In che modo Citus Health utilizza AWS per fornire assistenza virtuale sicura e in tempo reale ai pazienti

di Vincent Zheng, Associate Startup Solutions Architect presso AWS, e Christine Samson, Startup Solutions Architect Manager presso AWS

Prima di lanciare Citus Health, la co-fondatrice e CEO Melissa Kozak ha trascorso otto anni fornendo assistenza diretta ai pazienti sottoposti a terapia infusionale domiciliare, che prevede la somministrazione di farmaci per via endovenosa o sottocutanea ai pazienti. Durante la sua esperienza come infermiera, ha identificato una lacuna negli strumenti di cui i pazienti disponevano per mettersi in contatto direttamente con i loro fornitori di cure in caso di domande o problemi. Kozak ha ricordato un momento in cui la pompa endovenosa di un paziente aveva emesso un segnale acustico per tutta la notte; ha contattato un servizio di guardia medica, che per tre volte ha trasferito la chiamata e poi l'ha disconnessa, facendogli perdere così la sua dose. Con l'aiuto del co-fondatore di Citus Health Shadid Shah, un leader di pensiero nel settore dell'assistenza sanitaria digitale, che nella sua carriera ha creato e implementato diversi sistemi di cartelle cliniche elettroniche, sono stati in grado di dare vita all'idea di strumenti e risorse di comunicazione incentrati sul paziente.

Come funziona

Citus Health è una startup di trasformazione sanitaria digitale che consente una collaborazione sicura e in tempo reale tra team del settore sanitario, partner e famiglie per fornire la migliore esperienza possibile ai pazienti e influire positivamente sul risultato finanziario del fornitore di assistenza. L'applicazione, accessibile dal web e dai dispositivi mobili, offre a pazienti e fornitori funzionalità come la comunicazione bidirezionale sicura, note infermieristiche centralizzate, documentazione, pianificazione e sessioni video. Citus Health consente anche l'integrazione di sistemi di terze parti: le aziende possono integrare le proprie applicazioni con i microservizi di Citus Health in esecuzione su AWS. Ad esempio, le aziende farmaceutiche specializzate possono integrarsi con la piattaforma Citus Health per inviare e ricevere documenti e informazioni importanti sui pazienti sia dai pazienti stessi che dagli operatori sanitari in modo da offrire un'esperienza più fluida e semplice nella somministrazione ai pazienti dei farmaci di cui hanno bisogno.

In che modo Citus Health utilizza AWS

L'applicazione di Citus Health è costruita utilizzando una combinazione di PHP, Node.js, Angular e Ionic che interagisce con i microservizi in esecuzione nell'infrastruttura AWS tramite l'uso di API. Il suo sito web e i suoi microservizi sono ospitati su Amazon Elastic Container Service (Amazon ECS) con il tipo di avvio Elastic Compute Cloud (Amazon EC2). Man mano che l'applicazione cresce, la gestione dell'implementazione, della struttura e della scalabilità di questi container diventa sempre più complicata. Le funzionalità di orchestrazione dei container di ECS mirano a semplificare le opzioni di configurazione gestendo al contempo il lavoro pesante.

Citus Health utilizza container per più microservizi che forniscono funzionalità come assegnazione di credenziali, registrazione e messaggistica in tempo reale. Amazon ECS gestisce il posizionamento di questi container sui cluster Amazon EC2 preinstallati con Docker. Inoltre, semplifica la scalabilità, il monitoraggio e la gestione di queste istanze tramite la Console di gestione AWS. La comunicazione tra le istanze in cui risiedono questi container e Amazon ECS viene effettuata tramite l'agente del container ECS, anch'esso preinstallato sulle istanze EC2 all'interno di un cluster. L'utilizzo del tipo di avvio Amazon EC2 offre un maggiore controllo su dettagli come la famiglia di istanze e le dimensioni su cui risiederanno questi container di microservizi. Citus Health è in grado di decidere la famiglia, le dimensioni e altri dettagli di configurazione delle istanze, così da poter sfruttare i vantaggi dell'orchestrazione dei container mantenendo al contempo il controllo di aspetti specifici della gestione dell'infrastruttura, fondamentali per garantire che l'applicazione disponga delle risorse e della capacità adeguate di cui ha bisogno.

Citus Health utilizza anche strumenti come le sottoreti private, che contengono i suoi microservizi che gestiscono attività come credenziali, messaggistica sicura e registrazione. Questi servizi API sono collocati dietro un gateway Network Address Translation (NAT), che consente alle API di interagire con altre risorse AWS e Internet bloccando le connessioni esterne al di fuori del cloud AWS. In un'altra sottorete privata si trovano i suoi database PostgreSQL in esecuzione su RDS, che vengono utilizzati per archiviare i dati generati dall'applicazione. Le liste di controllo degli accessi di rete (NACL) sono posizionate davanti a tutte le relative sottoreti per filtrare le connessioni indesiderate.

Lezioni apprese

Quando Citus Health ha valutato per la prima volta una migrazione ad AWS, aveva due preoccupazioni principali: la sovranità dei dati per la conformità alle normative PIPEDA, per uno dei suoi clienti in Canada, e la ricerca del modo più semplice per migrare da un provider di servizi gestiti (MSP) Rackspace ad AWS. Per quanto riguarda la sovranità dei dati, Citus Health ha collaborato con il team dell'account per determinare come rispettare la conformità a PIPEDA. Sebbene il modello di responsabilità condivisa per la conformità e la sicurezza non fosse nuovo per Citus Health, aveva bisogno di maggiori chiarimenti su come PIPEDA funziona specificamente su AWS. L'azienda non era certa che il Business Associate Agreement (BAA) dell'HIPAA includesse PIPEDA e si chiedeva se una delle due parti (Citus Health o AWS) dovesse fare di più per essere conforme a PIPEDA. Citus Health ha incontrato il team dell'account di AWS e uno specialista di conformità per discutere di questo problema. Ha appreso che il modello di responsabilità condivisa è ancora valido, che AWS si occupa della sicurezza e della conformità del cloud mentre l'azienda è responsabile della sicurezza e della conformità nel cloud. Ha anche imparato a usare AWS Artifact per generare dei report relativi agli standard di conformità PIPEDA e per ottenere un BAA da AWS. Inoltre, l'azienda voleva sapere dove si afferma che AWS non sposta i dati di un cliente. Grazie alla collaborazione con il team responsabile dell'account, uno specialista della conformità e gli avvocati di Citus Health, l'azienda ha appreso che ciò viene indicato nella pagina del contratto clienti AWS che viene sottoscritto.

Citus Health ha anche capito che deve sapere dove vanno i dati se i dati vengono inviati tramite SNS ad altre regioni o se il telefono contenente questi messaggi viene portato in un altro paese. Inoltre, deve essere in grado di tenere conto di questi scenari e capire quali servizi utilizzare per garantire che i dati rimangano in Canada.

Per quanto riguarda migrazione, Rackspace funziona su AWS e gestisce solo l'infrastruttura per i propri clienti. Collaborando con il team dell'account, Citus Health ha scoperto di non dover utilizzare i metodi abituali per migrare dati e server da Rackspace ad AWS. Poiché Rackspace viene eseguito su AWS, l'azienda dispone di un ID account AWS che Rackspace gestisce per suo conto. Seguendo i consigli del team dell'account, Citus Health ha contattato direttamente Rackspace e ha chiesto se la titolarità dell'account potesse essere trasferita direttamente da Rackspace ad AWS in modo da non dover effettivamente migrare nulla tra account o piattaforme. Rackspace è in grado di farlo, e per qualsiasi startup in fase iniziale una simile capacità può accelerare le migrazioni e alleggerire il lavoro del cliente.

Citus e AWS insieme

Durante del percorso di Citus Health, l'azienda ha imparato a utilizzare una varietà di strumenti e servizi per proteggere al meglio sia i clienti sia le aziende che serve; la sicurezza deve essere sempre messa al primo posto. Internamente, Citus Health utilizza un VPC separato con un host bastione, che controlla e blocca le connessioni indesiderate consentendo al contempo alle connessioni autorizzate di connettersi all'host bastione. Tramite l'host bastione, il team DevOps e gli sviluppatori possono raggiungere le risorse principali del VPC tramite il peering VPC. La separazione delle risorse con due VPC distinti aiuta a isolarle e aggiunge un ulteriore livello di protezione e separazione. Per ogni VPC vengono creati gruppi di sicurezza che fungono da firewall virtuali. Le applicazioni possono comunicare con i microservizi di Citus Health tramite chiamate API autorizzate bloccando al contempo le connessioni indesiderate. Le NACL, insieme ai gruppi di sicurezza, aggiungono un ulteriore livello di sicurezza. I gruppi di sicurezza funzionano a livello di istanza, impedendo alle connessioni di raggiungere le risorse all'interno di un VPC mentre le NACL filtrano le connessioni quando entrano nelle sottoreti in cui sono collocate queste risorse. Le NACL consentono di rifiutare esplicitamente le connessioni, mentre i gruppi di sicurezza consentono soltanto di implementare le regole di autorizzazione. Le NACL, inoltre, sono stateless, il che significa che il traffico verrà negato a meno che non sia esplicitamente autorizzato. Anche altri strumenti di monitoraggio, come CloudTrail e Sistema di analisi degli accessi IAM, contribuiscono a monitorare chi accede a quali risorse e consentono a Citus Health di tenere traccia delle risorse e dei ruoli condivisi con entità esterne. Tutto ciò è stato messo in atto per proteggere i pazienti e le loro informazioni, garantendo al contempo anche la protezione delle altre aziende sanitarie che utilizzano i servizi di Citus Health.

Data la sua continua crescita, Citus Health deve ampliare le proprie risorse per essere in grado di soddisfare le richieste dei clienti. Dopo il passaggio iniziale dalla gestione da Rackspace ad AWS, Citus Health aveva configurato solo istanze Amazon EC2 insieme a un Elastic Load Balancer (ELB) per distribuire il traffico. All'epoca, la capacità che aveva creato era sufficiente a supportare il traffico e la domanda. Inizialmente, Citus Health era implementata soltanto negli Stati Uniti, ma la sua crescita l'ha portata a estendersi alla regione del Canada. Con questa crescita è nata la necessità di implementare delle misure di scalabilità automatica per aumentare la capacità e garantire che i clienti continuassero a ricevere un'esperienza fluida e senza interruzioni. Citus Health ha iniziato a sfruttare Amazon ECS anche nella regione del Canada e ha suddiviso la propria applicazione in microservizi per disaccoppiare l'applicazione e sfruttare l'orchestrazione dei container.

L'azienda dispone anche di una configurazione Multi-AZ per il ripristino di emergenza delle istanze Amazon Relational Database Service (Amazon RDS). I dati vengono replicati in modo sincrono tra le istanze primarie e, in caso di errore dell'istanza RDS primaria, Amazon RDS avvia automaticamente un failover su un'istanza di standby senza alcun intervento amministrativo. Quando è necessario fornire ai pazienti un metodo per comunicare con gli operatori sanitari, l'elasticità garantisce un'esperienza fluida e senza interruzioni, mentre la disponibilità garantisce che i pazienti rimangano connessi e dispongano di un canale di comunicazione aperto con le risorse di cui hanno bisogno.

Conclusioni

Le startup si muovono a un ritmo molto veloce e dettagli come sicurezza, elasticità e disponibilità possono finire per essere trascurati a causa del desiderio di rilasciare un prodotto o un servizio il più rapidamente possibile. Utilizzando AWS, Citus Health è stata in grado di sfruttare strumenti e servizi integrati per proteggere il proprio ambiente e garantire che i propri servizi rimanessero disponibili e resilienti. Garantire che elementi come i gruppi di sicurezza, i NACL, i sistemi di bilanciamento del carico, la scalabilità automatica e le configurazioni Multi-AZ siano configurati correttamente contribuirà a mantenere la tua applicazione disponibile e sicura, in modo da poter offrire ai tuoi clienti l'esperienza più fluida possibile nel lungo periodo.