Comment Citus Health utilise AWS pour fournir des soins virtuels sécurisés et en temps réel aux patients

par Vincent Zheng, architecte associé des solutions pour les start-ups d'AWS, et Christine Samson, responsable de l'architecture des solutions pour les start-ups d'AWS

Avant de créer Citus Health, la cofondatrice et PDG Melissa Kozak a passé huit ans à fournir des soins directs aux patients recevant un traitement par perfusion à domicile, dans le cadre duquel les patients reçoivent des médicaments par voie intraveineuse ou sous-cutanée. Tout au long de sa carrière d'infirmière, elle a identifié une lacune dans les outils mis à la disposition des patients pour communiquer directement avec leurs fournisseurs de soins lorsqu'ils avaient des questions ou rencontraient des problèmes. Mme Kozak s'est souvenue d'un moment où la pompe intraveineuse d'un patient avait émis un bip toute la nuit ; il a contacté un service de garde, qui l'a transféré trois fois avant de raccrocher, ce qui lui a fait rater sa dose. Avec l'aide du cofondateur de Citus Health, Shadid Shah, un leader dans le domaine des soins de santé numériques qui a construit et déployé plusieurs systèmes de dossiers médicaux électroniques au cours de sa carrière, ils ont pu donner vie à l'idée d'outils et de ressources de communication centrés sur le patient.

Fonctionnement

Citus Health est une start-up spécialisée dans la transformation numérique de la santé qui permet une collaboration sécurisée et en temps réel entre les équipes soignantes, les partenaires et les familles afin d'offrir la meilleure expérience possible aux patients tout en ayant un impact positif sur les résultats financiers du prestataire de soins. L'application accessible sur le Web et les appareils mobiles fournit aux patients et aux prestataires des fonctionnalités telles que la communication bidirectionnelle sécurisée, la centralisation des notes de soins, de la documentation, de la planification et des sessions vidéo. Citus Health permet également des intégrations de systèmes tiers permettant aux entreprises d'intégrer leurs applications aux microservices de Citus Health exécutés sur AWS. Par exemple, les sociétés pharmaceutiques spécialisées peuvent intégrer la plateforme de Citus Health afin d'envoyer et de recevoir des documents et des informations importantes sur les patients, à la fois de la part des patients eux-mêmes et des prestataires de soins de santé, afin de fournir aux patients les médicaments dont ils ont besoin de manière plus fluide et plus facile.

Comment Citus Health utilise AWS

L'application de Citus Health est conçue à l'aide d'une combinaison de code PHP, Node.js, Angular et Ionic qui interagit avec les microservices exécutés dans l'infrastructure AWS grâce à l'utilisation d'API. Son site web et ses microservices sont hébergés sur Amazon Elastic Container Service (Amazon ECS) avec le type de lancement Elastic Compute Cloud (Amazon EC2). À mesure que son application se développe, la gestion du déploiement, de la structure et de la mise à l'échelle de ces conteneurs devient de plus en plus compliquée. Les fonctionnalités d'orchestration de conteneurs d'ECS visent à simplifier les options de configuration tout en gérant les tâches exigeantes.

Citus Health utilise des conteneurs pour plusieurs microservices qui fournissent des fonctionnalités comme la messagerie en temps réel, l'accréditation et l'inscription. Amazon ECS gère le placement de ces conteneurs sur les clusters Amazon EC2 préinstallés avec Docker. Il simplifie également la mise à l'échelle, la surveillance et la gestion de ces instances via la console de gestion AWS. La communication entre les instances sur lesquelles résident ces conteneurs et Amazon ECS s'effectue via l'ECS Container Agent, qui est également préinstallé sur les instances EC2 d'un cluster. L'utilisation du type de lancement Amazon EC2 permet de mieux contrôler des détails comme la famille d'instances et la taille sur lesquelles ces conteneurs de microservices résideront. Citus Health est en mesure de décider de la famille d'instances, de la taille et d'autres détails de configuration, ce qui lui permet de tirer parti des avantages de l'orchestration de conteneurs, le tout en gardant le contrôle d'aspects spécifiques de la gestion de l'infrastructure, essentiels pour garantir que son application dispose des ressources et des capacités appropriées dont elle a besoin.

Citus Health utilise également des outils comme des sous-réseaux privés, qui contiennent leurs microservices qui gèrent des tâches comme l'accréditation, la messagerie sécurisée et l'inscription. Ces services d'API sont placés derrière une passerelle de traduction d'adresses réseau (NAT), qui permet aux API d'interagir avec d'autres ressources AWS et Internet tout en bloquant les connexions externes en dehors du cloud AWS. Leurs bases de données PostgreSQL exécutées sur RDS se trouvent dans un autre sous-réseau privé et sont utilisées pour stocker les données générées par leur application. Les listes de contrôle d'accès réseau (NACL) sont placées devant tous leurs sous-réseaux pour filtrer les connexions indésirables.

Enseignements à tirer

Lorsque Citus Health a évalué pour la première fois une migration vers AWS, elle avait deux préoccupations majeures : la souveraineté des données afin de garantir la conformité aux réglementations de la LPRPDE, pour l'un de ses clients au Canada, et la recherche du moyen le plus simple de migrer d'un fournisseur de services gérés (MSP) Rackspace vers AWS. Pour répondre à ses préoccupations en matière de souveraineté des données, Citus Health a travaillé avec l'équipe chargée des comptes pour déterminer comment se conformer à la LPRPDE. Bien que le modèle de responsabilité partagée en matière de conformité et de sécurité ne soit pas une nouveauté pour Citus Health, l'entreprise avait besoin de plus de précisions sur la manière dont la LPRPDE fonctionne spécifiquement sur AWS. Elle ne savait pas si l'accord de partenariat commercial (BAA) de la HIPAA couvre la LPRPDE ou si l'une ou l'autre des parties (Citus Health ou AWS) doit faire davantage pour se conformer à la LPRPDE. Citus Health a rencontré l'équipe responsable des comptes AWS et un spécialiste de la conformité pour discuter de cette préoccupation. Elle a appris que le modèle de responsabilité partagée s'applique toujours, qu'AWS s'occupe de la sécurité et de la conformité du cloud alors qu'il est responsable de la sécurité et de la conformité dans le cloud. Elle a également appris à utiliser AWS Artifact pour générer des rapports relatifs aux normes de conformité à la LPRPDE et pour obtenir un BAA auprès d'AWS. Cependant, elle souhaite également savoir où il est indiqué qu'AWS ne déplace pas les données d'un client. Après avoir collaboré avec l'équipe chargée des comptes, un spécialiste de la conformité et les avocats de Citus Health, elle a appris que cela était indiqué sur la page du contrat client AWS qu'elle signe.

Citus Health s'est également rendu compte de la nécessité de savoir où vont les données si celles-ci sont envoyées via le SNS vers d'autres régions ou si le téléphone contenant ces messages est transféré vers un autre pays. Elle doit également être en mesure de tenir compte de ces scénarios et de déterminer les services à utiliser pour garantir que ses données restent au Canada.

Pour répondre à ses préoccupations en matière de migration, Rackspace fonctionne sur AWS et gère uniquement l'infrastructure pour ses clients. En travaillant avec l'équipe chargée des comptes, Citus Health a découvert qu'il n'était pas nécessaire d'utiliser les méthodes habituelles pour migrer ses données et ses serveurs de Rackspace vers AWS. Comme Rackspace fonctionne sur AWS, elle dispose d'un identifiant de compte AWS que Rackspace gère pour elle. En suivant les conseils de l'équipe chargée des comptes, Citus Health a contacté directement Rackspace et lui a demandé si la propriété du compte pouvait être transférée directement de Rackspace à AWS afin de ne pas avoir à migrer quoi que ce soit entre les comptes ou les plateformes. Rackspace est capable de le faire. Ainsi, pour toute start-up, cela peut aider à accélérer les migrations et à alléger le travail du côté client.

Citus et AWS ensemble

Tout au long du parcours de Citus Health, l'entreprise a appris à utiliser divers outils et services pour protéger au mieux à la fois les clients et les entreprises qu'elle dessert ; la sécurité doit toujours être une priorité. En interne, Citus Health utilise un VPC distinct avec un hôte bastion, qui vérifie et bloque les connexions indésirables tout en permettant aux connexions autorisées de connecter l'hôte bastion. Grâce à l'hôte bastion, son équipe DevOps et ses développeurs peuvent accéder aux principales ressources du VPC grâce au peering VPC. La séparation de ses ressources à l'aide de deux VPC distincts permet de les isoler et ajoute une couche supplémentaire de protection et de séparation. Des groupes de sécurité sont mis en place et agissent comme des pare-feu virtuels pour chaque VPC. Les applications peuvent communiquer avec les microservices de Citus Health par le biais d'appels d'API autorisés tout en bloquant les connexions indésirables. Les NACL fonctionnent conjointement avec des groupes de sécurité, ce qui ajoute une couche de sécurité supplémentaire. Les groupes de sécurité fonctionnent au niveau de l'instance, empêchant les connexions d'atteindre les ressources d'un VPC, tandis que les NACL filtrent les connexions lorsqu'elles entrent dans les sous-réseaux dans lesquels ces ressources sont placées. Les NACL vous permettent également de refuser explicitement les connexions, tandis que les groupes de sécurité vous autorisent uniquement à implémenter des règles d'autorisation. Les NACL sont également sans état, ce qui signifie que le trafic sera refusé à moins qu'une autorisation ne soit explicitement définie. Les outils de surveillance comme CloudTrail et IAM Analyzer permettent également de savoir qui accède à quelles ressources et permettent à Citus Health de suivre les ressources et les rôles partagés avec des entités externes. Tout cela a été mis en place pour protéger les patients et leurs informations tout en garantissant que les autres entreprises de soins de santé utilisant les services de Citus Health sont également protégées.

À mesure que Citus Health continue de croître, l'entreprise doit augmenter ses ressources pour être en mesure de répondre aux demandes de ses clients. Après son passage initial de la gestion par Rackspace à la gestion par AWS, Citus Health n'avait configuré que des instances Amazon EC2 ainsi qu'un Elastic Load Balancer (ELB) pour distribuer le trafic. La capacité qu'elle avait créée était suffisante pour répondre à ses trafics et à sa demande actuels. Citus Health n'était initialement déployée qu'aux États-Unis, et à mesure que leur taille a commencé à croître, elle s'est finalement étendue à la région du Canada. Cette croissance s'est accompagnée de la nécessité de mettre en œuvre des mesures de mise à l'échelle automatique afin de générer des capacités supplémentaires afin de garantir à ses clients une expérience fluide. Citus Health a également commencé à tirer parti d'Amazon ECS dans la région du Canada et a divisé son application en microservices afin de découpler son application et de tirer parti de l'orchestration de conteneurs.

Elle dispose également d'une configuration multi-AZ pour ses instances Amazon Relational Database Service (Amazon RDS) à des fins de reprise après sinistre. Les données sont répliquées de manière synchrone entre les instances principales. Si l'instance RDS principale tombe en panne, Amazon RDS lance un basculement automatique vers une instance de secours sans aucune intervention administrative. Lorsqu'il s'agit de fournir aux patients une méthode de communication avec les professionnels de santé, l'élasticité garantit une expérience fluide, tandis que la disponibilité permet aux patients de rester connectés et de disposer d'une ligne de communication ouverte avec les ressources dont ils ont besoin.

Conclusion

Les start-ups évoluent très rapidement et des détails tels que la sécurité, l'élasticité et la disponibilité peuvent être négligés si l'on souhaite lancer un produit ou un service le plus rapidement possible. En utilisant AWS, Citus Health a pu tirer parti d'outils et de services intégrés pour sécuriser son environnement et garantir la disponibilité et la résilience de ses services. En vous assurant que des éléments comme les groupes de sécurité, les NACL, les équilibreurs de charge, la mise à l'échelle automatique et les configurations multi-AZ sont correctement configurés, vous pouvez garantir la disponibilité et la sécurité de votre application afin que vous puissiez offrir à vos clients l'expérience la plus fluide possible sur le long terme.