In che modo Citus Health utilizza AWS per fornire assistenza virtuale sicura e in tempo reale ai pazienti

di Vincent Zheng, Associate Startup Solutions Architect di AWS, e Christine Samson, Startup Solutions Architect Manager di AWS

Prima di avviare Citus Health, la co-fondatrice e CEO Melissa Kozak ha trascorso otto anni fornendo assistenza diretta ai pazienti sottoposti a terapia infusionale domiciliare, in cui ai pazienti vengono somministrati farmaci per via endovenosa o sottocutanea. Durante la sua esperienza come infermiera, ha identificato una lacuna negli strumenti a disposizione dei pazienti per mettersi in contatto direttamente con i loro fornitori di cure in caso di domande o problemi. Kozak ha ricordato un momento in cui la pompa endovenosa di un paziente aveva emesso un segnale acustico per tutta la notte; ha contattato un servizio di guardia medica, che per tre volte ha trasferito la chiamata e poi l'ha disconnessa, facendogli perdere così la sua dose. Con l'aiuto del co-fondatore di Citus Health Shadid Shah, un leader di pensiero nel settore dell'assistenza sanitaria digitale, che nella sua carriera ha creato e implementato diversi sistemi di cartelle cliniche elettroniche, sono stati in grado di dare vita all'idea di strumenti e risorse di comunicazione incentrati sul paziente.

Come funziona

Citus Health è una startup di trasformazione sanitaria digitale che consente una collaborazione sicura e in tempo reale tra team del settore sanitario, partner e famiglie per fornire la migliore esperienza possibile ai pazienti e influire positivamente sul risultato finanziario del fornitore di assistenza. L'applicazione, accessibile dal web e dai dispositivi mobili, offre a pazienti e fornitori funzionalità come la comunicazione bidirezionale sicura, le note infermieristiche centralizzate, la documentazione, la pianificazione e le sessioni video. Citus Health consente anche l'integrazione di sistemi di terze parti: le aziende possono integrare le proprie applicazioni con i microservizi di Citus Health in esecuzione su AWS. Ad esempio, le aziende farmaceutiche specializzate possono integrarsi con la piattaforma Citus Health per inviare e ricevere documenti e informazioni importanti sui pazienti sia dai pazienti stessi che dagli operatori sanitari in modo da offrire un'esperienza più fluida e semplice nel fornire ai pazienti i farmaci di cui hanno bisogno.

In che modo Citus Health utilizza AWS

L'applicazione di Citus Health è costruita utilizzando una combinazione di PHP, Node.js, Angular e Ionic che interagisce con i microservizi in esecuzione nell'infrastruttura AWS tramite l'uso di API. Il loro sito web e i loro microservizi sono ospitati su Amazon Elastic Container Service (Amazon ECS) con il tipo di lancio Elastic Compute Cloud (Amazon EC2). Man mano che la loro applicazione cresce, la gestione dell'implementazione, della struttura e della scalabilità di questi container diventa sempre più complicata. Le funzionalità di orchestrazione dei container di ECS mirano a semplificare le opzioni di configurazione gestendo al contempo il lavoro pesante.

Citus Health utilizza container per più microservizi che forniscono funzionalità come messaggistica in tempo reale, credenziali e registrazione. Amazon ECS gestisce il posizionamento di questi container sui cluster Amazon EC2 preinstallati con Docker. Inoltre, semplifica la scalabilità, il monitoraggio e la gestione di queste istanze tramite la console di gestione AWS. La comunicazione tra le istanze in cui risiedono questi container e Amazon ECS viene effettuata tramite ECS Container Agent, anch'esso preinstallato sulle istanze EC2 all'interno di un cluster. L'utilizzo del tipo di lancio di Amazon EC2 offre un maggiore controllo su dettagli come la famiglia di istanze e le dimensioni su cui risiederanno questi container di microservizi. Citus Health è in grado di decidere la famiglia di istanze, le dimensioni e altri dettagli di configurazione, consentendo loro di sfruttare i vantaggi dell'orchestrazione dei container, mantenendo al contempo il controllo di aspetti specifici della gestione dell'infrastruttura, fondamentali per garantire che l'applicazione disponga delle risorse e della capacità adeguate di cui ha bisogno.

Citus Health utilizza anche strumenti come le sottoreti private, che contengono i loro microservizi che gestiscono attività come credenziali, messaggistica sicura e registrazione. Questi servizi API sono collocati dietro un gateway Network Address Translation (NAT), che consente alle API di interagire con altre risorse AWS e Internet bloccando le connessioni esterne al di fuori del cloud AWS. In un'altra sottorete privata si trovano i loro database PostgreSQL in esecuzione su RDS che vengono utilizzati per archiviare i dati generati dalla loro applicazione. Le liste di controllo degli accessi di rete (NACL) vengono posizionate davanti a tutte le relative sottoreti per filtrare le connessioni indesiderate.

Lezioni apprese

Quando Citus Health ha valutato per la prima volta una migrazione ad AWS, aveva due preoccupazioni principali: la sovranità dei dati per la conformità alle normative PIPEDA, per uno dei suoi clienti in Canada, e la ricerca del modo più semplice per migrare da un fornitore di servizi gestiti (MSP) Rackspace ad AWS. Per quanto riguarda la sovranità dei dati, Citus Health ha collaborato con il team dell'account per determinare come essere conformi a PIPEDA. Sebbene il modello di responsabilità condivisa per la conformità e la sicurezza non fosse nuovo per Citus Health, aveva bisogno di maggiori chiarimenti su come PIPEDA funziona specificamente su AWS. Non erano sicuri se l'HIPAA Business Associate Agreement (BAA) includesse PIPEDA o se una delle parti (Citus Health o AWS) dovesse fare di più per essere conforme a PIPEDA. Citus Health ha incontrato il team dell'account di AWS e uno specialista di conformità per discutere di questo problema. Hanno appreso che il modello di responsabilità condivisa è ancora valido, che AWS si occupa della sicurezza e della conformità del cloud mentre è responsabile della sicurezza e della conformità nel cloud. Hanno anche imparato a usare AWS Artifact per generare dei report relativi agli standard di conformità PIPEDA e per ottenere un BAA da AWS. Tuttavia, volevano anche sapere dove si afferma che AWS non sposta i dati di un cliente. Grazie alla collaborazione con il team responsabile dell'account, uno specialista della conformità e gli avvocati di Citus Health, hanno appreso che ciò viene indicato nella pagina dell'accordo cliente AWS che essi firmano.

Citus Health ha anche capito che deve sapere dove vanno i dati se i dati vengono inviati tramite SNS ad altre regioni o se il telefono contenente questi messaggi viene portato in un altro paese. Devono inoltre essere in grado di tenere conto di questi scenari e capire quali servizi utilizzare per garantire che i loro dati rimangano in Canada.

Per i loro problemi di migrazione, Rackspace funziona su AWS e gestisce solo l'infrastruttura per i propri clienti. Collaborando con il team responsabile dell'account, Citus Health ha scoperto di non dover utilizzare i metodi usuali per migrare dati e server da Rackspace ad AWS. Poiché Rackspace viene eseguito su AWS, dispongono di un ID account AWS che Rackspace gestisce per loro. Seguendo i consigli del team dell'account, Citus Health ha contattato direttamente Rackspace e ha chiesto se la proprietà dell'account potesse essere trasferita direttamente da Rackspace ad AWS in modo da non dover effettivamente migrare nulla tra account o piattaforme. Rackspace è in grado di farlo, quindi, per qualsiasi startup in fase iniziale; ciò può aiutare ad accelerare le migrazioni e ad alleggerire il lavoro del cliente.

Citus e AWS insieme

Durante del percorso di Citus Health's, l'azienda ha imparato a utilizzare una varietà di strumenti e servizi per proteggere al meglio sia i clienti che le aziende che serve; la sicurezza deve essere sempre messa al primo posto. Internamente, Citus Health utilizza un VPC separato con un host bastione, che controlla e blocca le connessioni indesiderate consentendo al contempo alle connessioni autorizzate di connettere l'host bastione. Tramite l'host bastione, il team DevOps e gli sviluppatori possono raggiungere le principali risorse del VPC tramite il peering VPC. La separazione delle loro risorse con due VPC distinti aiuta a isolare le loro risorse e aggiunge un ulteriore livello di protezione e separazione. Vengono creati gruppi di sicurezza che fungono da firewall virtuali per ogni VPC. Le applicazioni possono comunicare con i microservizi di Citus Health tramite chiamate API autorizzate bloccando al contempo le connessioni indesiderate. I NACL funzionano insieme ai gruppi di sicurezza che aggiungono un ulteriore livello di sicurezza. I gruppi di sicurezza funzionano a livello di istanza, impedendo alle connessioni di raggiungere le risorse all'interno di un VPC mentre i NACL filtrano le connessioni quando entrano nelle sottoreti in cui sono collocate queste risorse. I NACL consentono inoltre di negare esplicitamente le connessioni, mentre i gruppi di sicurezza consentono solo di implementare le regole di autorizzazione. I NACL sono inoltre privi di stato, il che significa che il traffico verrà negato a meno che non venga definito esplicitamente un permesso. Strumenti di monitoraggio come CloudTrail e IAM Analyzer aiutano anche a tenere traccia di chi accede a quali risorse, e consentono a Citus Health di tenere traccia delle risorse e dei ruoli condivisi con entità esterne. Tutto ciò è stato messo in atto per proteggere i pazienti e le loro informazioni, garantendo al contempo la protezione anche delle altre aziende sanitarie che utilizzano i servizi di Citus Health.

Poiché Citus Health continua a crescere, deve ampliare le proprie risorse per essere in grado di soddisfare le richieste dei propri clienti. Dopo il passaggio iniziale dalla gestione da Rackspace ad AWS, Citus Health aveva configurato solo istanze Amazon EC2 insieme a un sistema di bilanciamento del carico elastico (ELB - Elastic Load Balancer) per distribuire il traffico. La capacità che avevano creato era sufficiente a supportare il traffico e la domanda attuali. Citus Health è stata inizialmente impiegata solo negli Stati Uniti e, con la crescita delle sue dimensioni, alla fine si è estesa alla regione del Canada. Con questa crescita è nata la necessità di implementare delle misure di scalabilità automatica per aumentare la capacità e garantire che i clienti continuassero a ricevere un'esperienza fluida e senza interruzioni. Citus Health ha iniziato a sfruttare Amazon ECS anche nella regione del Canada e ha suddiviso la propria applicazione in microservizi per disaccoppiare l'applicazione e sfruttare l'orchestrazione dei container.

Dispongono anche di una configurazione Multi-AZ per le loro istanze Amazon Relational Database Service (Amazon RDS) per il ripristino di emergenza. I dati vengono replicati in modo sincrono tra le istanze primarie e, in caso di errore dell'istanza RDS primaria, Amazon RDS avvierà un failover automatico su un'istanza di standby senza alcun intervento amministrativo. Quando è necessario fornire ai pazienti un metodo per comunicare con gli operatori sanitari, l'elasticità garantisce un'esperienza fluida e senza interruzioni, mentre la disponibilità garantisce che i pazienti rimangano connessi e abbiano un canale di comunicazione aperto con le risorse di cui hanno bisogno.

Conclusioni

Le startup si muovono a un ritmo molto veloce e dettagli come sicurezza, elasticità e disponibilità possono finire per essere trascurati a causa del desiderio di rilasciare un prodotto o un servizio il più rapidamente possibile. Utilizzando AWS, Citus Health è stata in grado di sfruttare strumenti e servizi integrati per proteggere il proprio ambiente e garantire che i propri servizi rimanessero disponibili e resilienti. Garantire che elementi come i gruppi di sicurezza, i NACL, i sistemi di bilanciamento del carico, la scalabilità automatica e le configurazioni Multi-AZ siano configurati correttamente contribuirà a mantenere la tua applicazione disponibile e sicura, in modo da poter offrire ai tuoi clienti l'esperienza più fluida possibile nel lungo periodo.