O blog da AWS
Como a eMaster automatizou e viabilizou o uso do e-SUS AB para prefeituras
Por Roger Tanure, CEO, eMaster;
Willy Ramos de Moura, Arquiteto de Soluções, eMaster;
Saulo Sander, Analista de Dados, eMaster;
Felipe Martinez Gonzales, Senior Partner Solutions Architect, AWS.
Jacson Venâncio de Barros, Healthcare Specialist, AWS
Introdução
A Atenção primária é a principal porta de entrada e centro articulador do acesso dos usuários ao Sistema Único de Saúde (SUS) e às Redes de Atenção à Saúde, ofertando cuidados primários essenciais que por meio de equipes de saúde da família, priorizam ações de promoção, proteção e recuperação de saúde, de forma integral e continuada. Foram criados incentivos financeiros para ampliar o acesso da população aos serviços de saúde, disponibilizando recursos para que os municípios invistam em infraestrutura, recursos humanos, tecnologia da informação e comunicação.
De 48 mil unidades básicas de saúde espalhadas pelo Brasil, 18 mil unidades utilizam prontuário eletrônico e-SUS AB, desenvolvido pelo Ministério da Saúde em parceria com o Laboratório Bridge da Universidade Federal de Santa Catarina – UFSC e distribuído gratuitamente a qualquer ente federal.
O e-SUS Atenção Básica (e-SUS AB) é uma estratégia do Ministério da Saúde através do Departamento de Atenção Básica (DAB) para reestruturar as informações da Atenção Básica em nível nacional. Esta ação está alinhada com a proposta mais geral de reestruturação dos Sistemas de Informação em Saúde do Ministério da Saúde, entendendo que a qualificação da gestão da informação é fundamental para ampliar a qualidade no atendimento à população.
As prefeituras e as unidades de saúde básicas são o público alvo desta solução, tendo a população brasileira como principais usuários.
A parceira eMaster, com o apoio de prefeituras espalhadas pelo Brasil, identificou desafios relacionados a escalabilidade, resistência a desastres e segurança, e desta forma trabalhou em uma estratégia de modernização para sanar os desafios de implementação existentes.
O objetivo deste Blog é apresentar os desafios e soluções desta jornada.
Desafios
A falta de equipe especializada e ambiente adequado para as aplicações geram transtornos para que se tenha a disponibilização de serviços com qualidade para a população usuária do sistema e-SUS AB.
Em algumas prefeituras, os servidores on-premises que hospedam a aplicação não passam por atualizações de hardware, sistema operacional ou segurança, gerando dificuldades para receber atualizações e manutenções do sistema PEC (Prontuário Eletrônico do Cidadão), constantes falhas de conexão e aumentando a superfície de ataques de segurança.
Em relação a resiliência, os desafios surgem principalmente pela forma de sincronização de dados entre as unidades de saúde do município, que ocorre de forma manual entre unidades, havendo a necessidade de deslocamento de pessoas com os dados em mãos para realizar e efetivar tais sincronizações. Além disso, não existe um plano de resiliência em casos de desastres, planos de backups e redundância para as aplicações.
Solução
A parceira eMaster trabalhou junto ao time de especialistas e arquitetos de soluções das prefeituras para poder entender o cenário existente, desafios dos usuários e, com base nisso, desenhar uma estratégia arquitetural utilizando serviços AWS com o objetivo de garantir os seguintes pontos:
- Resiliência e recuperação de desastres: aplicação e infraestrutura devem ser tolerantes a falhas e com um plano de recuperação de desastres que permita rápida recuperação, com nenhuma ou poucas perdas
- Observabilidade: aplicação e infraestrutura devem possuir um conjunto de mecanismos que permitam plena visibilidade do status atual e histórico, com foco em tomada de decisões baseadas em dados sobre futuras evoluções.
- Segurança: os dados devem ser criptografados em trânsito e descanso, com controle e auditoria nos acessos.
- Economia: os municípios participantes desejam pagar apenas pelo uso de recursos provisionados, com capacidade de adequar a infraestrutura de acordo com a demanda (right-sizing).
- Facilidade de gestão de infraestrutura: facilidade de gestão e aplicação de melhores práticas operacionais através do uso de serviços gerenciados.
- Informações de inteligência: utilização dos dados de forma inteligente e automatizada através de ferramentas gerenciadas e painéis.
Um ponto de destaque – e foco desse blogpost – é a utilização de serviços localizados somente em território nacional, para garantir o compliance com a legislação e normas vigentes.
Arquitetura de referência utilizada na implementação do e-SUS AB na nuvem para prefeituras
Para o ambiente em questão, foi utilizada uma arquitetura totalmente baseada na região de São Paulo(sa-east-1), fazendo o uso dos seguintes serviços:
Serviços de Compute com Amazon EC2
Nessa solução foi utilizado o Amazon Elastic Cloud Compute (Amazon EC2) para hospedar os componentes do e-SUS, tais como aplicação e monitoramento. O recurso Auto-Scale Group (ASG) monitora os aplicativos e ajusta automaticamente a capacidade para manter um desempenho constante e previsível pelo menor custo possível, gerando economia significativa ao evitar o provisionamento de recursos não utilizados (overprovisioning) no ambiente.
Amazon RDS para Banco de Dados
Um item fundamental na arquitetura do e-SUS é a base de dados, que armazena registros da população e precisa de alta disponibilidade para atender a todas as demandas. Para o caso do cliente, foi decidido manter o banco de dados em PostgreSQL utilizando Amazon RDS para PostgreSQL, que facilita a configuração, operação e escalabilidade de bancos de dados na nuvem. Além disso, ao utilizar um serviço totalmente gerenciado de banco de dados, os clientes configuram de forma rápida e eficiente instâncias de banco de dados em múltiplas zonas de disponibilidade, garantindo alta disponibilidade e resiliência.
Pipeline de dados utilizando Amazon S3, Amazon Athena e Amazon QuickSight para tomadas de decisão
Um ponto importante do engajamento da eMaster com as prefeituras foi entender como a utilização dos dados gerados pelo e-SUS AB poderiam ajudar a escalar a atenção básica dos munícipes. Com esse objetivo, foi criado um um repositório para armazenar dados brutos gerados pela aplicação utilizando o Amazon S3, O Amazon S3 é um armazenamento de objetos desenvolvido para armazenar e recuperar qualquer quantidade de dados de qualquer local oferecendo durabilidade, disponibilidade, performance, segurança e escalabilidade líderes do setor a um custo muito baixo.
Para preparar e combinar os dados extraídos desse repositório, foi utilizado o AWS Glue, um serviço de integração de dados com tecnologia sem servidor. Tais dados trabalhados são então integrados ao AWS Athena, um serviço de consultas interativas que facilita a análise de dados. Por fim, para visualização dos mesmos, foi utilizando o Amazon QuickSight, um serviço de inteligência de negócios(BI) de nível empresarial, baseado em múltiplas fontes.
Estes painéis de inteligência auxiliam as prefeituras a tomar melhores decisões em relação ao atendimento dos munícipes, bem como se manter aderente aos indicadores do programa Previne Brasil, que são os indicadores que garantem investimento do Governo Federal em saúde para os municípios.
Ambiente seguro e resiliente a desastres
Como apresentado, uma das grandes preocupações das prefeituras é ter um ambiente resiliente e resistente a desastres. Por meio de serviços já descritos e suas características de alta disponibilidade e resiliência, o time da eMaster propôs a implementação de outros serviços que aumentam esta resiliência e garantem uma maior segurança para os clientes.
Para que isto fosse possível, foram utilizados os seguintes serviços e características:
Zonas de Disponibilidade (Availability Zones – AZ): Uma zona de disponibilidade (AZ) é um ou mais datacenters distintos com energia, rede e conectividade redundantes em uma região da AWS. As AZs proporcionam aos clientes a capacidade de operar aplicativos e bancos de dados de produção com alta disponibilidade, tolerância a falhas e escalabilidade em níveis superiores aos que um único datacenter pode oferecer. Todas as AZs em uma região da AWS estão interconectadas por redes de alta largura de banda e baixa latência, usando fibra metropolitana dedicada e totalmente redundante para proporcionar redes de alto throughput e baixa latência entre AZs. Todo o tráfego entre as AZs é criptografado. O desempenho da rede é suficiente para realizar a replicação síncrona entre as AZs.
AWS Backup: Todo o processo de backup e restore de dados é realizado por meio do AWS Backup, um serviço totalmente gerenciado e baseado em políticas que simplifica a proteção de dados em escala. O AWS Backup permite também a criação de backups imutáveis para manter a proteção contra ocorrências acidentais ou criminosos, além de prover relatórios prontos para auditorias de conformidade e proteção de dados.
Serviços de Rede Privada Virtual e Conectividade: os serviços utilizam o Amazon Virtual Private Cloud (Amazon VPC), que oferece controle total sobre seu ambiente de redes virtual, incluindo posicionamento de recursos, conectividade e segurança. Recursos aprimorados como o Network Access Analyzer, Grupos de Segurança e Lista de Controles de acesso a rede (ACLs) permitem a redução da superfície de ataque, assim como o rastreamento de conexões e identificação de acessos suspeitos.
Para a detecção de falhas e failover entre Zonas de Disponibilidade/contas, foi utilizado o recurso de health-check do Amazon Route 53, que permite definir políticas de roteamento para predeterminar e automatizar as respostas para recuperação de aplicações ao redirecionar o tráfego para regiões ou zonas de disponibilidade alternativas.
Para garantir o balanceamento de carga das solicitações HTTP entre as zonas de disponibilidade, trazendo uma resposta mais rápida e eficiente dos serviços de aplicação e monitoramento foi utilizado o Application Load Balancer.
AWS Systems Manager: O AWS Systems Manager permite centralizar dados operacionais de vários serviços da AWS e automatizar tarefas em todos os seus recursos na AWS e em ambientes de várias nuvens e híbridos. Você pode criar grupos lógicos de recursos como aplicações, diferentes camadas de uma pilha de aplicações ou ambientes de produção em comparação com ambientes de desenvolvimento. Com o Systems Manager, você pode selecionar um grupo de recursos e visualizar suas atividades recentes de API, alterações na configuração dos recursos, notificação associadas, alertas operacionais, inventário de software e o status de conformidade de patches.
AWS Certificate Manager: O AWS Certificate Manager (ACM) é um serviço que permite provisionar, gerenciar e implantar facilmente certificados Secure Sockets Layer (SSL)/Transport Layer Security (TLS) para uso com os serviços da AWS e os recursos internos conectados. Os certificados SSL/TLS são usados para proteger comunicações de rede e estabelecer a identidade de sites na Internet e de recursos em redes privadas.
AWS WAF: O AWS WAF é um firewall de aplicações Web que ajuda a proteger aplicações Web de ataques por meio da configuração de regras que permitem, bloqueiam ou monitoram (contagem) solicitações da Web de acordo com condições que você mesmo define. Essas condições incluem endereços IP, cabeçalhos e corpo HTTP, strings de URI, injeção de SQL e cross-site scripting.
Monitoramento da solução com Amazon CloudWatch e auditoria dos recursos com AWS CloudTrail
Para garantir o monitoramento ativo dos recursos que fazem parte do workload, foi escolhido o Amazon CloudWatch para monitorar atividades no ambiente AWS, foi utilizado o AWS CloudTrail para registrar e monitorar continuamente as atividades, permitindo a auditoria destes dados a qualquer momento, de acordo com a necessidade do cliente.
Resultados Alcançados
Após a implementação finalizada em algumas nas prefeituras, os times técnicos da eMaster e dos clientes tiveram oportunidade de mensurar alguns dados relacionados a nova arquitetura e modernização da aplicação.
Graças a arquitetura escalável e adaptativa, não foi experimentado pontos de lentidão durante o uso da aplicação pelas unidades de saúde básica. Também ouve uma redução do tempo de atualização de dados clínicos entre as unidades conectadas para minutos, ante múltiplas horas, visto que tal atualização passou a ser automatizada.
Em relação a segurança graças as novas políticas de segurança, aliadas a criptografia em trânsito e em repouso, foi possível bloquear centenas de acessos não autorizados diariamente.
Além de todos os ganhos operacionais, o impacto social gerado por esta mudança tornou-se um grande marco. Através da visualização de indicadores de negócios, gerados a partir dos dados do e-SUS AB, os municípios podem direcionar ações e recursos para melhorias no atendimento através do programa Previne Brasil, além de promover e maior visibilidade e transparência nos indicadores de saúde do município.
Por fim, com uma arquitetura resiliente, foi possível garantir maior integridade dos dados em momentos de desastres, eliminando os riscos de perda de dados ou exposição indevida de informações confidenciais.
Conclusão
A implementação do e-SUS AB na nuvem AWS trouxe mais segurança, resiliência e uma melhor coleta e analise de dados, resultando em uma transformação da atenção primária a saúde e aderência aos indicadores do Previne Brasil para os municípios.
Roger Tanure, CEO da eMaster, explicou que “o projeto enfrentou um desafio significativo devido à natureza monolítica da aplicação, pois nativamente não suportaria alta disponibilidade, escalabilidade ou medidas de contingência. No entanto, a introdução desta nova arquitetura permitiu atingir os objetivos de maneira eficaz. A reestruturação também possibilitou a migração de serviços como o Banco de Dados para soluções PaaS (plataforma como serviço), como o Amazon RDS, resultando em uma maior eficiência e flexibilidade do sistema.”
Outro ponto fundamental do projeto foi a criação de um Health Lake com adoção de serviços AWS para análise dos dados da saúde, provendo a entrega de informações analíticas mais precisas através de dashboards, trazendo benefícios e avanço para a gestão municipal.
Sobre os Autores
Roger Tanure CEO do Grupo eMaster, possui mais de 30 anos trabalhando com gerenciamento de projetos, arquiteturas de soluções escaláveis, desenvolvimento de sistemas, projetos com eletrônica embarcada, sistemas para saúde e segurança. Trabalha com clientes corporativos e de governo, ajudando-os em sua jornada para a nuvem.
Willy Moura Arquiteto de soluções com mais de 16 anos de experiência em ambientes de infraestrutura de TI. Certificado em AWS Professional, Security Specialty e ITIL V3, Linux LPI-2, analista de rede e administração de sistemas. Apaixonado por impulsionar a excelência operacional, garantir a segurança dos dados e agregar valor por meio de soluções tecnológicas inovadoras.
Saulo Sander é analista de dados, entusiasta das integrações dos serviços AWS para construção de pipelines entre banco de dados, data lakes e dashboards analíticos.
Felipe Gonzales é Arquiteto de Soluções para Parceiros Sênior na AWS, apoiando parceiros do setor público em sua jornada para a nuvem AWS. Possui uma grande experiencia com desenvolvimento de softwares e automação de pipelines, atua auxiliando os parceiros a evoluir na jornada de segurança na AWS. Tem especial interesse em arquiteturas resilientes e IoT.
Jacson Barros é Especialista em Healthcare com 30 anos de experiência em Health IT. Graduado em Engenharia Elétrica e Doutor em Ciência pela Faculdade de Medicina da USP. Possui experiência em projetos de saúde pública e privada e projetos de machine learning e inteligência artificial em saúde.