Scenariusz firmy Lamna Healthcare na potrzeby analizy w skali chmury na platformie Azure
Ta architektura referencyjna jest napisana dla klientów, którzy chcą używać analizy w skali chmury nie tylko do skalowalności, ale także do zabezpieczania danych. Pokazuje ona, jak można kontrolować dostęp do poufnych danych i jak odpowiednio można zniewrażliwić dane, które mogą być udostępniane analitykom.
Profil klienta
Firma Lamna Healthcare (Lamna) oferuje usługi zarządzania pacjentami dostawcom usług opieki zdrowotnej. Obsługują wysoce wrażliwe dane pacjentów w trakcie swojej działalności. Dostęp do szczegółowych danych musi być starannie ograniczony. Firma Lamna chce jednak również bezpiecznie używać niektórych wersji tych danych w celu informowania o swoich praktykach biznesowych. Potrzebują mechanizmu udostępniania danych analitykom, który nie narusza praw dotyczących zaufania pacjentów ani ochrony danych.
Bieżąca sytuacja
Obecnie firma Lamna przechowuje wszystkie swoje dane lokalnie. Dane pacjentów są przechowywane w tradycyjnym systemie bazy danych. Jednak wraz ze wzrostem ich działalności i wzrostem ilości danych firma musi migrować swoje aplikacje pacjentów do chmury. W ramach tego przejścia firma chce skopiować dane z aplikacji do platformy analitycznej opartej na chmurze, która umożliwi analitykom lepsze wykorzystanie danych bez dodatkowego obciążenia bazy danych aplikacji.
Krytycznym problemem dla firmy Lamna jest bezpieczeństwo danych pacjentów. Jako firma zajmująca się opieką zdrowotną podlegają kilku różnym przepisom o ochronie danych.
Rozwiązanie architektoniczne
Firma Lamna wdroży analizę w skali chmury jako rozwiązanie dla platformy analizy opartej na chmurze. Polegają one na wielu strefach docelowych zarówno w celu zwiększenia skalowalności, jak i jasnego oddzielenia poufnych produktów danych.
Strefa docelowa zarządzania danymi
Krytycznym pojęciem dla każdej implementacji analizy w skali chmury jest posiadanie jednej strefy docelowej zarządzania danymi. Ta subskrypcja zawiera zasoby, które będą współużytkowane we wszystkich strefach docelowych. Obejmuje to składniki sieci udostępnionej, takie jak zapora i prywatne strefy DNS. Obejmuje również zasoby na potrzeby zarządzania danymi i chmurą. Microsoft Purview i Databricks Unity Catalog zostały wdrożone jako usługi na poziomie dzierżawy.
Strefa docelowa danych pacjentów
Na wykresie organizacyjnym firmy Lamna grupa zarządzania pacjentami jest częścią grupy operacyjnej. Jednak ze względu na skrajną wrażliwość używanych danych mają własną strefę docelową danych w architekturze analizy w skali chmury.
Ta strefa docelowa hostuje kopię szczegółowych danych pacjentów i dokumentacji kondycji z aplikacji do zarządzania pacjentami i powiązanymi produktami danych firmy. Te dane są ładowane do strefy lądowania przez aplikacje danych, które regularnie wprowadzają dane do chmury i umieszczają je w usłudze Azure Data Lake Storage.
Strefa docelowa danych operacyjnych
Grupa operacyjna w firmie Lamna jest odpowiedzialna za podstawową linię działalności firmy, a mianowicie świadczenie usług doradczych dostawcom usług opieki zdrowotnej. W strefie docelowej danych operacyjnych przechowują dane związane z tymi dostawcami opieki zdrowotnej i usługami, z którymi korzystają.
Podobnie jak wszystkie dane biznesowe, istnieje element poufności tych produktów danych, a firma Lamna chce chronić swoją listę klientów. Jednak ponieważ te dane nie zawierają informacji o zdrowiu osób fizycznych, nie podlegają najbardziej rygorystycznym przepisom dotyczącym ochrony danych.
Aplikacje danych
Strefa docelowa operacji ma aplikację danych , która ładuje dane dostawcy opieki zdrowotnej z lokalnego systemu operacyjnego firmy Lamna. Podobnie jak we wszystkich aplikacjach danych, dane trafiają do chmury as-is i nie stosuje się przekształceń do produktów danych.
Produkty danych
Analitycy w całej firmie Lamna potrzebują dostępu do danych, aby tworzyć raporty dla firmy. Jednak większość danych jest zbyt wrażliwa dla szerokiej publiczności. Aby bezpiecznie zapewnić dostęp do wysoce poufnych danych pacjentów, zespół operacyjny utworzył zestaw danych Tokenized patients produktu w strefie docelowej. Usługa Azure Data Factory kopiuje dane pacjentów ze strefy docelowej pacjentów. Jednak zespół był ostrożny, aby usunąć lub tokenizować wszystkie kolumny zawierające dane osobowe. Ten krok umożliwia analitykom używanie danych do celów biznesowych bez ujawniania żadnych danych osobowych pacjentów.
Strefa docelowa danych marketingowych
Grupa marketingowa koncentruje się na uzyskaniu nowych klientów i zarządzaniu pozycją firmy Lamna na platformie handlowej. Ich strefa docelowa marketingu jest używana głównie do przechowywania i analizowania produktów danych zewnętrznych na temat rynków, które obsługują i branży opieki zdrowotnej.
Jednak w celu wspierania nowego działania marketingowego grupa chce przeprowadzić badanie wyników zdrowotnych dla pacjentów obsługiwanych przez klientów Firmy Lamna. Mają nadzieję stworzyć raport oparty na faktach wspierany przez silne dowody statystyczne pokazujące, że ich podejście do opieki zdrowotnej prowadzi do lepszych wyników.
Aby wspierać ten nowy wysiłek, naukowcy w grupie marketingowej muszą uzyskiwać dostęp do wysoce poufnych danych pacjentów w bezpieczny i zgodny sposób, jednocześnie będąc w stanie uzyskać potrzebne im informacje.
Aby spełnić tę potrzebę, zespół ds. marketingu tworzy zagregowane produkty danych na podstawie tokenizowanego zestawu danych pacjentów utworzonego przez zespół operacyjny. Te zestawy danych nie zawierają indywidualnej dokumentacji zdrowotnej. Zamiast tego, przyporządkowują dane do różnych osi. Pomaga to naukowcom przeprowadzać badania populacji jako całości bez ryzyka dostępu do informacji o zdrowiu każdej osoby.
Rysunek 1. Diagram architektury Lamna. Nie wszystkie usługi platformy Azure są reprezentowane na diagramie. Upraszcza się to, aby uwypuklić główne koncepcje dotyczące organizacji zasobów w architekturze.
Uzasadnienie
Czy wszystkie poufne dane powinny zawsze mieć własną strefę docelową danych?
Nie. Tylko najbardziej ograniczone dane wymagające określonych zabezpieczeń, takich jak dostęp na czas lub klucze zarządzane przez klienta, wymagają własnej strefy lądowania. W przypadku innych scenariuszy inne funkcje ochrony danych na platformie Azure zapewniają wysoce bezpieczne środowisko danych. Obejmuje to zabezpieczenia na poziomie wiersza, zabezpieczenia na poziomie kolumny i zaszyfrowane kolumny.
Następne kroki
- Przejdź do szablonów wdrażania na potrzeby analizy w skali chmury.
- Dowiedz się więcej w Omówienie prywatności danych na potrzeby analizy w skali chmury w usłudze Azure.