Blauwdruk voor beveiliging en naleving van Azure - HIPAA/HITRUST-statusgegevens en AI

  • Artikel

Overzicht

De Blauwdruk voor beveiliging en naleving - HIPAA/HITRUST Health Data en AI biedt een turn-key-implementatie van een Azure PaaS- en IaaS-oplossing om te laten zien hoe u oplossingen kunt opnemen, opslaan, analyseren, identiteiten en veilig kunt implementeren met statusgegevens en tegelijkertijd kunt voldoen aan de nalevingsvereisten van de branche. Met de blauwdruk kunt u de acceptatie en het gebruik van de cloud versnellen voor klanten met gegevens die worden gereguleerd.

De Azure Security and Compliance Blueprint - HIPAA/HITRUST Health Data and AI Blueprint biedt hulpprogramma's en richtlijnen voor het implementeren van een veilige HIPAA (Health Insurance Portability and Accountability Act) en Health Information Trust Alliance (HITRUST) kant-en-klare PaaS-omgeving (Platform-as-a-Service) voor opname, opslag, analyse en interactie met persoonlijke en niet-persoonlijke medische records in een veilige, multilaagse cloudomgeving, geïmplementeerd als een end-to-end-oplossing.

De IaaS-oplossing laat zien hoe u een on-premises SQL-oplossing naar Azure migreert en een PAW (Privileged Access Workstation) implementeert om services en oplossingen in de cloud veilig te beheren. De IaaS-SQL Server-database voegt potentiële experimentengegevens toe in een SQL IaaS-VM en die VM maakt gebruik van geverifieerde MSI-toegang voor interactie met een SQL Azure PaaS-service. Beide laten een gemeenschappelijke referentiearchitectuur zien en zijn ontworpen om de acceptatie van Microsoft Azure te vereenvoudigen. Deze geboden architectuur illustreert een oplossing om te voldoen aan de behoeften van organisaties die op zoek zijn naar een cloudbenadering om de lasten en kosten van de implementatie te verminderen.

De oplossing is ontworpen om een voorbeeldgegevensset te gebruiken die is opgemaakt met Behulp van Fast Healthcare Interoperability Resources (FHIR), een wereldwijde standaard voor het elektronisch uitwisselen van informatie over gezondheidszorg en deze op een veilige manier op te slaan. Klanten kunnen vervolgens Azure Machine Learning Studio gebruiken om te profiteren van krachtige business intelligence-hulpprogramma's en analyses om voorspellingen te bekijken die zijn gedaan op de voorbeeldgegevens. Als voorbeeld van het soort experiment dat Azure Machine Learning Studio kan vergemakkelijken, bevat de blauwdruk een voorbeeldgegevensset, scripts en hulpprogramma's voor het voorspellen van de lengte van het verblijf van een patiënt in een ziekenhuisfaciliteit.

Deze blauwdruk is bedoeld als een modulaire basis voor klanten om zich aan te passen aan hun specifieke vereisten, het ontwikkelen van nieuwe Azure Machine Learning-experimenten om zowel klinische als operationele use-casescenario's op te lossen. Het is ontworpen om veilig en compatibel te zijn wanneer deze wordt geïmplementeerd; Klanten zijn echter verantwoordelijk voor het correct configureren van rollen en het implementeren van eventuele wijzigingen. Houd rekening met het volgende:

  • Deze blauwdruk biedt een basislijn om klanten te helpen Microsoft Azure te gebruiken in een HITRUST- en HIPAA-omgeving.

  • Hoewel de blauwdruk is ontworpen om te worden afgestemd op HIPAA en HITRUST (via het Common Security Framework -- CSF), moet deze pas als compatibel worden beschouwd als gecertificeerd door een externe auditor per HIPAA- en HITRUST-certificeringsvereisten.

  • Klanten zijn verantwoordelijk voor het uitvoeren van de juiste beveiligings- en nalevingsbeoordelingen van elke oplossing die is gebouwd met behulp van deze fundamentele architectuur.

De automatisering implementeren

  • Volg de instructies in de implementatierichtlijnen om de oplossing te implementeren.

  • Bekijk deze video waarin de implementatie wordt uitgelegd en gedemonstreerd voor een kort overzicht van hoe deze oplossing werkt.

  • Veelgestelde vragen vindt u in de richtlijnen voor veelgestelde vragen .

  • Architectuurdiagram. In het diagram ziet u de referentiearchitectuur die wordt gebruikt voor de blauwdruk en het voorbeeldscenario voor use-case.

  • IaaS-extensie Deze oplossing laat zien hoe u een on-premises SQL-oplossing naar Azure migreert en een Privileged Access Workstation implementeert om veilig cloudservices en oplossingen te beheren.

Oplossingsonderdelen

De basisarchitectuur bestaat uit de volgende onderdelen:

  • Bedreigingsmodel Een uitgebreid bedreigingsmodel is beschikbaar in tm7-indeling voor gebruik met de Microsoft Threat Modeling Tool, met daarin de onderdelen van de oplossing, de gegevensstromen ertussen en de vertrouwensgrenzen. Het model kan klanten helpen inzicht te krijgen in de potentiële risico's in de systeeminfrastructuur bij het ontwikkelen van Machine Learning Studio-onderdelen of andere wijzigingen.

  • Matrix voor klant-implementatie Een Microsoft Excel-werkmap bevat de relevante HITRUST-vereisten en legt uit hoe Microsoft en de klant verantwoordelijk zijn voor het voldoen aan elke vereisten.

  • Statusbeoordeling. De oplossing is beoordeeld door Coalfire systems, Inc. De HIPAA (Health Compliance, and HITRUST) Review and guidance for implementation biedt een auditor's review van de oplossing en overwegingen voor het transformeren van de blauwdruk naar een implementatie die gereed is voor productie.

Architectuurdiagram

Rollen

De blauwdruk definieert twee rollen voor gebruikers met beheerdersrechten (operators) en drie rollen voor gebruikers in ziekenhuisbeheer en patiëntenzorg. Een zesde rol wordt gedefinieerd voor een auditor om de naleving van HIPAA en andere voorschriften te evalueren. Op rollen gebaseerd Access Control (RBAC) van Azure maakt nauwkeurig gericht toegangsbeheer mogelijk voor elke gebruiker van de oplossing via ingebouwde en aangepaste rollen. Zie Aan de slag met Role-Based Access Control in de Azure Portal en ingebouwde rollen voor op rollen gebaseerd toegangsbeheer van Azure voor gedetailleerde informatie over RBAC, rollen en machtigingen.

Sitebeheerder

De sitebeheerder is verantwoordelijk voor het Azure-abonnement van de klant. Ze beheren de algehele implementatie, maar hebben geen toegang tot patiëntendossiers.

  • Standaardroltoewijzingen: Eigenaar

  • Aangepaste roltoewijzingen: N/B

  • Bereik: Abonnement

Databaseanalist

De databaseanalist beheert het SQL Server exemplaar en de database. Ze hebben geen toegang tot patiëntendossiers.

Data Scientist

De data scientist werkt met Azure Machine Learning Studio. Ze kunnen gegevens importeren, exporteren en beheren en rapporten uitvoeren. De data scientist heeft toegang tot patiëntgegevens, maar heeft geen beheerdersbevoegdheden.

Chief Medical Information Officer (CMIO)

De CMIO verdeelt tussen de verdelers/technologie en gezondheidszorgprofessionals in een zorgorganisatie. Hun taken omvatten meestal het gebruik van analyses om te bepalen of resources op de juiste manier worden toegewezen binnen de organisatie.

  • Ingebouwde roltoewijzingen: Geen

Care Line Manager

De zorglijnmanager is direct betrokken bij de zorg van patiënten. Deze rol vereist het controleren van de status van individuele patiënten en het waarborgen dat het personeel beschikbaar is om te voldoen aan de specifieke zorgvereisten van hun patiënten. De care line manager is verantwoordelijk voor het toevoegen en bijwerken van patiëntendossiers.

  • Ingebouwde roltoewijzingen: Geen

  • Aangepaste roltoewijzingen: heeft de bevoegdheid om HealthcareDemo.ps1 uit te voeren om zowel patiëntopname als ontslag uit te voeren.

  • Bereik: ResourceGroup

Accountant

De auditor evalueert de oplossing voor naleving. Ze hebben geen directe toegang tot het netwerk.

  • Ingebouwde roltoewijzingen: Lezer

  • Aangepaste roltoewijzingen: N/B

  • Bereik: Abonnement

Voorbeeld van use-case

In het voorbeeld van deze blauwdruk ziet u hoe de blauwdruk kan worden gebruikt om machine learning en analyses in te schakelen voor statusgegevens in de cloud. Contosoclinic is een klein ziekenhuis in de Verenigde Staten. De beheerders van het ziekenhuisnetwerk willen Azure Machine Learning Studio gebruiken om de duur van het verblijf van een patiënt op het moment van toelaten beter te voorspellen, om de efficiëntie van operationele werkbelastingen te verhogen en de kwaliteit van de zorg te verbeteren die het kan bieden.

Lengte van verblijf voorspellen

In het voorbeeldscenario van de use-case wordt Azure Machine Learning Studio gebruikt om de duur van het verblijf van een nieuw toegelaten patiënt te voorspellen door de medische gegevens van patiënteninname te vergelijken met geaggregeerde historische gegevens van eerdere patiënten. De blauwdruk bevat een grote set geanonimiseerde medische records om de training en voorspellende mogelijkheden van de oplossing te demonstreren. In een productie-implementatie gebruiken klanten hun eigen records om de oplossing te trainen voor nauwkeurigere voorspellingen die de unieke details van hun omgeving, faciliteiten en patiënten weerspiegelen.

Gebruikers en rollen

Sitebeheerder -- Alex

Email: Alex_SiteAdmin

Alex's taak is om technologieën te evalueren die de last van het beheren van een on-premises netwerk kunnen verminderen en de kosten voor beheer kunnen verlagen. Alex evalueert Azure al enige tijd, maar heeft moeite gehad om de services te configureren die hij nodig heeft om te voldoen aan de HiTrust-nalevingsvereisten voor het opslaan van patiëntgegevens in de cloud. Alex heeft de Azure Health AI geselecteerd voor het implementeren van een oplossing voor nalevingsklare status, die de vereisten heeft aangepakt om te voldoen aan de vereisten van de klant voor HiTrust.

Datawetenschapper -- Debra

Email: Debra_DataScientist

Debra is verantwoordelijk voor het gebruik en het maken van modellen die medische dossiers analyseren om inzicht te krijgen in patiëntenzorg. Debra gebruikt SQL en de statistische programmeertaal R om haar modellen te maken.

Databaseanalist -- Danny

Email: Danny_DBAnalyst

Danny is de belangrijkste contactpersoon voor alles met betrekking tot de Microsoft-SQL Server waarin alle patiëntgegevens voor Contosoclinic worden opgeslagen. Danny is een ervaren SQL Server beheerder die onlangs bekend is geworden met Azure SQL Database.

Chief Medical Information Officer -- Caroline

Caroline werkt samen met Chris the Care Line Manager en Debra de Datawetenschapper om te bepalen welke factoren van invloed zijn op de duur van de patiënt. Caroline gebruikt de voorspellingen van de los-oplossing (length-of-stay) om te bepalen of resources op de juiste wijze worden toegewezen in het ziekenhuisnetwerk. Gebruik bijvoorbeeld het dashboard dat in deze oplossing is opgegeven.

Care Line Manager - Chris

Email: Chris_CareLineManager

Als de persoon die rechtstreeks verantwoordelijk is voor het beheren van patiëntenopname en ontslagen bij Contosoclinic, gebruikt Chris de voorspellingen die zijn gegenereerd door de LOS-oplossing om ervoor te zorgen dat voldoende personeel beschikbaar is om patiënten zorg te bieden terwijl ze in de faciliteit verblijven.

Auditor -- Han

Email: Han_Auditor

Han is een gecertificeerde auditor die ervaring heeft met het controleren van ISO, SOC en HiTrust. Han werd ingehuurd om het netwerk van Contosoclinc te controleren. Han kan de Matrix klantverantwoordelijkheid bekijken die bij de oplossing is geleverd om ervoor te zorgen dat de blauwdruk en LOS-oplossing kunnen worden gebruikt voor het opslaan, verwerken en weergeven van gevoelige persoonsgegevens.

Ontwerpconfiguratie

In deze sectie worden de standaardconfiguraties en beveiligingsmaatregelen beschreven die zijn ingebouwd in de blauwdruk die wordt beschreven in:

  • Onbewerkte gegevensbronnen OPNEMEN, waaronder FHIR-gegevensbron
  • Gevoelige informatie OPSLAAN
  • RESULTATEN ANALYSEREN en voorspellen
  • INTERACTIE met de resultaten en voorspellingen
  • IDENTITEITSbeheer van oplossing
  • Functies met BEVEILIGING

IDENTITEIT

Azure Active Directory en op rollen gebaseerd toegangsbeheer (RBAC)

Verificatie:

  • Azure Active Directory (Azure AD) is de multitenant directory- en identiteitsbeheerservice van Microsoft. Alle gebruikers voor de oplossing zijn gemaakt in Azure Active Directory, inclusief gebruikers die toegang hebben tot de SQL Database.

  • Verificatie voor de toepassing wordt uitgevoerd met behulp van Azure AD. Raadpleeg Toepassingen integreren met Azure Active Directory voor meer informatie.

  • Azure Active Directory Identity Protection detecteert mogelijke beveiligingsproblemen die van invloed zijn op de identiteiten van uw organisatie, configureert geautomatiseerde reacties op gedetecteerde verdachte acties met betrekking tot de identiteiten van uw organisatie en onderzoekt verdachte incidenten en neemt de juiste actie om deze op te lossen.

  • Op rollen gebaseerd Access Control (RBAC) van Azure maakt nauwkeurig gericht toegangsbeheer mogelijk voor Azure. Abonnementstoegang is beperkt tot de abonnementsbeheerder en Azure Key Vault toegang is beperkt tot de sitebeheerder. Sterke wachtwoorden (minimaal 12 tekens met ten minste één hoofdletter, cijfer en speciaal teken) zijn vereist.

  • Meervoudige verificatie wordt ondersteund wanneer de schakeloptie -enableMFA is ingeschakeld tijdens de implementatie.

  • Wachtwoorden verlopen na 60 dagen wanneer de schakeloptie -enableADDomainPasswordPolicy is ingeschakeld tijdens de implementatie.

Rollen:

  • De oplossing maakt gebruik van ingebouwde rollen om de toegang tot resources te beheren.

  • Alle gebruikers krijgen standaard specifieke ingebouwde rollen toegewezen.

Azure Key Vault

  • Gegevens die zijn opgeslagen in Key Vault omvatten:

    • Application Insight-sleutel
    • Toegangssleutel voor patiëntgegevensopslag
    • Patiënt connection string
    • Tabelnaam patiëntgegevens
    • Azure ML-webservice-eindpunt
    • Azure ML Service-API-sleutel

  • Geavanceerd toegangsbeleid wordt op basis van behoefte geconfigureerd

  • Key Vault toegangsbeleid worden gedefinieerd met minimale vereiste machtigingen voor sleutels en geheimen

  • Alle sleutels en geheimen in Key Vault vervaldatums hebben

  • Alle sleutels in Key Vault worden beveiligd door HSM [Sleuteltype = HSM-beveiligde 2048-bits RSA-sleutel]

  • Alle gebruikers/identiteiten krijgen minimaal vereiste machtigingen met behulp van op rollen gebaseerde Access Control (RBAC)

  • Toepassingen delen geen Key Vault, tenzij ze elkaar vertrouwen en ze toegang nodig hebben tot dezelfde geheimen tijdens runtime

  • Diagnostische logboeken voor Key Vault zijn ingeschakeld met een bewaarperiode van ten minste 365 dagen.

  • Toegestane cryptografische bewerkingen voor sleutels zijn beperkt tot de vereiste bewerkingen

INSLIKKEN

Azure Functions

De oplossing is ontworpen om Azure Functions te gebruiken voor het verwerken van de voorbeeldlengte van gegevens die worden gebruikt in de analysedemo. Er zijn drie mogelijkheden in de functies gemaakt.

1. Bulkimport van klantgegevens phi-gegevens

Wanneer u het demoscript gebruikt. .\HealthcareDemo.ps1 met de BulkPatientAdmission-switch zoals beschreven in Implementeren en uitvoeren van de demo wordt de volgende verwerkingspijplijn uitgevoerd:

  1. Azure Blob Storage - Voorbeeld van patiëntgegevens .csv geüpload naar de opslag
  2. Event Grid - Gebeurtenis publiceert gegevens naar Azure Function (bulkimport - blobgebeurtenis)
  3. Azure Function : voert de verwerking uit en slaat de gegevens op in SQL Storage met behulp van de beveiligde functie - gebeurtenis (type; blob-URL)
  4. SQL DB : het databasearchief voor patiëntgegevens met behulp van tags voor classificatie en het ML-proces wordt gestart om het trainingsexperiment uit te voeren.

Daarnaast is de Azure-functie ontworpen om aangewezen gevoelige gegevens in de voorbeeldgegevensset te lezen en te beveiligen met behulp van de volgende tags:

  • dataProfile => "ePHI"
  • owner =><Site Beheer UPN>
  • environment => "Pilot"
  • department => "Global Ecosystem" De tagging is toegepast op de voorbeeldgegevensset waarbij de patiënt 'namen' is geïdentificeerd als duidelijke tekst.

2. Toelating van nieuwe patiënten

Wanneer u het demoscript gebruikt. .\HealthcareDemo.ps1 met de BulkPatientadmission-switch zoals beschreven in Implementeren en uitvoeren van de demo wordt de volgende verwerkingspijplijn uitgevoerd: 1. Azure Function geactiveerd en de functieaanvragen voor een bearer-token uit Azure Active Directory.

2. Key Vault aangevraagd voor een geheim dat is gekoppeld aan het aangevraagde token.

3. Azure-rollen valideren de aanvraag en autoriseren toegangsaanvraag voor de Key Vault.

4. Key Vault retourneert het geheim, in dit geval de SQL DB-verbindingsreeks.

5. Azure Function maakt gebruik van de connection string om veilig verbinding te maken met SQL Database en verdere verwerking voor het opslaan van ePHI-gegevens.

Om de gegevens op te slaan, is een gemeenschappelijk API-schema geïmplementeerd volgens Fast Healthcare Interoperability Resources (FHIR, uitgesproken als fire). De functie is voorzien van de volgende FHIR-uitwisselingselementen:

  • Patiëntschema dekt de 'wie'-informatie over een patiënt.

  • Observatieschema omvat het centrale element in de gezondheidszorg, dat wordt gebruikt om diagnose te ondersteunen, de voortgang te bewaken, basislijnen en patronen te bepalen en zelfs demografische kenmerken vast te leggen.

  • Het ontmoetingsschema omvat de soorten ontmoetingen, zoals ambulatorie, noodgevallen, thuisstatus, patiënten en virtuele ontmoetingen.

  • Voorwaardeschema bevat gedetailleerde informatie over een voorwaarde, probleem, diagnose of andere gebeurtenis, situatie, probleem of klinisch concept dat tot een niveau van bezorgdheid is gestegen.

Event Grid

De oplossing biedt ondersteuning voor Azure Event Grid, één service voor het beheren van routering van alle gebeurtenissen van elke bron naar elke bestemming. Dit biedt:

WINKEL

SQL Database en server

Opslagaccounts

  • Gegevens in beweging worden alleen overgedragen met TLS/SSL.

  • Anonieme toegang is niet toegestaan voor containers.

  • Waarschuwingsregels worden geconfigureerd voor het bijhouden van anonieme activiteiten.

  • HTTPS is vereist voor toegang tot opslagaccountbronnen.

  • Verificatieaanvraaggegevens worden geregistreerd en bewaakt.

  • Gegevens in Blob Storage worden at-rest versleuteld.

ANALYSEREN

Machine Learning

BEVEILIGING

Azure Security Center

  • Azure Security Center biedt een gecentraliseerde weergave van de beveiligingsstatus van al uw Azure-resources. In één oogopslag kunt u controleren of de juiste beveiligingscontroles zijn ingesteld en correct zijn geconfigureerd, en u kunt snel alle resources identificeren die aandacht vereisen.

  • Azure Advisor is een gepersonaliseerde cloudconsultant die u helpt best practices te volgen om uw Azure-implementaties te optimaliseren. Het analyseert uw resourceconfiguratie en gebruikstelemetrie, en raadt vervolgens oplossingen aan die u kunnen helpen de kosteneffectiviteit, prestaties, hoge beschikbaarheid en beveiliging van uw Azure-resources te verbeteren.

Application Insights

  • Application Insights is een uitbreidbare APM-service (Application Performance Management) voor webontwikkelaars op meerdere platforms. Hiermee kunt u uw livewebtoepassing controleren. Hiermee worden prestatieafwijkingen gedetecteerd. De service bevat krachtige analysehulpmiddelen om u te helpen bij het vaststellen van problemen en te begrijpen wat gebruikers daadwerkelijk doen met uw app. Het is bedoeld om u te helpen de prestaties en bruikbaarheid continu te verbeteren.

Azure-waarschuwingen

  • Waarschuwingen bieden een methode voor het bewaken van Azure-services en bieden u de mogelijkheid om voorwaarden voor gegevens te configureren. Waarschuwingen bieden ook meldingen wanneer een waarschuwingsvoorwaarde overeenkomt met de bewakingsgegevens.

Azure Monitor-logboeken

Azure Monitor-logboeken is een verzameling beheerservices.