Blauwdruk voor beveiliging en naleving van Azure - HIPAA/HITRUST-statusgegevens en AI
Overzicht
De Blauwdruk voor beveiliging en naleving - HIPAA/HITRUST Health Data en AI biedt een turn-key-implementatie van een Azure PaaS- en IaaS-oplossing om te laten zien hoe u oplossingen kunt opnemen, opslaan, analyseren, identiteiten en veilig kunt implementeren met statusgegevens en tegelijkertijd kunt voldoen aan de nalevingsvereisten van de branche. Met de blauwdruk kunt u de acceptatie en het gebruik van de cloud versnellen voor klanten met gegevens die worden gereguleerd.
De Azure Security and Compliance Blueprint - HIPAA/HITRUST Health Data and AI Blueprint biedt hulpprogramma's en richtlijnen voor het implementeren van een veilige HIPAA (Health Insurance Portability and Accountability Act) en Health Information Trust Alliance (HITRUST) kant-en-klare PaaS-omgeving (Platform-as-a-Service) voor opname, opslag, analyse en interactie met persoonlijke en niet-persoonlijke medische records in een veilige, multilaagse cloudomgeving, geïmplementeerd als een end-to-end-oplossing.
De IaaS-oplossing laat zien hoe u een on-premises SQL-oplossing naar Azure migreert en een PAW (Privileged Access Workstation) implementeert om services en oplossingen in de cloud veilig te beheren. De IaaS-SQL Server-database voegt potentiële experimentengegevens toe in een SQL IaaS-VM en die VM maakt gebruik van geverifieerde MSI-toegang voor interactie met een SQL Azure PaaS-service. Beide laten een gemeenschappelijke referentiearchitectuur zien en zijn ontworpen om de acceptatie van Microsoft Azure te vereenvoudigen. Deze geboden architectuur illustreert een oplossing om te voldoen aan de behoeften van organisaties die op zoek zijn naar een cloudbenadering om de lasten en kosten van de implementatie te verminderen.
De oplossing is ontworpen om een voorbeeldgegevensset te gebruiken die is opgemaakt met Behulp van Fast Healthcare Interoperability Resources (FHIR), een wereldwijde standaard voor het elektronisch uitwisselen van informatie over gezondheidszorg en deze op een veilige manier op te slaan. Klanten kunnen vervolgens Azure Machine Learning Studio gebruiken om te profiteren van krachtige business intelligence-hulpprogramma's en analyses om voorspellingen te bekijken die zijn gedaan op de voorbeeldgegevens. Als voorbeeld van het soort experiment dat Azure Machine Learning Studio kan vergemakkelijken, bevat de blauwdruk een voorbeeldgegevensset, scripts en hulpprogramma's voor het voorspellen van de lengte van het verblijf van een patiënt in een ziekenhuisfaciliteit.
Deze blauwdruk is bedoeld als een modulaire basis voor klanten om zich aan te passen aan hun specifieke vereisten, het ontwikkelen van nieuwe Azure Machine Learning-experimenten om zowel klinische als operationele use-casescenario's op te lossen. Het is ontworpen om veilig en compatibel te zijn wanneer deze wordt geïmplementeerd; Klanten zijn echter verantwoordelijk voor het correct configureren van rollen en het implementeren van eventuele wijzigingen. Houd rekening met het volgende:
Deze blauwdruk biedt een basislijn om klanten te helpen Microsoft Azure te gebruiken in een HITRUST- en HIPAA-omgeving.
Hoewel de blauwdruk is ontworpen om te worden afgestemd op HIPAA en HITRUST (via het Common Security Framework -- CSF), moet deze pas als compatibel worden beschouwd als gecertificeerd door een externe auditor per HIPAA- en HITRUST-certificeringsvereisten.
Klanten zijn verantwoordelijk voor het uitvoeren van de juiste beveiligings- en nalevingsbeoordelingen van elke oplossing die is gebouwd met behulp van deze fundamentele architectuur.
De automatisering implementeren
Volg de instructies in de implementatierichtlijnen om de oplossing te implementeren.
Bekijk deze video waarin de implementatie wordt uitgelegd en gedemonstreerd voor een kort overzicht van hoe deze oplossing werkt.
Veelgestelde vragen vindt u in de richtlijnen voor veelgestelde vragen .
Architectuurdiagram. In het diagram ziet u de referentiearchitectuur die wordt gebruikt voor de blauwdruk en het voorbeeldscenario voor use-case.
IaaS-extensie Deze oplossing laat zien hoe u een on-premises SQL-oplossing naar Azure migreert en een Privileged Access Workstation implementeert om veilig cloudservices en oplossingen te beheren.
Oplossingsonderdelen
De basisarchitectuur bestaat uit de volgende onderdelen:
Bedreigingsmodel Een uitgebreid bedreigingsmodel is beschikbaar in tm7-indeling voor gebruik met de Microsoft Threat Modeling Tool, met daarin de onderdelen van de oplossing, de gegevensstromen ertussen en de vertrouwensgrenzen. Het model kan klanten helpen inzicht te krijgen in de potentiële risico's in de systeeminfrastructuur bij het ontwikkelen van Machine Learning Studio-onderdelen of andere wijzigingen.
Matrix voor klant-implementatie Een Microsoft Excel-werkmap bevat de relevante HITRUST-vereisten en legt uit hoe Microsoft en de klant verantwoordelijk zijn voor het voldoen aan elke vereisten.
Statusbeoordeling. De oplossing is beoordeeld door Coalfire systems, Inc. De HIPAA (Health Compliance, and HITRUST) Review and guidance for implementation biedt een auditor's review van de oplossing en overwegingen voor het transformeren van de blauwdruk naar een implementatie die gereed is voor productie.
Architectuurdiagram
Rollen
De blauwdruk definieert twee rollen voor gebruikers met beheerdersrechten (operators) en drie rollen voor gebruikers in ziekenhuisbeheer en patiëntenzorg. Een zesde rol wordt gedefinieerd voor een auditor om de naleving van HIPAA en andere voorschriften te evalueren. Op rollen gebaseerd Access Control (RBAC) van Azure maakt nauwkeurig gericht toegangsbeheer mogelijk voor elke gebruiker van de oplossing via ingebouwde en aangepaste rollen. Zie Aan de slag met Role-Based Access Control in de Azure Portal en ingebouwde rollen voor op rollen gebaseerd toegangsbeheer van Azure voor gedetailleerde informatie over RBAC, rollen en machtigingen.
Sitebeheerder
De sitebeheerder is verantwoordelijk voor het Azure-abonnement van de klant. Ze beheren de algehele implementatie, maar hebben geen toegang tot patiëntendossiers.
Standaardroltoewijzingen: Eigenaar
Aangepaste roltoewijzingen: N/B
Bereik: Abonnement
Databaseanalist
De databaseanalist beheert het SQL Server exemplaar en de database. Ze hebben geen toegang tot patiëntendossiers.
Ingebouwde roltoewijzingen: Inzender voor SQL DB, SQL Server Inzender
Aangepaste roltoewijzingen: N/B
Bereik: ResourceGroup
Data Scientist
De data scientist werkt met Azure Machine Learning Studio. Ze kunnen gegevens importeren, exporteren en beheren en rapporten uitvoeren. De data scientist heeft toegang tot patiëntgegevens, maar heeft geen beheerdersbevoegdheden.
Ingebouwde roltoewijzingen: Inzender voor opslagaccounts
Aangepaste roltoewijzingen: N/B
Bereik: ResourceGroup
Chief Medical Information Officer (CMIO)
De CMIO verdeelt tussen de verdelers/technologie en gezondheidszorgprofessionals in een zorgorganisatie. Hun taken omvatten meestal het gebruik van analyses om te bepalen of resources op de juiste manier worden toegewezen binnen de organisatie.
- Ingebouwde roltoewijzingen: Geen
Care Line Manager
De zorglijnmanager is direct betrokken bij de zorg van patiënten. Deze rol vereist het controleren van de status van individuele patiënten en het waarborgen dat het personeel beschikbaar is om te voldoen aan de specifieke zorgvereisten van hun patiënten. De care line manager is verantwoordelijk voor het toevoegen en bijwerken van patiëntendossiers.
Ingebouwde roltoewijzingen: Geen
Aangepaste roltoewijzingen: heeft de bevoegdheid om HealthcareDemo.ps1 uit te voeren om zowel patiëntopname als ontslag uit te voeren.
Bereik: ResourceGroup
Accountant
De auditor evalueert de oplossing voor naleving. Ze hebben geen directe toegang tot het netwerk.
Ingebouwde roltoewijzingen: Lezer
Aangepaste roltoewijzingen: N/B
Bereik: Abonnement
Voorbeeld van use-case
In het voorbeeld van deze blauwdruk ziet u hoe de blauwdruk kan worden gebruikt om machine learning en analyses in te schakelen voor statusgegevens in de cloud. Contosoclinic is een klein ziekenhuis in de Verenigde Staten. De beheerders van het ziekenhuisnetwerk willen Azure Machine Learning Studio gebruiken om de duur van het verblijf van een patiënt op het moment van toelaten beter te voorspellen, om de efficiëntie van operationele werkbelastingen te verhogen en de kwaliteit van de zorg te verbeteren die het kan bieden.
Lengte van verblijf voorspellen
In het voorbeeldscenario van de use-case wordt Azure Machine Learning Studio gebruikt om de duur van het verblijf van een nieuw toegelaten patiënt te voorspellen door de medische gegevens van patiënteninname te vergelijken met geaggregeerde historische gegevens van eerdere patiënten. De blauwdruk bevat een grote set geanonimiseerde medische records om de training en voorspellende mogelijkheden van de oplossing te demonstreren. In een productie-implementatie gebruiken klanten hun eigen records om de oplossing te trainen voor nauwkeurigere voorspellingen die de unieke details van hun omgeving, faciliteiten en patiënten weerspiegelen.
Gebruikers en rollen
Sitebeheerder -- Alex
Email: Alex_SiteAdmin
Alex's taak is om technologieën te evalueren die de last van het beheren van een on-premises netwerk kunnen verminderen en de kosten voor beheer kunnen verlagen. Alex evalueert Azure al enige tijd, maar heeft moeite gehad om de services te configureren die hij nodig heeft om te voldoen aan de HiTrust-nalevingsvereisten voor het opslaan van patiëntgegevens in de cloud. Alex heeft de Azure Health AI geselecteerd voor het implementeren van een oplossing voor nalevingsklare status, die de vereisten heeft aangepakt om te voldoen aan de vereisten van de klant voor HiTrust.
Datawetenschapper -- Debra
Email: Debra_DataScientist
Debra is verantwoordelijk voor het gebruik en het maken van modellen die medische dossiers analyseren om inzicht te krijgen in patiëntenzorg. Debra gebruikt SQL en de statistische programmeertaal R om haar modellen te maken.
Databaseanalist -- Danny
Email: Danny_DBAnalyst
Danny is de belangrijkste contactpersoon voor alles met betrekking tot de Microsoft-SQL Server waarin alle patiëntgegevens voor Contosoclinic worden opgeslagen. Danny is een ervaren SQL Server beheerder die onlangs bekend is geworden met Azure SQL Database.
Chief Medical Information Officer -- Caroline
Caroline werkt samen met Chris the Care Line Manager en Debra de Datawetenschapper om te bepalen welke factoren van invloed zijn op de duur van de patiënt. Caroline gebruikt de voorspellingen van de los-oplossing (length-of-stay) om te bepalen of resources op de juiste wijze worden toegewezen in het ziekenhuisnetwerk. Gebruik bijvoorbeeld het dashboard dat in deze oplossing is opgegeven.
Care Line Manager - Chris
Email: Chris_CareLineManager
Als de persoon die rechtstreeks verantwoordelijk is voor het beheren van patiëntenopname en ontslagen bij Contosoclinic, gebruikt Chris de voorspellingen die zijn gegenereerd door de LOS-oplossing om ervoor te zorgen dat voldoende personeel beschikbaar is om patiënten zorg te bieden terwijl ze in de faciliteit verblijven.
Auditor -- Han
Email: Han_Auditor
Han is een gecertificeerde auditor die ervaring heeft met het controleren van ISO, SOC en HiTrust. Han werd ingehuurd om het netwerk van Contosoclinc te controleren. Han kan de Matrix klantverantwoordelijkheid bekijken die bij de oplossing is geleverd om ervoor te zorgen dat de blauwdruk en LOS-oplossing kunnen worden gebruikt voor het opslaan, verwerken en weergeven van gevoelige persoonsgegevens.
Ontwerpconfiguratie
In deze sectie worden de standaardconfiguraties en beveiligingsmaatregelen beschreven die zijn ingebouwd in de blauwdruk die wordt beschreven in:
- Onbewerkte gegevensbronnen OPNEMEN, waaronder FHIR-gegevensbron
- Gevoelige informatie OPSLAAN
- RESULTATEN ANALYSEREN en voorspellen
- INTERACTIE met de resultaten en voorspellingen
- IDENTITEITSbeheer van oplossing
- Functies met BEVEILIGING
IDENTITEIT
Azure Active Directory en op rollen gebaseerd toegangsbeheer (RBAC)
Verificatie:
Azure Active Directory (Azure AD) is de multitenant directory- en identiteitsbeheerservice van Microsoft. Alle gebruikers voor de oplossing zijn gemaakt in Azure Active Directory, inclusief gebruikers die toegang hebben tot de SQL Database.
Verificatie voor de toepassing wordt uitgevoerd met behulp van Azure AD. Raadpleeg Toepassingen integreren met Azure Active Directory voor meer informatie.
Azure Active Directory Identity Protection detecteert mogelijke beveiligingsproblemen die van invloed zijn op de identiteiten van uw organisatie, configureert geautomatiseerde reacties op gedetecteerde verdachte acties met betrekking tot de identiteiten van uw organisatie en onderzoekt verdachte incidenten en neemt de juiste actie om deze op te lossen.
Op rollen gebaseerd Access Control (RBAC) van Azure maakt nauwkeurig gericht toegangsbeheer mogelijk voor Azure. Abonnementstoegang is beperkt tot de abonnementsbeheerder en Azure Key Vault toegang is beperkt tot de sitebeheerder. Sterke wachtwoorden (minimaal 12 tekens met ten minste één hoofdletter, cijfer en speciaal teken) zijn vereist.
Meervoudige verificatie wordt ondersteund wanneer de schakeloptie -enableMFA is ingeschakeld tijdens de implementatie.
Wachtwoorden verlopen na 60 dagen wanneer de schakeloptie -enableADDomainPasswordPolicy is ingeschakeld tijdens de implementatie.
Rollen:
De oplossing maakt gebruik van ingebouwde rollen om de toegang tot resources te beheren.
Alle gebruikers krijgen standaard specifieke ingebouwde rollen toegewezen.
Azure Key Vault
Gegevens die zijn opgeslagen in Key Vault omvatten:
- Application Insight-sleutel
- Toegangssleutel voor patiëntgegevensopslag
- Patiënt connection string
- Tabelnaam patiëntgegevens
- Azure ML-webservice-eindpunt
- Azure ML Service-API-sleutel
Geavanceerd toegangsbeleid wordt op basis van behoefte geconfigureerd
Key Vault toegangsbeleid worden gedefinieerd met minimale vereiste machtigingen voor sleutels en geheimen
Alle sleutels en geheimen in Key Vault vervaldatums hebben
Alle sleutels in Key Vault worden beveiligd door HSM [Sleuteltype = HSM-beveiligde 2048-bits RSA-sleutel]
Alle gebruikers/identiteiten krijgen minimaal vereiste machtigingen met behulp van op rollen gebaseerde Access Control (RBAC)
Toepassingen delen geen Key Vault, tenzij ze elkaar vertrouwen en ze toegang nodig hebben tot dezelfde geheimen tijdens runtime
Diagnostische logboeken voor Key Vault zijn ingeschakeld met een bewaarperiode van ten minste 365 dagen.
Toegestane cryptografische bewerkingen voor sleutels zijn beperkt tot de vereiste bewerkingen
INSLIKKEN
Azure Functions
De oplossing is ontworpen om Azure Functions te gebruiken voor het verwerken van de voorbeeldlengte van gegevens die worden gebruikt in de analysedemo. Er zijn drie mogelijkheden in de functies gemaakt.
1. Bulkimport van klantgegevens phi-gegevens
Wanneer u het demoscript gebruikt. .\HealthcareDemo.ps1 met de BulkPatientAdmission-switch zoals beschreven in Implementeren en uitvoeren van de demo wordt de volgende verwerkingspijplijn uitgevoerd:
- Azure Blob Storage - Voorbeeld van patiëntgegevens .csv geüpload naar de opslag
- Event Grid - Gebeurtenis publiceert gegevens naar Azure Function (bulkimport - blobgebeurtenis)
- Azure Function : voert de verwerking uit en slaat de gegevens op in SQL Storage met behulp van de beveiligde functie - gebeurtenis (type; blob-URL)
- SQL DB : het databasearchief voor patiëntgegevens met behulp van tags voor classificatie en het ML-proces wordt gestart om het trainingsexperiment uit te voeren.
Daarnaast is de Azure-functie ontworpen om aangewezen gevoelige gegevens in de voorbeeldgegevensset te lezen en te beveiligen met behulp van de volgende tags:
- dataProfile => "ePHI"
- owner =><Site Beheer UPN>
- environment => "Pilot"
- department => "Global Ecosystem" De tagging is toegepast op de voorbeeldgegevensset waarbij de patiënt 'namen' is geïdentificeerd als duidelijke tekst.
2. Toelating van nieuwe patiënten
Wanneer u het demoscript gebruikt. .\HealthcareDemo.ps1 met de BulkPatientadmission-switch zoals beschreven in Implementeren en uitvoeren van de demo wordt de volgende verwerkingspijplijn uitgevoerd: 1. Azure Function geactiveerd en de functieaanvragen voor een bearer-token uit Azure Active Directory.
2. Key Vault aangevraagd voor een geheim dat is gekoppeld aan het aangevraagde token.
3. Azure-rollen valideren de aanvraag en autoriseren toegangsaanvraag voor de Key Vault.
4. Key Vault retourneert het geheim, in dit geval de SQL DB-verbindingsreeks.
5. Azure Function maakt gebruik van de connection string om veilig verbinding te maken met SQL Database en verdere verwerking voor het opslaan van ePHI-gegevens.
Om de gegevens op te slaan, is een gemeenschappelijk API-schema geïmplementeerd volgens Fast Healthcare Interoperability Resources (FHIR, uitgesproken als fire). De functie is voorzien van de volgende FHIR-uitwisselingselementen:
Patiëntschema dekt de 'wie'-informatie over een patiënt.
Observatieschema omvat het centrale element in de gezondheidszorg, dat wordt gebruikt om diagnose te ondersteunen, de voortgang te bewaken, basislijnen en patronen te bepalen en zelfs demografische kenmerken vast te leggen.
Het ontmoetingsschema omvat de soorten ontmoetingen, zoals ambulatorie, noodgevallen, thuisstatus, patiënten en virtuele ontmoetingen.
Voorwaardeschema bevat gedetailleerde informatie over een voorwaarde, probleem, diagnose of andere gebeurtenis, situatie, probleem of klinisch concept dat tot een niveau van bezorgdheid is gestegen.
Event Grid
De oplossing biedt ondersteuning voor Azure Event Grid, één service voor het beheren van routering van alle gebeurtenissen van elke bron naar elke bestemming. Dit biedt:
Op rollen gebaseerd toegangsbeheer voor verschillende beheerbewerkingen, zoals het weergeven van gebeurtenisabonnementen, het maken van nieuwe en het genereren van sleutels
Controleren
WINKEL
SQL Database en server
Transparent Data Encryption (TDE) biedt realtime versleuteling en ontsleuteling van gegevens die zijn opgeslagen in de Azure SQL Database, met behulp van een sleutel die is opgeslagen in Azure Key Vault.
SQL Vulnerability Assessment is een eenvoudig te configureren hulpprogramma waarmee potentiële beveiligingsproblemen in databases kunnen worden gedetecteerd, bijgehouden en hersteld.
SQL Database Bedreigingsdetectie ingeschakeld.
SQL Database Controle ingeschakeld.
SQL Database metrische gegevens en diagnostische logboekregistratie ingeschakeld.
Firewallregels op server- en databaseniveau zijn aangescherpt.
Always Encrypted kolommen worden gebruikt om de eerste, middelste en achternaam van de patiënt te beschermen. Daarnaast maakt de databasekolomversleuteling ook gebruik van Azure Active Directory (AD) om de toepassing te verifiëren bij Azure SQL Database.
Toegang tot SQL Database en SQL Server wordt geconfigureerd volgens het principe van minimale bevoegdheden.
Alleen vereiste IP-adressen zijn toegang via de SQL-firewall toegestaan.
Opslagaccounts
Gegevens in beweging worden alleen overgedragen met TLS/SSL.
Anonieme toegang is niet toegestaan voor containers.
Waarschuwingsregels worden geconfigureerd voor het bijhouden van anonieme activiteiten.
HTTPS is vereist voor toegang tot opslagaccountbronnen.
Verificatieaanvraaggegevens worden geregistreerd en bewaakt.
Gegevens in Blob Storage worden at-rest versleuteld.
ANALYSEREN
Machine Learning
- Logboekregistratie is ingeschakeld voor Machine Learning Studio-webservices.
- Het gebruik van Machine Learning Studio vereist de ontwikkeling van experimenten die de mogelijkheid bieden om een oplossingsset te voorspellen.
BEVEILIGING
Azure Security Center
Azure Security Center biedt een gecentraliseerde weergave van de beveiligingsstatus van al uw Azure-resources. In één oogopslag kunt u controleren of de juiste beveiligingscontroles zijn ingesteld en correct zijn geconfigureerd, en u kunt snel alle resources identificeren die aandacht vereisen.
Azure Advisor is een gepersonaliseerde cloudconsultant die u helpt best practices te volgen om uw Azure-implementaties te optimaliseren. Het analyseert uw resourceconfiguratie en gebruikstelemetrie, en raadt vervolgens oplossingen aan die u kunnen helpen de kosteneffectiviteit, prestaties, hoge beschikbaarheid en beveiliging van uw Azure-resources te verbeteren.
Application Insights
- Application Insights is een uitbreidbare APM-service (Application Performance Management) voor webontwikkelaars op meerdere platforms. Hiermee kunt u uw livewebtoepassing controleren. Hiermee worden prestatieafwijkingen gedetecteerd. De service bevat krachtige analysehulpmiddelen om u te helpen bij het vaststellen van problemen en te begrijpen wat gebruikers daadwerkelijk doen met uw app. Het is bedoeld om u te helpen de prestaties en bruikbaarheid continu te verbeteren.
Azure-waarschuwingen
- Waarschuwingen bieden een methode voor het bewaken van Azure-services en bieden u de mogelijkheid om voorwaarden voor gegevens te configureren. Waarschuwingen bieden ook meldingen wanneer een waarschuwingsvoorwaarde overeenkomt met de bewakingsgegevens.
Azure Monitor-logboeken
Azure Monitor-logboeken is een verzameling beheerservices.
Werkruimte is ingeschakeld voor Security Center
Werkruimte is ingeschakeld voor workloadbewaking
Workloadbewaking is ingeschakeld voor:
Identiteit en toegang
Beveiliging en audit
Azure SQL DB Analytics
Azure WebApp Analytics Oplossing
Key Vault-analyse
Wijzigingen bijhouden
Application Insights-connector (preview) is ingeschakeld
Analyse van activiteitenlogboeken is ingeschakeld