Cómo Citus Health utiliza AWS para ofrecer una atención médica virtual, segura y en tiempo real a los pacientes

por Vincent Zheng, Associate Startup Solutions Architect en AWS, y Christine Samson, Startup Solutions Architect Manager en AWS

Antes de fundar Citus Health, la cofundadora y directora ejecutiva Melissa Kozak dedicó ocho años a brindar atención directa a los pacientes que recibían terapia de infusión en el hogar, en la que a los pacientes se les administraban medicamentos por vía intravenosa o subcutánea. Durante su etapa como enfermera, identificó una carencia en las herramientas disponibles para que los pacientes pudieran ponerse en contacto directamente con sus proveedores de atención cuando tenían preguntas o problemas. Kozak recordó un momento en el que la bomba intravenosa de un paciente había estado sonando durante toda la noche; acudió a un servicio de guardia, donde lo trasladaron tres veces y, luego, lo desconectaron, por lo que omitió su dosis. Con la ayuda del cofundador de Citus Health, Shadid Shah, un líder de opinión en el ámbito de la atención médica digital que había creado e implementado varios sistemas de historias clínicas electrónicas a lo largo de su carrera, pudieron hacer realidad la idea de herramientas y recursos de comunicación centrados en el paciente.

Funcionamiento

Citus Health es una startup de transformación de la salud digital que permite la colaboración segura y en tiempo real entre los equipos de atención sanitaria, los socios y las familias para ofrecer la mejor experiencia posible al paciente y, al mismo tiempo, tener un impacto positivo en el resultado financiero del proveedor de atención médica. La aplicación, accesible desde la web y desde dispositivos móviles, ofrece a los pacientes y a los proveedores características como la comunicación bidireccional segura, las notas de enfermería centralizadas, la documentación, la programación y las sesiones de video. Citus Health también permite la integración de sistemas de terceros para que las empresas puedan integrar sus aplicaciones con los microservicios de Citus Health que se ejecutan en AWS. Por ejemplo, las compañías farmacéuticas especializadas pueden integrarse en la plataforma de Citus Health como una forma de enviar y recibir documentos e información importante sobre los pacientes, tanto de los propios pacientes como de los proveedores de atención sanitaria, a fin de ofrecer una experiencia más fluida y sencilla a la hora de proporcionar a los pacientes los medicamentos que necesitan.

Cómo utiliza Citus Health AWS

La aplicación de Citus Health está diseñada con una combinación de PHP, NodeJs, Angular e Ionic, que interactúa con los microservicios que se ejecutan en la infraestructura de AWS mediante el uso de API. Su sitio web y sus microservicios están alojados en Amazon Elastic Container Service (Amazon ECS) con el tipo de lanzamiento de Elastic Compute Cloud (Amazon EC2). A medida que su aplicación crece, la administración de la implementación, la estructura y el escalamiento de estos contenedores se vuelve cada vez más complicada. Las funcionalidades de orquestación de contenedores de ECS tienen como objetivo simplificar las opciones de configuración y, al mismo tiempo, gestionar el trabajo pesado.

Citus Health utiliza contenedores para varios microservicios que proporcionan características como la mensajería en tiempo real, las credenciales y la inscripción. Amazon ECS se encarga de colocar estos contenedores en los clústeres de Amazon EC2 que vienen preinstalados con Docker. También simplifica el escalamiento, la supervisión y la administración de estas instancias desde la consola de administración de AWS. La comunicación entre las instancias en las que residen estos contenedores y Amazon ECS se realiza mediante el agente de contenedores de ECS, que también viene preinstalado en las instancias de EC2 de un clúster. El uso del tipo de lanzamiento de Amazon EC2 proporciona un mayor control sobre detalles como la familia de instancias y el tamaño en los que residirán estos contenedores de microservicios. Citus Health puede decidir la familia de instancias, el tamaño y otros detalles de configuración, lo que les permite aprovechar los beneficios de la orquestación de contenedores y, al mismo tiempo, tener el control de aspectos específicos de la administración de la infraestructura, algo vital para garantizar que su aplicación cuente con la capacidad y los recursos adecuados que necesita.

Citus Health también utiliza herramientas como las subredes privadas, que contienen sus microservicios que gestionan tareas como las credenciales, la mensajería segura y la inscripción. Estos servicios de API se encuentran detrás de una puerta de enlace de traducción de direcciones de red (NAT), que permite que las API interactúen con otros recursos de AWS e Internet, al tiempo que bloquean las conexiones externas fuera de la nube de AWS. En una subred privada diferente se encuentran sus bases de datos PostgreSQL que se ejecutan en RDS y se utilizan para almacenar los datos generados por su aplicación. Las listas de control de acceso a la red (NACL) se colocan delante de todas sus subredes para filtrar las conexiones no deseadas.

Lecciones aprendidas

Cuando Citus Health evaluó por primera vez la migración a AWS, tenían dos preocupaciones principales: la soberanía de los datos para cumplir con las normas de la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA), para uno de sus clientes en Canadá, y encontrar la forma más sencilla de migrar de un proveedor de servicios administrados (MSP), Rackspace, a AWS. En lo que respecta a la soberanía de los datos, Citus Health trabajó con el equipo de cuentas para determinar cómo cumplir con la PIPEDA. Si bien el modelo de responsabilidad compartida en materia de cumplimiento y seguridad no era algo nuevo para Citus Health, la empresa necesitaba aclarar el funcionamiento de PIPEDA en AWS. Había dudas sobre si el acuerdo de asociación comercial (BAA) de la HIPAA cubría la PIPEDA o si alguna de las partes (Citus Health o AWS) necesitaba hacer algo más para cumplir con la PIPEDA. Citus Health se reunió con el equipo de cuentas de AWS y con un especialista en cumplimiento para analizar este problema. Descubrió que el modelo de responsabilidad compartida sigue vigente, que AWS se encarga de la seguridad y el cumplimiento de la nube, mientras que ellos son responsables de la seguridad y el cumplimiento en la nube. Citus Health también aprendió a usar AWS Artifact para generar informes relacionados con los estándares de cumplimiento de la PIPEDA y a obtener el BAA de AWS. Sin embargo, también quería saber dónde se indica que AWS no transfiere los datos de un cliente. Gracias a la colaboración con el equipo de cuentas, un especialista en cumplimiento y los propios abogados de Citus Health, la empresa descubrió que esto se indica en la página Contrato de cliente de AWS que firma.

Citus Health también se dio cuenta de que debe saber a dónde van los datos si se envían por SNS a otras regiones o si el teléfono que contiene estos mensajes los lleva a otro país. La empresa también debe poder tener en cuenta esos escenarios y determinar qué servicios utilizar para garantizar que sus datos permanezcan en Canadá.

En cuanto al tema de la migración, Rackspace se ejecuta en AWS y solo administra la infraestructura para sus clientes. Al trabajar con el equipo de cuentas, Citus Health descubrió que no necesita usar las formas habituales para migrar sus datos y servidores de Rackspace a AWS. Como Rackspace se ejecuta en AWS, la empresa tiene un ID de cuenta de AWS que Rackspace administra en su lugar. De acuerdo con el consejo del equipo de cuentas, Citus Health se puso en contacto directamente con Rackspace y le preguntó si la titularidad de la cuenta podía transferirse de Rackspace a AWS directamente para no tener que migrar nada entre cuentas o plataformas. Rackspace es capaz de hacerlo, por lo que, para cualquier startup que esté en fase inicial, esto puede ayudar a acelerar las migraciones y reducir el trabajo del cliente.

Colaboración de Citus y AWS

Durante el proceso de Citus Health, la empresa ha aprendido a utilizar una variedad de herramientas y servicios para proteger mejor tanto a los clientes como a las empresas a las que presta servicios; la seguridad debe ser una prioridad en todo momento. Internamente, Citus Health utiliza una VPC independiente con un host bastión, que examina y bloquea las conexiones no deseadas y, al mismo tiempo, permite que las conexiones autorizadas se conecten al host bastión. Gracias a este host bastión, su equipo de DevOps y sus desarrolladores pueden acceder a los recursos principales de la VPC mediante la interconexión de VPC. La separación de sus recursos con dos VPC independientes ayuda a aislarlos y agrega una capa adicional de protección y separación. Se crean grupos de seguridad que actúan como firewalls virtuales para cada VPC. Las aplicaciones pueden comunicarse con los microservicios de Citus Health mediante llamadas a la API autorizadas y, al mismo tiempo, bloquear las conexiones no deseadas. Las NACL funcionan en conjunto con los grupos de seguridad, lo que agrega una capa adicional de seguridad. Los grupos de seguridad funcionan en el ámbito de instancia, lo que impide que las conexiones lleguen a los recursos de una VPC, mientras que las NACL filtran las conexiones a medida que llegan a las subredes en las que se encuentran estos recursos. Las NACL también permiten denegar de forma explícita las conexiones, mientras que los grupos de seguridad solo permiten implementar reglas de autorización. Además, las NACL carecen de estado, lo que significa que se denegará el tráfico a menos que se defina un permiso de forma explícita. Las herramientas de supervisión, como CloudTrail y el Analizador de IAM, también ayudan a realizar un seguimiento de quién accede a qué recursos y permiten a Citus Health realizar un seguimiento de los recursos y funciones que se comparten con entidades externas. Todo esto se ha implementado para proteger a los pacientes y su información y, al mismo tiempo, garantizar que otras compañías de atención médica que utilizan los servicios de Citus Health también estén protegidas.

Puesto que Citus Health sigue creciendo, necesita ampliar sus recursos para poder satisfacer las demandas de sus clientes. Tras pasar de la administración de Rackspace a AWS, Citus Health solo había configurado instancias de Amazon EC2 junto con equilibradores de carga de Elastic Load Balancing (ELB) para distribuir el tráfico. La capacidad que habían creado era suficiente para respaldar su tráfico y demanda actuales. Inicialmente, Citus Health solo se implementó en los Estados Unidos y, a medida que comenzó a crecer, finalmente se expandió a la región de Canadá. Con este crecimiento surgió la necesidad de implementar medidas de escalamiento automático como una forma de aumentar la capacidad para garantizar que sus clientes siguieran recibiendo una experiencia fluida y sin inconvenientes. Citus Health también comenzó a utilizar Amazon ECS en la región de Canadá y dividió su aplicación en microservicios para desvincular su aplicación y aprovechar la orquestación de contenedores.

La empresa también tiene una configuración Multi-AZ para sus instancias de Amazon Relational Database Service (Amazon RDS) para la recuperación de desastres. Los datos se replican de forma síncrona entre las instancias principales y, si la instancia principal de RDS falla, Amazon RDS iniciará una conmutación por error automática a una instancia en modo de espera sin ninguna intervención administrativa. Cuando se trata de proporcionar a los pacientes un método para comunicarse con los proveedores de servicios de salud, la elasticidad garantiza una experiencia fluida y sin inconvenientes, mientras que la disponibilidad garantiza que los pacientes permanezcan conectados y tengan una línea de comunicación abierta con los recursos que necesitan.

Conclusión

Las startups se mueven a un ritmo muy rápido y detalles como la seguridad, la elasticidad y la disponibilidad pueden terminar descuidados debido al deseo de lanzar un producto o servicio lo más rápido posible. Al utilizar AWS, Citus Health pudo aprovechar las herramientas y los servicios integrados para proteger su entorno y garantizar que sus servicios permanecieran disponibles y resilientes. Asegurarse de que elementos como los grupos de seguridad, las NACL, el escalamiento automático, las configuraciones Multi-AZ y los equilibradores de carga estén correctamente configurados ayudará a mantener la aplicación disponible y segura, de modo que pueda ofrecer a sus clientes la mejor experiencia posible a largo plazo.