O blog da AWS
Case de sucesso: Como a Unicamp construiu uma arquitetura resiliente e migrou o AGHUse para a AWS
Por Cristiano Scandura, Arquiteto de Soluções, Educação no Setor Público (WWPS)
Estamos vivenciando uma nova era da informação aberta no âmbito da saúde. Isto se deve à adoção generalizada do Registro Eletrônico de Saúde (RES) nos últimos anos e ao crescente interesse na análise e gestão destes registros. O avanço brasileiro na informatização da saúde, com mais unidades conectadas e maior uso de sistemas de gestão de dados de pacientes representam, em 2022, uma cobertura de 88% das unidades nacionais, segundo estudo realizado pelo Comitê Gestor de Internet.
Deste modo, os Sistemas de Gestão Hospitalar (SGH) precisam ser mais escaláveis, seguros e resilientes para melhorar a prestação do serviço assistencial e ser mais ágeis na adequação das rotinas dos profissionais de saúde.
A área de saúde da UNICAMP
A Área de Saúde da Unicamp é formada por um complexo hospitalar envolvendo o Hospital de Clínicas (HC), Hospital da Mulher “Professor Doutor José Aristodemo Pinotti” – Centro de Atenção Integral à Saúde da Mulher (Caism), Centro de Hematologia e Hemoterapia (Hemocentro), Centro de Estudos e Pesquisas em Reabilitação “Prof. Dr. Gabriel O.S. Porto” (Cepre), Instituto de Otorrinolaringologia & Cirurgia de Cabeça e Pescoço (IOU), Centro de Diagnóstico de Doenças do Aparelho Digestivo (Gastrocentro), Centro Integrado de Pesquisas Oncohematológicas na Infância (Cipoi) e Centro de Saúde da Comunidade (Cecom). Essa área como um todo, atua em consonância com a Faculdade de Ciências Médicas (FCM) e realiza atividades de ensino, pesquisa, assistência e extensão. Atende cerca de 500 mil pacientes por ano, principalmente provenientes da macrorregião de Campinas e sul de Minas Gerais.
A Área da Saúde Unicamp, está situada entre os maiores complexos hospitalares públicos do Estado de São Paulo. Presta atendimento de nível terciário e quaternário, ou seja, de alta complexidade. É um centro de excelência médica nacional que soma mais de cinco mil profissionais, distribuídos nos mais diversos setores, trabalha com o comprometimento de uma equipe multidisciplinar e com equipamentos médico-hospitalares de última geração, o que a distingue como um dos poucos do interior do Estado.
O AGHUse
O desenvolvimento do Aplicativo de Gestão de Hospitais Universitários (AGHUse) iniciou-se em 2009, como parte integrante do Programa Nacional de Reestruturação dos Hospitais Universitários Federais (REHUF), do Ministério da Educação, destinado à reestruturação e revitalização dos hospitais das universidades federais, que utilizou a base do sistema AGH, uma solução interna do Hospital de Clínicas de Porto Alegre (HCPA).
Hoje essa plataforma abrangente de gestão de saúde é um software colaborativo que vem sendo adotado por diversas universidades e órgãos públicos no Brasil, entre elas o Hospital de Clínicas de Porto Alegre (HCPA), Exército Brasileiro (EB), Força Aérea Brasileira (FAB), Marinha do Brasil (MB), Secretaria do Estado da Bahia (SESAB), Universidade Estadual de Campinas (Unicamp), Universidade Federal do Rio de Janeiro (UFRJ) e Universidade Federal do Rio Grande do Sul (UFRGS), todas integrantes da Comunidade AGHUse.
O desafio
Como a aplicação AGHUse mantêm processos críticos da assistência ao paciente como pronto atendimento, cirurgias, exames, internação, farmácia, faturamento, prontuários eletrônicos, entre outras, além de módulos para a completa operação e gestão do hospital, a sua manutenção é crítica, requer altos padrões de disponibilidade e baixo tempo de resposta à recuperação de desastres, próximo a zero. Com recursos limitados e processos complexos para a ampliação da infraestrutura, o time de TI da Unicamp responsável pelo setor de saúde não tinha como garantir que tais requisitos seriam cumpridos no ambiente on-premise.
Este cenário contribuiu para o estudo de viabilidade de migração da aplicação para uma nuvem pública, possibilitando provisionar, configurar e escalar os recursos de forma ágil e segura, tendo em vista a necessidade de uma resposta rápida à gestão. A partir deste momento, a AWS passou a auxiliar a UNICAMP na jornada de habilitação do time técnico e na migração da principal aplicação do hospital.
Engajamento e solução
A AWS no Brasil conta com um time de especialistas para o atendimento ao Setor Público e durante as reuniões com a Unicamp, houve transferência de conhecimento. Mais importante que a migração era garantir que o time estivesse preparado para aplicar boas práticas na operação em nuvem. Deste modo, foram realizados seminários e treinamentos sobre assuntos importantes como migração, segurança, resiliência e fundação em nuvem.
Após estes treinamentos, um desenho de arquitetura (Figura 1) foi criado e revisado com o time da Unicamp. E para validar o funcionamento da arquitetura e reduzir qualquer insegurança, foi executada uma prova de conceito (PoC), com a migração do ambiente de testes.
Figura 1: Arquitetura de referência do AGHUse na AWS.
O desenho seguiu as recomendações publicadas no AWS Well Architected Framework e seus pilares. Pontos importantes de segurança, custos e operação pautaram as discussões, por exemplo, como seria a proteção periférica, acesso dos usuários, controles e perfis de acesso, monitoração e registros de eventos.
Para reduzir riscos de indisponibilidade do servidor de nome, o domínio do sistema AGHUse é administrado no Amazon Route 53, serviço gerenciado de resolução de nomes da AWS que garante um SLA de 100% e que já incluí o AWS Shield, uma proteção contra ataques de negação de serviços (DDoS) impedindo ataques de DNS Flood. Além destas funcionalidades, o Route 53 conta ainda com configurações de checagem de disponibilidade (healthcheck) podendo redirecionar as requisições para outras estruturas, até mesmo, um ambiente on-premise.
Para reduzir custos de armazenamento e melhorar a experiência dos usuários, foi utilizado o Amazon CloudFront, serviço de entrega de conteúdo (CDN), que também já tem a proteção contra ataques DDoS na camada 4 com o AWS Shield. Em cenários de muitas aplicações que estão sendo migradas para AWS, com uma simples configuração, o CloudFront pode retirar dos servidores de aplicação a responsabilidade de armazenar o conteúdo estático, sendo este movido e servido diretamente pelo Amazon Simple Storage Service (S3). Isto faz com que a entrega do conteúdo estático seja feito com baixas latências e em alta velocidade.
As requisições direcionadas para a aplicação tendo como ponto de exposição o Application Load Balancer (ALB), serviço gerenciado pela a AWS e altamente escalável. Todas as solicitações são criptografadas utilizando certificados SSL fornecido gratuitamente e atualizados automaticamente pelo AWS Certificated Manager (ACM). Além da criptografia em trânsito, proteções importantes contra ataques, como restrição de acessos externos, são implementados pelo AWS Web Application Firewall (WAF).
Os componentes que faziam parte da aplicação, que utilizam servidores de aplicação JBOSS Wildfly, foram migrados em containers para o Amazon Elastic Containers Services (ECS) com AWS Fargate, distribuídos em múltiplas zonas de disponibilidade. O ECS com Fargate permite escalar rapidamente a quantidade de tasks sem a utilização de servidores, com a adequação dos recursos necessários a demanda com o uso de Auto Scaling.
Para compartilhar arquivos entre as tasks do ECS está sendo utilizado o Amazon Elastic File System, serviço gerenciado da AWS para armazenamento de arquivos sem servidor e utilizando o Intelligent-Tiering, uma função de gestão do ciclo de vida de arquivos que monitora os acessos aos arquivos e move automaticamente arquivos sem acesso para diferentes classes de armazenamento com o objetivo de reduzir custos.
O banco de dados utilizado no AGHUse é o PostgreSQL e houve uma migração para o serviço Amazon Aurora, trabalhando em múltiplas zonas de disponibilidade. Somente essa migração já melhorou o tempo de resposta das consultas na aplicação.
Segurança e conformidade
Para manter seguro todo ambiente, além da proteção periférica, está sendo implementado o ambiente de múltiplas contas e governado com o uso do AWS Control Tower, para o isolamento entre ambiente da aplicação e o uso de serviços de segurança.
Deste modo, controles preventivos são habilitados através de Políticas de Uso de Serviços (Services Control Policies – SCP), por exemplo, impedindo que usuários e administradores desabilitem o AWS CloudTrail, serviço utilizado para a rastreabilidade de ações de usuários no ambiente da AWS.
Como a aplicação trata de dados pessoais de pacientes, existe a necessidade que o ambiente de infraestrutura esteja em conformidade com leis de proteção de dados e neste sentido, a AWS tem os certificados de conformidade da Health Insurance Portability and Accountability Act – HIPAA que inclui a proteção dos dados através do Protected Health Information (PHI – Informações de saúde protegidas).
Automação para implantações de ambientes
A redução considerável no tempo de sustentação e operação do ambiente, foi possível utilizando a automação das esteiras de desenvolvimento para implantação de infraestrutura e da aplicação. O time da Unicamp desenvolveu um portal com arquitetura sem servidor ou serverless (Figura 2) onde os usuários podem acessar os ambientes de homologação da aplicação tanto na AWS quanto nos datacenters da Unicamp.
Figura 2: Arquitetura do portal de implantações
Através da execução de uma atividade no Jenkins da instituição, todo um novo ambiente é criado. Funções AWS Lambda são executadas para disparar a construção da infraestrutura, padronizada com um Launch Template. As informações do ambiente novo são salvas no Amazon DynamoDB, um banco de dados não relacional que pode ser usado para qualquer escala. A listagem dos dados do ambiente é feita por uma aplicação Javascript armazenada num bucket S3, publicada utilizando Amazon CloudFront e com autenticação através do AWS Cognito.
O desenvolvimento deste portal foi possível graças aos treinamentos e certificações AWS feitos pelos Arquitetos de Soluções da Unicamp.
Palavra do cliente
“Os resultados obtidos foram além da melhoria de infraestrutura esperada. Ganhamos com a capacitação da equipe do HC da Unicamp através de material de apoio abrangente e respectivas certificações, com a devida orientação da AWS, possibilitando que a migração do AGHUse fosse feita pelo time do HC, após um planejamento em conjunto com a equipe AWS. A oferta de um amplo conjunto de recursos de nuvem e ferramentas de apoio facilitam a migração para a nuvem e seu acompanhamento de forma sistemática. Tudo isso feito tendo como objetivo utilizar os recursos da nuvem da melhor forma possível, do ponto de vista da aplicação.” – Prof. Ricardo Dahab, Cleusa Milani (Pi), Prof. Fernando Vanini
Conclusão
A migração do AGHUse para serviços gerenciados da AWS trouxe maior resiliência, segurança e menor tempo de resposta, entregando melhor experiência para os usuários, além de permitir, ao time de TI da Unicamp focar seus esforços nas atividades realmente importantes para manutenção do ambiente da aplicação, através do modelo de responsabilidade compartilhada da AWS.
Sobre os autores
Cristiano Scandura trabalha com TI desde 1998, graduado pela Universidade Mackenzie, ingressou na AWS em 2018 atuando com projetos para clientes de grande porte no setor privado. Atualmente, é Arquiteto de Soluções no segmento de Educação em setor público.
Daniel Cardoso, profissional de TI com mais de 15 anos de experiência, incluindo mais de uma década na Unicamp. Graduado em Sistemas de Informação com Especialização em Redes, ele é entusiasta de novas tecnologias. Atualmente, contribui com a equipe de DevOps do HC-Unicamp.
Tiago S Dias, profissional de TI desde 2006, atuando nas áreas de DevOps e arquitetura de soluções do HC – Unicamp. Atualmente possui as certificações AWS de Solutions Architect e SysOps administrator associate.
Marco Antonio Pacheco Junior, profissional de TI com mais de 22 anos de experiência profissional em projetos (PMP e DASSM) e tecnologias focadas na transformação digital no setor público e privado. Com certificações PMP, DASSM e outras, buscando sempre inovações e melhorias nos negócios com a implementação da tecnologia.
Cleusa Regina M R Milani, Bacharel em Ciência da Computação pela Unicamp, 1979, profissional de TI com mais de 30 anos de experiência profissional na área de saúde. Atualmente é coordenadora da divisão de tecnologia de informação do HC da Unicamp.
Ricardo Dahab , Docente e Diretor de Tecnologia da Informação e Comunicação da Unicamp, professor titular do Instituto de Computação da Universidade Estadual de Campinas, UNICAMP. Tem mestrado pela UNICAMP em Criptografia e doutorado pela Universidade de Waterloo, Canadá, em Combinatória e Otimização.
Fernando Vanini, bacharel em Computação (IC-Unicamp, 1972), professor assistente (IC-Unicamp, 1973 – 2017), atuação em várias empresas (CPqD, Alcatel, Opus-Software, Klais Soluções, Prime Builder) nas áreas de gerência de projeto e arquitetura de software. Atualmente participa do processo de implantação do AGHUse no HC-Unicamp
Jacson Barros é Especialista em Healthcare com 30 anos de experiência em Health IT. Graduado em Engenharia Elétrica e Doutor em Ciência pela Faculdade de Medicina da USP. Possui experiência em projetos de saúde pública e privada e projetos de machine learning e inteligência artificial em saúde.