisis para revisar las predicciones realizadas sobre los datos de ejemplo.Customers can then use Azure Machine Learning Studio to take advantage of powerful business intelligence tools and analytics to review predictions made on the sample data. Como ejemplo del tipo de experimento que Azure Machine Learning Studio puede facilitar, el proyecto incluye un conjunto de datos de ejemplo, scripts y herramientas para predecir la duración de la permanencia del paciente en un centro hospitalario.As an example of the kind of experiment Azure Machine Learning Studio can facilitate, the blueprint includes a sample dataset, scripts, and tools for predicting the length of a patient's stay in a hospital facility.

Este proyecto está diseñado para servir como base modular para que los clientes lo ajusten a sus requisitos específicos y desarrollen nuevos experimentos de Azure Machine Learning para resolver escenarios de casos de uso tanto clínicos como operativos.This blueprint is intended to serve as a modular foundation for customers to adjust to their specific requirements, developing new Azure Machine learning experiments to solve both clinical and operational use case scenarios. Está diseñado para ser seguro y conforme una vez implementado; sin embargo, los clientes son responsables de la configuración correcta de los roles y de implementar cualquier modificación.It is designed to be secure and compliant when deployed; however, customers are responsible for configuring roles correctly and implementing any modifications. Tenga en cuenta lo siguiente:Note the following:

  • Este proyecto proporciona una base de referencia para que los clientes puedan usar Microsoft Azure en un entorno HITRUST y HIPAA.This blueprint provides a baseline to help customers use Microsoft Azure in a HITRUST, and HIPAA environment.

  • Aunque el proyecto está diseñado para alinearse con HIPAA y HITRUST (a través de la estructura de seguridad común, CSF), no debería considerarse conforme hasta ser certificado por un auditor externo según los requisitos de certificación de HIPAA y HITRUST.Although the blueprint was designed to be aligned with HIPAA and HITRUST (through the Common Security Framework -- CSF), it should not be considered compliant until certified by an external auditor per HIPAA and HITRUST certification requirements.

  • Los clientes son responsables de llevar a cabo las revisiones de seguridad y cumplimiento adecuadas de todas las soluciones creadas con esta arquitectura base.Customers are responsible for conducting appropriate security and compliance reviews of any solution built using this foundational architecture.

Implementación de la automatizaciónDeploying the automation

  • Para implementar la solución, siga las instrucciones que se proporcionan en la guía de implementación.To deploy the solution, follow the instructions provided in the deployment guidance.

  • Para obtener información general de cómo funciona esta solución, vea este vídeo en el que se explica y demuestra cómo realizar la implementación.For a quick overview of how this solution works, watch this video explaining and demonstrating its deployment.

  • Las preguntas más frecuentes se pueden encontrar en la guía de preguntas más frecuentes.Frequently asked question can be found in the FAQ guidance.

  • Diagrama de arquitectura.Architectural diagram. El diagrama muestra la arquitectura de referencia utilizada en el proyecto y el escenario del caso de uso de ejemplo.The diagram shows the reference architecture used for the blueprint and the example use case scenario.

  • Extensión de IaaS Esta solución mostrará cómo migrar una solución SQL local a Azure y cómo implementar una estación de trabajo de acceso con privilegios para administrar de forma segura soluciones y servicios basados en la nube.IaaS Extension This solution will demonstrate how to migrate an on-premises SQL based solution to Azure, and to implement a Privileged Access Workstation to securely manage cloud-based services and solutions.

Componentes de solucionesSolution components

La arquitectura fundamental consta de los siguientes componentes:The foundational architecture is composed of the following components:

  • Modelo de amenazas se proporciona un modelo de amenazas completo en formato tm7 para su uso con Microsoft Threat Modeling Tool que muestra los componentes de la solución, los datos que fluyen entre ellos y los límites de confianza.Threat model A comprehensive threat model is provided in tm7 format for use with the Microsoft Threat Modeling Tool, showing the components of the solution, the data flows between them, and the trust boundaries. El modelo puede ayudar a los clientes a comprender los puntos de riesgo potencial de la infraestructura del sistema al desarrollar componentes de Machine Learning Studio u otras modificaciones.The model can help customers understand the points of potential risk in the system infrastructure when developing Machine Learning Studio components or other modifications.

  • Matriz de implementación del cliente un libro de Microsoft Excel enumera los requisitos de HITRUST pertinentes y explica cómo Microsoft y el cliente son responsables del cumplimiento de cada uno de ellos.Customer implementation matrix A Microsoft Excel workbook lists the relevant HITRUST requirements and explains how Microsoft and the customer are responsible for meeting each one.

  • Revisión de datos médicos.Health review. La solución la revisó Coalfire systems, Inc. El documento de Revisión del cumplimiento de Health (HIPAA e HITRUST) e instrucciones para la implementación proporciona la opinión del auditor de la solución y sus reflexiones para transformar el proyecto en una implementación que esté lista para la producción.The solution was reviewed by Coalfire systems, Inc. The Health Compliance (HIPAA, and HITRUST) Review and guidance for implementation provides an auditor's review of the solution, and considerations for transforming the blueprint to a production-ready deployment.

Diagrama de arquitecturaArchitectural diagram

RolesRoles

El proyecto define dos roles para los usuarios administrativos (operadores) y tres roles para los usuarios de administración del hospital y atención al paciente.The blueprint defines two roles for administrative users (operators), and three roles for users in hospital management and patient care. Se define un sexto rol para que un auditor pueda evaluar el cumplimiento con HIPAA y otras normativas.A sixth role is defined for an auditor to evaluate compliance with HIPAA and other regulations. El control de acceso basado en rol (RBAC) de Azure permite la administración de acceso con precisión para cada usuario de la solución a través de roles integrados y personalizados.Azure Role-based Access Control (RBAC) enables precisely focused access management for each user of the solution through built-in and custom roles. Consulte Introducción al control de acceso basado en rol en Azure Portal y Roles integrados para el control de acceso basado en rol de Azure para obtener información detallada acerca de RBAC, los roles y los permisos.See Get started with Role-Based Access Control in the Azure portal and Built-in roles for Azure role-based access control for detailed information about RBAC, roles, and permissions.

Administrador del sitioSite Administrator

El administrador del sitio es responsable de la suscripción de Azure del cliente.The site administrator is responsible for the customer's Azure subscription. Controla la implementación completa, pero no tiene acceso a los historiales de los pacientes.They control the overall deployment, but have no access to patient records.

  • Asignaciones de roles predeterminadas: PropietarioDefault role assignments: Owner

  • Asignaciones de roles personalizados: N/DCustom role assignments: N/A

  • Ámbito: SubscriptionScope: Subscription

Analista de base de datosDatabase Analyst

El analista de base de datos administra la instancia de SQL Server y la base de datos.The database analyst administers the SQL Server instance and database. No tiene acceso a los historiales de los pacientes.They have no access to patient records.

Científico de datosData Scientist

Los científicos de datos operan el servicio Azure Machine Learning Studio.The data scientist operates the Azure Machine Learning Studio. Pueden importar, exportar y administrar los datos y ejecutar informes.They can import, export, and manage data, and run reports. Los científicos de datos tienen acceso a los datos del paciente, pero no tienen privilegios administrativos.The data scientist has access to patient data, but does not have administrative privileges.

Director de información médica (CMIO)Chief Medical Information Officer (CMIO)

El director de información médica (CMIO) se encuentra en la línea divisoria entre los profesionales informáticos o técnicos y los profesionales sanitarios en un centro de atención médica.The CMIO straddles the divide between informatics/technology and healthcare professionals in a healthcare organization. Sus tareas suelen incluir el uso de análisis para determinar si se están asignando correctamente los recursos en la organización.Their duties typically include using analytics to determine if resources are being allocated appropriately within the organization.

  • Asignaciones de roles integrados: NoneBuilt-in role assignments: None

Administrador de la línea de atención al pacienteCare Line Manager

El administrador de la línea de atención al paciente está directamente implicado en la atención a los pacientes.The care line manager is directly involved with the care of patients. Este rol requiere la supervisión del estado de cada paciente y asegurarse de que hay personal disponible para atender las necesidades de atención específicas de los pacientes.This role requires monitoring the status of individual patients as well as ensuring that staff is available to meet the specific care requirements of their patients. El administrador de la línea de atención al paciente es responsable de agregar y actualizar los historiales de los pacientes.The care line manager is responsible for adding and updating patient records.

  • Asignaciones de roles integrados: NoneBuilt-in role assignments: None

  • Asignaciones de roles personalizados: tiene privilegios para ejecutar HealthcareDemo.ps1 para realizar tanto la admisión del paciente como el alta.Custom role assignments: Has privilege to run HealthcareDemo.ps1 to do both Patient Admission, and Discharge.

  • Ámbito: ResourceGroupScope: ResourceGroup

AuditorAuditor

El auditor evalúa el cumplimiento de la solución.The auditor evaluates the solution for compliance. No tienen ningún acceso directo a la red.They have no direct access to the network.

  • Asignaciones de roles integrados: LectorBuilt-in role assignments: Reader

  • Asignaciones de roles personalizados: N/DCustom role assignments: N/A

  • Ámbito: SubscriptionScope: Subscription

Ejemplo de caso de usoExample Use case

El caso de uso de ejemplo incluido con este proyecto muestra cómo se puede utilizar para habilitar el aprendizaje automático y el análisis de datos médicos en la nube.The example use case included with this blueprint illustrates how the Blueprint can be used to enable machine learning and analytics on health data in the cloud. Contosoclinic es un hospital pequeño que se encuentra en Estados Unidos.Contosoclinic is a small hospital located in the United States. Los administradores de red del hospital desean usar Azure Machine Learning Studio para predecir mejor la duración de la estancia del paciente en el momento de la admisión, con el fin de aumentar la eficiencia operativa de la carga de trabajo y mejorar la calidad de la atención que esto puede proporcionar.The hospital network administrators want to use Azure Machine Learning Studio to better predict the length of a patient's stay at the time of admittance, in order to increase operational workload efficiency, and enhance the quality of care it can provide.

Predicción de la duración de la estanciaPredicting length of stay

El escenario del caso de uso de ejemplo utiliza Azure Machine Learning Studio para predecir la duración de la estancia del paciente recién admitido comparando los detalles médicos tomados en la admisión de pacientes con datos históricos agregados de pacientes anteriores.The example use case scenario uses Azure Machine Learning Studio to predict a newly admitted patient's length of stay by comparing the medical details taken at patient intake to aggregated historical data from previous patients. El proyecto incluye un conjunto grande de historiales médicos anonimizados para demostrar las funcionalidades de predicción y de entrenamiento de la solución.The blueprint includes a large set of anonymized medical records to demonstrate the training and predictive capabilities of the solution. En una implementación de producción, los clientes utilizarían sus propios historiales para entrenar la solución con el fin de obtener predicciones más precisas que reflejen los detalles únicos del entorno, las instalaciones y los pacientes.In a production deployment, customers would use their own records to train the solution for more accurate predictions reflecting the unique details of their environment, facilities, and patients.

Usuarios y rolesUsers and roles

Administrador del sitio: AlexSite Administrator -- Alex

Correo electrónico: Alex_SiteAdminEmail: Alex_SiteAdmin

El trabajo de Alex consiste en evaluar las tecnologías que puedan reducir la carga de la administración de una red local y reducir los costos de administración.Alex's job is to evaluate technologies that can reduce the burden of managing an on-premises network and reduce costs for management. Alex ha estado evaluando Azure durante algún tiempo, pero se encontró con problemas al configurar los servicios que necesita para cumplir los requisitos de cumplimiento de las normas HiTrust para almacenar datos de pacientes en la nube.Alex has been evaluating Azure for some time but has struggled to configure the services that he needs to meet the HiTrust compliance requirements to store Patient Data in the cloud. Alex ha seleccionado la tecnología de inteligencia artificial sobre datos médicos de Azure para implementar una solución de datos médicos preparada en materia de cumplimiento y que proporciona los requisitos necesarios para el cumplimiento de clientes en HiTrust.Alex has selected the Azure Health AI to deploy a compliance-ready health solution, which has addressed the requirements to meet the customer requirements for HiTrust.

Científica de datos: DebraData Scientist -- Debra

Correo electrónico: Debra_DataScientistEmail: Debra_DataScientist

Debra está a cargo del uso y la creación de modelos que analizan los historiales médicos para brindar información detallada sobre la atención al paciente.Debra is in charge of using and creating models that analyze medical records to provide insights into patient care. Debra utiliza SQL y el lenguaje de programación estadístico R para crear sus modelos.Debra uses SQL and the R statistical programming language to create her models.

Analista de base de datos: DannyDatabase Analyst -- Danny

Correo electrónico: Danny_DBAnalystEmail: Danny_DBAnalyst

Danny es el contacto principal para cualquier asunto relacionado con Microsoft SQL Server, que almacena todos los datos de los pacientes de Contosoclinic.Danny is the main contact for anything regarding the Microsoft SQL Server that stores all the patient data for Contosoclinic. Danny es un administrador experimentado de SQL Server que recientemente se ha familiarizado con Azure SQL Database.Danny is an experienced SQL Server administrator who has recently become familiar with Azure SQL Database.

Directora de información médica: CarolineChief Medical Information Officer -- Caroline

Caroline trabaja con Chris, el administrador de la línea de atención al paciente y con Debra, la científica de datos, para determinar qué factores afectan a la duración de la estancia de los pacientes.Caroline is working with Chris the Care Line Manager, and Debra the Data Scientist to determine what factors impact patient length of stay. Caroline usa las predicciones de la solución de duración de estancia (LOS) para determinar si se están asignando correctamente los recursos en la red del hospital.Caroline uses the predictions from the length-of-stay (LOS) solution to determine if resources are being allocated appropriately in the hospital network. Por ejemplo, mediante el panel que proporciona esta solución.For example, using the dashboard provided in this solution.

Administrador de la línea de atención al paciente: ChrisCare Line Manager -- Chris

Correo electrónico: Chris_CareLineManagerEmail: Chris_CareLineManager

Como la persona directamente responsable de administrar la admisión y alta de pacientes en Contosoclinic, Chris usa las predicciones generadas por la solución de duración de estancia para asegurarse de que está disponible el personal adecuado para proporcionar la atención necesaria a los pacientes durante su estancia en las instalaciones.As the individual directly responsible for managing patient admission, and discharges at Contosoclinic, Chris uses the predictions generated by the LOS solution to ensure that adequate staff are available to provide care to patients while they are staying in the facility.

Auditor: HanAuditor -- Han

Correo electrónico: Han_AuditorEmail: Han_Auditor

Han es un auditor certificado con experiencia en auditorías ISO, SOC y HiTrust.Han is a certified auditor who has experience auditing for ISO, SOC, and HiTrust. Han ha sido contratado para revisar la red de Contosoclinic.Han was hired to review Contosoclinc's network. Han puede revisar la matriz de responsabilidades del cliente proporcionada por la solución para asegurarse de que el proyecto y la solución de duración de estancia se pueden utilizar para almacenar, procesar y mostrar datos personales confidenciales.Han can review the Customer Responsibility Matrix provided with the solution to ensure that the blueprint and LOS solution can be used to store, process, and display sensitive personal data.

Configuración de diseñoDesign configuration

En esta sección se describen las configuraciones predeterminadas y las medidas de seguridad integradas en el proyecto, que se desglosan en:This section details the default configurations and security measures built into the Blueprint outlined to:

  • INGESTA de orígenes de datos sin formato incluido el origen de datos FHIRINGEST data raw sources including FHIR data source
  • ALMACENAMIENTO de información confidencialSTORE sensitive information
  • Salidas de ANÁLISIS y prediccionesANALYZE and predict outcomes
  • INTERACCIÓN con los resultados y las prediccionesINTERACT with the results and predictions
  • Administración de la IDENTIDAD en la soluciónIDENTITY management of solution
  • Características habilitadas para la SEGURIDADSECURITY enabled features

IDENTIDADIDENTITY

Azure Active Directory y control de acceso basado en rol (RBAC)Azure Active Directory and role-based access control (RBAC)

Autenticación:Authentication:

  • Azure Active Directory (Azure AD) es el servicio de directorio y de administración de identidades multiinquilino basado en la nube de Microsoft'.Azure Active Directory (Azure AD) is the Microsoft's multi-tenant cloud-based directory and identity management service. Todos los usuarios de la solución se crearon en Azure Active Directory, incluidos los usuarios que acceden a SQL Database.All users for the solution were created in Azure Active Directory, including users accessing the SQL Database.

  • La autenticación para acceder a la aplicación se realiza con Azure AD.Authentication to the application is performed using Azure AD. Para obtener más información, consulte Integración de aplicaciones con Azure Active Directory.For more information, see Integrating applications with Azure Active Directory.

  • Azure Active Directory Identity Protection detecta posibles puntos vulnerables que afectan a las identidades de la organización, configura respuestas automatizadas si surgen acciones sospechosas relacionadas con esas identidades, investiga incidentes sospechosos y toma las medidas oportunas para resolverlos.Azure Active Directory Identity Protection detects potential vulnerabilities affecting your organization's identities, configures automated responses to detected suspicious actions related to your organization's identities, and investigates suspicious incidents and takes appropriate action to resolve them.

  • El control de acceso basado en rol de Azure (RBAC) permite administrar al detalle el control de acceso de Azure.Azure Role-based Access Control (RBAC) enables precisely focused access management for Azure. El acceso a la suscripción está limitado al administrador de dicha suscripción y el acceso a Azure Key Vault está limitado al administrador del sitio.Subscription access is limited to the subscription administrator, and Azure Key Vault access is limited to the site administrator. Se requieren contraseñas seguras (12 caracteres como mínimo con al menos una letra en mayúsculas y minúsculas, un número y un carácter especial).Strong passwords (12 characters minimum with at least one Upper/Lower letter, number, and special character) are required.

  • Se admite la autenticación multifactor cuando el modificador -enableMFA está habilitado durante la implementación.Multi-factor authentication is supported when the -enableMFA switch is enabled during deployment.

  • Las contraseñas expiran transcurridos 60 días cuando el modificador -enableADDomainPasswordPolicy está habilitado durante la implementación.Passwords expire after 60 days when the -enableADDomainPasswordPolicy switch is enabled during deployment.

Roles:Roles:

  • La solución hace uso de los roles integrados para administrar el acceso a los recursos.The solution makes use of built-in roles to manage access to resources.

  • Se asignan roles integrados específicos de forma predeterminada a todos los usuarios.All users are assigned specific built-in roles by default.

Azure Key VaultAzure Key Vault

  • Los datos almacenados en el almacén de claves incluyen:Data stored in Key Vault includes:

    • Clave de Application InsightsApplication insight key
    • Clave de acceso del almacenamiento de los datos de los pacientesPatient Data Storage Access key
    • Cadena de conexión de pacientesPatient connection string
    • Nombre de la tabla de datos de los pacientesPatient data table name
    • Punto de conexión de servicio Web de Azure MLAzure ML Web Service Endpoint
    • Clave de la API del servicio Azure MLAzure ML Service API Key
  • Se configuran directivas de acceso avanzadas según las necesidadesAdvanced access policies are configured on a need basis

  • Se definen directivas de acceso a Key Vault con los permisos mínimos requeridos para las claves y los secretosKey Vault access policies are defined with minimum required permissions to keys and secrets

  • Todas las claves y los secretos en Key Vault tienen fechas de expiraciónAll keys and secrets in Key Vault have expiration dates

  • Todas las claves en Key Vault están protegidas con HSM [Tipo de clave = clave RSA de 2048 bits protegida con HSM]All keys in Key Vault are protected by HSM [Key Type = HSM Protected 2048-bit RSA Key]

  • Se otorgan los permisos necesarios mínimos a todos los usuarios e identidades mediante el control de acceso basado en rol (RBAC)All users/identities are granted minimum required permissions using Role Based Access Control (RBAC)

  • Las aplicaciones no comparten un almacén de claves a menos que confíen entre sí y que necesiten tener acceso a los mismos secretos en tiempo de ejecuciónApplications do not share a Key Vault unless they trust each other and they need access to the same secrets at runtime

  • Los registros de diagnóstico de Key Vault están habilitados con un período de retención de al menos 365 días.Diagnostics logs for Key Vault are enabled with a retention period of at least 365 days.

  • Las operaciones criptográficas permitidas para las claves están restringidas únicamente a las requeridasPermitted cryptographic operations for keys are restricted to the ones required

INGESTAINGEST

Azure FunctionsAzure Functions

La solución ha sido diseñada para el uso de Azure Functions para procesar la datos de duración de estancia de ejemplo que se usan en la demostración de análisis.The solution was designed to use Azure Functions to process the sample length of stay data used in the analytics demo. Se han creado tres funcionalidades en las funciones.Three capabilities in the functions have been created.

1. Importación masiva de los datos de información sanitaria protegida del cliente1. Bulk import of customer data phi data

Cuando se utiliza el script de demostración.When using the demo script. .\HealthcareDemo.ps1 con el modificador BulkPatientAdmission tal como se describe en Implementación y ejecución de la demostración se ejecuta la canalización de procesamiento siguiente:.\HealthcareDemo.ps1 with the BulkPatientAdmission switch as outlined in Deploying and running the demo it executes the following processing pipeline:

  1. Azure Blob Storage: Se carga en el almacenamiento el archivo .csv de ejemplo con los datos de los pacientesAzure Blob Storage - Patient data .csv file sample uploaded to storage
  2. Event Grid: un evento publica los datos en Azure Functions (Importación masiva: evento de blob)Event Grid - Event Publishes data to Azure Function (Bulk import - blob event)
  3. Azure Functions: realiza el procesamiento y almacena los datos en el almacenamiento SQL utilizando la función segura: event(tipo; URL del blob)Azure Function - Performs the processing and stores the data into SQL Storage using the secure function - event(type; blob url)
  4. Base de datos SQL: el almacén de base de datos de pacientes utiliza etiquetas para la clasificación y el proceso de aprendizaje automático se inicia para entrenar el experimento.SQL DB - The database store for Patient Data using tags for classification, and the ML process is kicked off to do the training experiment.

Además, la función de Azure se diseñó para leer y proteger los datos confidenciales designados en el conjunto de datos de ejemplo con las siguientes etiquetas:Additionally the azure function was designed to read and protect designated sensitive data in the sample data set using the following tags:

  • dataProfile => "ePHI"dataProfile => “ePHI”
  • owner = > <UPN de administración del sitio>owner => <Site Admin UPN>
  • environment => "Pilot"environment => “Pilot”
  • department = > "Global Ecosystem" el etiquetado se aplicó al conjunto de datos de ejemplo donde los nombres de los pacientes se identifican como texto sin cifrar.department => “Global Ecosystem" The tagging was applied to the sample data set where patient 'names' was identified as clear text.

2. Admisión de nuevos pacientes2. Admission of new patients

Cuando se utiliza el script de demostración.When using the demo script. .\HealthcareDemo.ps1 con el modificador BulkPatientadmission tal como se describe en Implementación y ejecución de la demostración se ejecuta la canalización de procesamiento siguiente: 1. Azure Functions se desencadena y la función solicita un token al portador de Azure Active Directory..\HealthcareDemo.ps1 with the BulkPatientadmission switch as outlined in Deploying and running the demo it executes the following processing pipeline: 1. Azure Function triggered and the function requests for a bearer token from Azure Active directory.

2. Key Vault Se solicita un secreto que está asociado al token solicitado.2. Key Vault requested for a secret that is associated to the requested token.

3. Los roles de Azure validan la solicitud y autorizan la solicitud de acceso a Key Vault.3. Azure Roles validate the request, and authorize access request to the Key Vault.

4. Key Vault devuelve el secreto, en este caso, la cadena de conexión de la base de datos SQL.4. Key Vault returns the secret, in this case the SQL DB Connection string.

5. Azure Functions usa la cadena de conexión para conectarse de forma segura a SQL Database y continúa el procesamiento adicional para almacenar los datos ePHI.5. Azure Function uses the connection string to securely connect to SQL Database and continues further processing to store ePHI data.

Para lograr el almacenamiento de los datos, se implementa un esquema de API común según la norma Fast Healthcare Interoperability Resources (FHIR).To achieve the storage of the data, a common API schema was implemented following Fast Healthcare Interoperability Resources (FHIR, pronounced fire). Se proporcionan a la función los siguientes elementos de intercambio FHIR:The function was provided the following FHIR exchange elements:

  • Esquema de pacientes incluye la información de "quién" es un paciente.Patient schema covers the "who" information about a patient.

  • Esquema de observación incluye el elemento central en la atención médica, se usa para admitir el diagnóstico, supervisar el progreso, determinar las líneas de base y los patrones e incluso para capturar características demográficas.Observation schema covers the central element in healthcare, used to support diagnosis, monitor progress, determine baselines and patterns and even capture demographic characteristics.

  • Esquema de encuentros incluye los tipos de encuentro; por ejemplo ambulatorio, emergencia, atención domiciliaria, paciente interno y encuentro virtual.Encounter schema covers the types of encounters such as ambulatory, emergency, home health, inpatient, and virtual encounters.

  • Esquema de condiciones incluye información detallada sobre una condición, problema, diagnóstico o cualquier otro evento, situación, problema o concepto clínico que ha llegado a un nivel de atención.Condition schema covers detailed information about a condition, problem, diagnosis, or other event, situation, issue, or clinical concept that has risen to a level of concern.

Event GridEvent Grid

La solución es compatible con Azure Event Grid, un único servicio para administrar el enrutamiento de todos los eventos desde cualquier origen hasta cualquier destino que proporciona:The solution supports Azure Event Grid, a single service for managing routing of all events from any source to any destination, providing:

ALMACENAMIENTOSTORE

SQL Database y SQL ServerSQL Database and Server

Cuentas de almacenamientoStorage accounts

  • Los datos en movimiento se transfieren utilizando únicamente TLS/SSL.Data in motion is transferred using TLS/SSL only.

  • No se permite el acceso anónimo a los contenedores.Anonymous access is not allowed for containers.

  • Se configuran reglas de alertas para el seguimiento de actividades anónimas.Alert rules are configured for tracking anonymous activity.

  • Se requiere HTTPS para tener acceso a los recursos de la cuenta de almacenamiento.HTTPS is required for accessing storage account resources.

  • Los datos de la solicitud de autenticación se registran y supervisan.Authentication request data is logged and monitored.

  • Los datos de almacenamiento de blobs se cifran en reposo.Data in Blob storage is encrypted at rest.

ANÁLISISANALYZE

Machine LearningMachine Learning

SEGURIDADSECURITY

Azure Security CenterAzure Security Center

  • Azure Security Center proporciona una visión centralizada del estado de la seguridad de todos los recursos de Azure.Azure Security Center provides a centralized view of the security state of all your Azure resources. Podrá comprobar de un solo vistazo si los controles de seguridad adecuados se han implementado y configurado correctamente, y podrá identificar rápidamente cualquier recurso que requiera su atención.At a glance, you can verify that the appropriate security controls are in place and configured correctly, and you can quickly identify any resources that require attention.

  • Azure Advisor es un consultor en la nube personalizado que le ayudará a seguir los procedimientos recomendados para optimizar las implementaciones de Azure.Azure Advisor is a personalized cloud consultant that helps you follow best practices to optimize your Azure deployments. Analiza la configuración de recursos y la telemetría de uso, y recomienda soluciones que pueden ayudar a mejoran la rentabilidad, el rendimiento, la alta disponibilidad y la seguridad de los recursos de Azure.It analyzes your resource configuration and usage telemetry and then recommends solutions that can help you improve the cost effectiveness, performance, high availability, and security of your Azure resources.

Application InsightsApplication Insights

  • Application Insights es un servicio de Application Performance Management (APM) extensible para desarrolladores web en varias plataformas.Application Insights is an extensible Application Performance Management (APM) service for web developers on multiple platforms. Úselo para supervisar la aplicación web en directo.Use it to monitor your live web application. Detecta las anomalías de rendimiento.It detects performance anomalies. Incluye herramientas de análisis eficaces que le ayudan a diagnosticar problemas y comprender lo que hacen realmente los usuarios con la aplicación.It includes powerful analytics tools to help you diagnose issues and to understand what users actually do with your app. Está diseñado para ayudarle a mejorar continuamente el rendimiento y la facilidad de uso.It's designed to help you continuously improve performance and usability.

Alertas de AzureAzure Alerts

  • Las alertas ofrecen un método de supervisar los servicios de Azure y le permiten configurar condiciones en los datos.Alerts offer a method of monitoring Azure services and allow you to configure conditions over data. Las alertas también proporcionan notificaciones cuando una condición de alerta coincide con los datos supervisados.Alerts also provide notifications when an alert condition matches the monitoring data.

Registros de Azure MonitorAzure Monitor logs

Los registros de Azure Monitor son una colección de servicios de administración.Azure Monitor logs is a collection of management services.