So nutzt Citus Health AWS für eine sichere virtuelle Patientenversorgung in Echtzeit

von Vincent Zheng, Associate Startup Solutions Architect von AWS, und Christine Samson, AWS Startup Solutions Architect Manager

Vor der Gründung von Citus Health war Mitbegründerin und CEO Melissa Kozak acht Jahre lang in der direkten Betreuung von Patienten tätig, die eine Heiminfusionstherapie erhielten, bei der den Patienten Medikamente intravenös oder subkutan verabreicht wurden. Während ihrer gesamten Zeit als Krankenschwester stellte sie fest, dass Patienten, die Fragen oder Probleme hatten, nicht alle verfügbaren Tools zur Verfügung standen, um direkt mit ihren Pflegedienstleistern Kontakt aufzunehmen. Kozak erinnerte sich an einen Moment, in dem die Infusionspumpe eines Patienten die ganze Nacht über gepiept hatte. Er wandte sich an einen Bereitschaftsservice, wo er dreimal verlegt und dann die Verbindung unterbrochen wurde, was dazu führte, dass seine Dosis verpasste. Mithilfe des Mitbegründers von Citus Health, Shadid Shah, einem Vordenker im Bereich des digitalen Gesundheitswesens, der in seiner Karriere mehrere elektronische Patientenaktensysteme entwickelt und eingesetzt hatte, konnten sie die Idee patientenorientierter Kommunikationstools und -ressourcen zum Leben erwecken.

Funktionsweise

Citus Health ist ein Startup zur digitalen Gesundheitstransformation, das eine sichere Zusammenarbeit zwischen Gesundheitsteams, Partnern und Familien in Echtzeit ermöglicht, um das bestmögliche Patientenerlebnis zu bieten und gleichzeitig das finanzielle Ergebnis des Pflegedienstleisters positiv zu beeinflussen. Die webbasierte und mobil zugängliche Anwendung bietet Patienten und Anbietern Funktionen wie sichere bidirektionale Kommunikation, zentrale Pflegehinweise, Dokumentation, Planung und Videositzungen. Citus Health ermöglicht auch Systemintegrationen von Drittanbietern, bei denen Unternehmen ihre Anwendungen in die Microservices von Citus Health integrieren können, die auf AWS laufen. Zum Beispiel können sich Spezialpharmaunternehmen in die Plattform von Citus Health integrieren, um Dokumente und wichtige Patienteninformationen sowohl von den Patienten selbst als auch von Gesundheitsdienstleistern zu senden und zu empfangen, um Patienten reibungsloser und einfacher mit den Medikamenten zu versorgen, die sie benötigen.

So nutzt Citus Health AWS

Die Anwendung von Citus Health basiert auf einer Kombination aus PHP, NodeJs, Angular und Ionic und interagiert mithilfe von APIs mit Microservices, die in der AWS-Infrastruktur ausgeführt werden. Ihre Website und Microservices werden auf Amazon Elastic Container Service (Amazon ECS) mit dem Start-Typ Elastic Compute Cloud (Amazon EC2) gehostet. Mit dem Wachstum ihrer Anwendung wird die Verwaltung der Bereitstellung, Struktur und Skalierung dieser Container immer komplizierter. Ziel der Container-Orchestrierungsfunktionen von ECS ist es, die Konfigurationsoptionen zu vereinfachen und gleichzeitig die schwere Arbeit zu bewältigen.

Citus Health verwendet Container für mehrere Microservices, die Funktionen wie Echtzeit-Messaging, Anmeldeinformationen und Registrierung bereitstellen. Amazon ECS kümmert sich um die Platzierung dieser Container auf Amazon-EC2-Clustern, auf denen Docker vorinstalliert ist. Es vereinfacht auch die Skalierung, Überwachung und Verwaltung dieser Instances über die AWS-Managementkonsole. Die Kommunikation zwischen den Instances, auf denen sich diese Container befinden, und Amazon ECS erfolgt über den ECS-Container-Agenten, der auch auf den EC2-Instances innerhalb eines Clusters vorinstalliert ist. Die Verwendung des Amazon-EC2-Start-Typs bietet eine bessere Kontrolle über Details wie die Instance-Familie und Größe, auf der sich diese Microservices-Container befinden werden. Citus Health ist in der Lage, über die Instance-Familie, die Größe und andere Konfigurationsdetails zu entscheiden, sodass sie die Vorteile der Container-Orchestrierung nutzen und gleichzeitig die Kontrolle über bestimmte Aspekte des Infrastrukturmanagements behalten können, die wichtig sind, um sicherzustellen, dass ihre Anwendung über die richtigen Ressourcen und Kapazitäten verfügt, die sie benötigt.

Citus Health verwendet auch Tools wie private Subnetze, die ihre Microservices enthalten, die Aufgaben wie Anmeldeinformationen, sicheres Messaging und Registrierung übernehmen. Diese API-Services befinden sich hinter einem Gateway von Network Address Translation (NAT), das es den APIs ermöglicht, mit anderen AWS-Ressourcen und dem Internet zu interagieren und gleichzeitig externe Verbindungen außerhalb der AWS-Cloud zu blockieren. In einem anderen privaten Subnetz befinden sich ihre PostgreSQL-Datenbanken, die auf RDS laufen und zum Speichern von Daten verwendet werden, die von ihrer Anwendung generiert werden. Netzwerk-Zugriffssteuerungslisten (NACLs) werden vor all ihren Subnetzen platziert, um unerwünschte Verbindungen herauszufiltern.

Gelernte Lektionen

Als Citus Health zum ersten Mal eine Migration zu AWS prüfte, hatte das Unternehmen zwei große Bedenken: die Datenhoheit für die Einhaltung der PIPEDA-Vorschriften für einen seiner Kunden in Kanada und die Suche nach dem einfachsten Weg, von einem Managed Service Provider (MSP), Rackspace, zu AWS zu migrieren. In Bezug auf die Datenhoheit arbeitete Citus Health mit dem Konto-Team zusammen, um zu ermitteln, wie die PIPEDA-Vorschriften eingehalten werden können. Obwohl das Modell der gemeinsamen Verantwortung für Compliance und Sicherheit für Citus Health nicht neu war, bedurfte es weiterer Erläuterungen dazu, wie PIPEDA speziell auf AWS funktioniert. Sie waren sich nicht sicher, ob das HIPAA Business Associate Agreement (BAA) PIPEDA abdeckt oder ob eine der Parteien (Citus Health oder AWS) mehr tun muss, um PIPEDA einzuhalten. Citus Health traf sich mit dem AWS-Konto-Team und einem Compliance-Spezialisten, um dieses Problem zu besprechen. Sie erfuhren, dass das Modell der geteilten Verantwortung immer noch gilt, dass AWS sich um die Sicherheit und Compliance der Cloud kümmert, während sie für Sicherheit und Compliance in der Cloud verantwortlich sind. Sie lernten auch, AWS Artifact für die Erstellung von Berichten zu den PIPEDA-Compliance-Standards zu verwenden und ein BAA von AWS zu erhalten. Sie wollten jedoch auch wissen, wo steht, dass AWS die Daten eines Kunden nicht verschiebt. In Zusammenarbeit mit dem Konto-Team, einem Compliance-Spezialisten und den eigenen Anwälten von Citus Health erfuhren sie, dass dies auf der von ihnen unterzeichneten Seite der AWS-Kundenvereinbarung angegeben ist.

Citus Health erkannte auch, dass man wissen musste, wohin die Daten gehen, wenn die Daten per SNS in andere Regionen gesendet werden oder wenn das Telefon, das diese Nachrichten enthält, in ein anderes Land gebracht wird. Man muss auch in der Lage sein, diese Szenarien zu berücksichtigen und herauszufinden, welche Services man nutzen muss, um sicherzustellen, dass die Daten in Kanada bleiben.

Für ihre Migrationsprobleme läuft Rackspace auf AWS und verwaltet lediglich die Infrastruktur für ihre Kunden. Durch die Zusammenarbeit mit dem Konto-Team stellte Citus Health fest, dass man nicht die üblichen Methoden verwenden muss, um die Daten und Server von Rackspace auf AWS zu migrieren. Da Rackspace auf AWS ausgeführt wird, haben sie eine AWS-Konto-ID, die Rackspace für sie verwaltet. Auf Anraten des Konto-Teams wandte sich Citus Health direkt an Rackspace und fragte, ob die Kontoinhaberschaft direkt von Rackspace auf AWS übertragen werden kann, sodass sie nichts zwischen Konten oder Plattformen migrieren müssen. Rackspace ist in der Lage, dies zu tun. Dies kann jedem Startup in der Anfangsphase helfen, Migrationen zu beschleunigen und die Arbeit kundenseitig zu erleichtern.

Citus und AWS zusammen

Während der gesamten Reise von Citus Health hat das Unternehmen gelernt, eine Vielzahl von Tools und Services zu nutzen, um sowohl die Kunden als auch die von ihnen betreuten Unternehmen bestmöglich zu schützen. Sicherheit muss jederzeit an erster Stelle stehen. Intern verwendet Citus Health eine separate VPC mit einem Bastion-Host, der unerwünschte Verbindungen überprüft und blockiert und gleichzeitig autorisierten Verbindungen ermöglicht, den Bastion-Host zu verbinden. Über den Bastion-Host können ihr DevOps-Team und ihre Entwickler die Hauptressourcen der VPC über VPC-Peering erreichen. Die Trennung ihrer Ressourcen durch zwei separate VPCs hilft dabei, ihre Ressourcen zu isolieren und fügt eine zusätzliche Schutz- und Trennungsebene hinzu. Sicherheitsgruppen werden eingerichtet, die als virtuelle Firewalls für jede VPC fungieren. Anwendungen können über autorisierte API-Aufrufe mit den Microservices von Citus Health kommunizieren und gleichzeitig unerwünschte Verbindungen blockieren. NACLs arbeiten mit Sicherheitsgruppen zusammen, die eine zusätzliche Sicherheitsebene hinzufügen. Sicherheitsgruppen arbeiten auf Instance-Ebene und verhindern, dass Verbindungen die Ressourcen innerhalb einer VPC erreichen, während NACLs Verbindungen filtern, sobald sie in die Subnetze gelangen, in denen sich diese Ressourcen befinden. NACLs ermöglichen es Ihnen auch, Verbindungen explizit abzulehnen, während Sicherheitsgruppen Ihnen nur erlauben, Zulassungsregeln zu implementieren. NACLs sind auch zustandslos, was bedeutet, dass der Verkehr verweigert wird, sofern nicht ausdrücklich eine Zulassung definiert ist. Überwachungstools wie CloudTrail und IAM Analyzer helfen auch dabei, den Überblick darüber zu behalten, wer auf welche Ressourcen zugreift, und das ermöglicht es Citus Health, den Überblick über Ressourcen und Rollen zu behalten, die mit externen Entitäten geteilt werden. All dies wurde eingerichtet, um Patienten und ihre Informationen zu schützen und gleichzeitig sicherzustellen, dass auch andere Gesundheitsunternehmen, die die Services von Citus Health nutzen, geschützt sind.

Da Citus Health weiter wächst, müssen sie ihre Ressourcen skalieren, um die Anforderungen ihrer Kunden erfüllen zu können. Nach der ersten Umstellung von der Verwaltung durch Rackspace auf AWS hatte Citus Health nur Amazon-EC2-Instances zusammen mit einem Elastic Load Balancer (ELB) zur Verteilung des Datenverkehrs eingerichtet. Die Kapazität, die sie aufgebaut hatten, reichte aus, um ihren aktuellen Verkehr und ihre Nachfrage zu decken. Citus Health wurde ursprünglich nur in den Vereinigten Staaten eingesetzt und als das Unternehmen immer größer wurde, expandierte es schließlich in die Region Kanada. Mit diesem Wachstum ging die Notwendigkeit einher, automatische Skalierungsmaßnahmen zu implementieren, um zusätzliche Kapazitäten zu schaffen und sicherzustellen, dass ihre Kunden weiterhin ein reibungsloses und nahtloses Erlebnis erhalten. Citus Health begann auch, Amazon ECS in der Region Kanada zu nutzen und hatte seine Anwendung in Microservices aufgeteilt, um ihre Anwendung zu entkoppeln und die Container-Orchestrierung zu nutzen.

Sie haben auch eine Multi-AZ-Einrichtung für ihre Instances von Amazon Relational Database Service (Amazon RDS) für die Notfallwiederherstellung. Daten werden synchron zwischen den primären Instances repliziert, und wenn die primäre RDS-Instance ausfällt, leitet Amazon RDS ohne administrativen Eingriff einen automatischen Failover auf eine Standby-Instance ein. Wenn es darum geht, Patienten eine Methode zur Kommunikation mit Gesundheitsdienstleistern zu bieten, sorgt Elastizität für ein reibungsloses und nahtloses Erlebnis, während die Verfügbarkeit sicherstellt, dass die Patienten in Verbindung bleiben und eine offene Kommunikationslinie zu den Ressourcen haben, die sie benötigen.

Zusammenfassung

Startups bewegen sich sehr schnell und Details wie Sicherheit, Elastizität und Verfügbarkeit können vernachlässigt werden, weil ein Produkt oder ein Service so schnell wie möglich veröffentlicht werden soll. Durch den Einsatz von AWS war Citus Health in der Lage, integrierte Tools und Services zu nutzen, um ihre Umgebung zu sichern und sicherzustellen, dass ihre Services verfügbar und belastbar bleiben. Wenn Sie sicherstellen, dass Dinge wie Sicherheitsgruppen, NACLs, Load Balancer, Autoscaling und Multi-AZ-Setups ordnungsgemäß konfiguriert sind, bleibt Ihre Anwendung verfügbar und sicher, sodass Sie Ihren Kunden auf lange Sicht ein möglichst reibungsloses Erlebnis bieten können.