Como a Citus Health usa a AWS para fornecer atendimento virtual seguro e em tempo real ao paciente

por Vincent Zheng, arquiteto associado de soluções para startups da AWS, e Christine Samson, gerente de arquitetura de soluções para startups da AWS

Antes de abrir a Citus Health, a cofundadora e CEO Melissa Kozak passou oito anos prestando atendimento direto a pacientes que recebiam terapia de infusão domiciliar, na qual os pacientes recebem medicamentos por via intravenosa ou subcutânea. Durante sua carreira como enfermeira, Melissa identificou uma lacuna nas ferramentas disponíveis para os pacientes se conectarem diretamente com os profissionais de saúde quando tivessem dúvidas ou estivessem enfrentando problemas. Kozak relembrou um momento em que a bomba de infusão intravenosa de um paciente estava apitando a noite toda. O paciente entrou em contato com um serviço de plantão, onde foi transferido três vezes e depois desconectado, resultando na perda de uma dose. Com a ajuda do cofundador da Citus Health, Shadid Shah, um líder de opinião na área de saúde digital que criou e implantou vários sistemas de registros eletrônicos de saúde em sua carreira, eles conseguiram implementar a ideia de ferramentas e recursos de comunicação centrados no paciente.

Como funciona

A Citus Health é uma startup de transformação digital da saúde que permite a colaboração segura e em tempo real entre equipes de saúde, parceiros e famílias para oferecer a melhor experiência possível ao paciente e, ao mesmo tempo, impactar positivamente o resultado financeiro do prestador de cuidados. A aplicação acessível pela Web e por dispositivos móveis fornece aos pacientes e profissionais de saúde recursos como comunicação bidirecional segura, prontuários de enfermagem centralizados, documentação, agendamento e sessões de vídeo. A Citus Health também permite integrações de sistemas de outros fornecedores, nas quais as empresas podem integrar suas aplicações aos microsserviços da Citus Health em execução na AWS. Por exemplo, empresas farmacêuticas especializadas podem se integrar à plataforma da Citus Health como uma forma de enviar e receber documentos e informações importantes sobre os pacientes e os profissionais de saúde, a fim de proporcionar uma experiência mais fácil e tranquila no fornecimento dos medicamentos de que os pacientes precisam.

Como a Citus Health utiliza a AWS

A aplicação Citus Health foi criada usando uma combinação de PHP, NodeJs, Angular e Ionic, que interagem com microsserviços executados na infraestrutura da AWS por meio do uso de APIs. Seu site e microsserviços são hospedados no Amazon Elastic Container Service (Amazon ECS) com o tipo de lançamento do Elastic Compute Cloud (Amazon EC2). À medida que a aplicação cresce, o gerenciamento da implantação, da estrutura e da escalabilidade desses contêineres se torna cada vez mais complicado. Os recursos de orquestração de contêineres do ECS visam simplificar as opções de configuração e, ao mesmo tempo, administrar o trabalho pesado.

A Citus Health utiliza contêineres para vários microsserviços que fornecem recursos como mensagens em tempo real, credenciamento e inscrição. O Amazon ECS administra a colocação desses contêineres em clusters do Amazon EC2 que vêm pré-instalados com o Docker. Ele também simplifica a escalabilidade, o monitoramento e o gerenciamento dessas instâncias por meio do console de gerenciamento da AWS. A comunicação entre as instâncias em que esses contêineres residem e o Amazon ECS é feita pelo ECS Container Agent, que também vem pré-instalado nas instâncias do EC2 em um cluster. O uso desse tipo de lançamento do Amazon EC2 fornece maior controle sobre os detalhes, como a família de instâncias e o tamanho em que esses contêineres de microsserviços residirão. A Citus Health pode decidir sobre a família, o tamanho e outros detalhes de configuração da instância, permitindo aproveitar os benefícios da orquestração de contêineres e, ao mesmo tempo, manter o controle de aspectos específicos do gerenciamento da infraestrutura, que são vitais para garantir que a aplicação tenha os recursos e a capacidade adequados de que precisa.

A Citus Health também utiliza ferramentas como sub-redes privadas, que contêm seus microsserviços que lidam com tarefas como credenciamento, mensagens seguras e inscrição. Esses serviços de API são colocados atrás do gateway de uma conversão de endereços de rede (NAT), que permite que as APIs interajam com outros recursos da AWS e com a Internet enquanto bloqueiam conexões externas fora da Nuvem AWS. Situados em uma sub-rede privada diferente estão os bancos de dados PostgreSQL em execução no RDS, que são usados para armazenar dados gerados pelas aplicações. As listas de controle de acesso à rede (NACLs) são colocadas na frente de todas as suas sub-redes para filtrar conexões indesejadas.

As lições aprendidas

Quando a Citus Health considerou pela primeira vez a migração para a AWS, eles tinham duas grandes preocupações: a soberania dos dados visando a conformidade com os regulamentos da PIPEDA para um de seus clientes no Canadá, e encontrar a maneira mais fácil de migrar do Rackspace, um provedor de serviços gerenciados (MSP), para a AWS. Para resolver sua preocupação com a soberania de dados, a Citus Health trabalhou com a equipe de contas para determinar como manter a conformidade com a PIPEDA. Embora o modelo de responsabilidade compartilhada para a conformidade e a segurança não fosse um conceito novo para a Citus Health, eles precisavam de mais esclarecimentos sobre como a PIPEDA funciona especificamente na AWS. Eles não tinham certeza se o Acordo de Associado Comercial (BAA) da HIPAA cobria a PIPEDA ou se alguma das partes (Citus Health ou AWS) precisava fazer algo mais para manter a conformidade com a PIPEDA. A Citus Health se reuniu com a equipe de contas da AWS e com um especialista em conformidade para discutir essa preocupação. Eles aprenderam que o modelo de responsabilidade compartilhada ainda se aplica, que a AWS cuida da segurança e da conformidade da nuvem enquanto for responsável pela segurança e conformidade na nuvem. Eles também aprenderam a usar o AWS Artifact para gerar relatórios relacionados aos padrões de conformidade do PIPEDA e a obter um BAA da AWS. No entanto, eles também queriam localizar a garantia de que a AWS não move os dados de um cliente. Após a colaboração com a equipe de contas, com um especialista em conformidade e com os próprios advogados da Citus Health, eles descobriram que isso está declarado na página do contrato de cliente da AWS que eles deveriam assinar.

A Citus Health também percebeu que precisava saber para onde os dados estão indo se forem enviados via SNS para outras regiões ou se o telefone que contém essas mensagens for levado para um país diferente. Eles também precisam contabilizar esses cenários e saber quais os serviços devem usar para garantir que seus dados permaneçam no Canadá.

Em relação à sua preocupação com a migração, a Rackspace é executada na AWS e apenas gerencia a infraestrutura para seus clientes. Trabalhando com a equipe de contas, a Citus Health descobriu que eles não precisam usar as formas tradicionais de migrar seus dados e servidores da Rackspace para a AWS. Como a Rackspace é executada na AWS, eles têm um ID de conta da AWS que a Rackspace gerencia para eles. Seguindo o conselho da equipe de contas, a Citus Health entrou em contato diretamente com a Rackspace e perguntou se a propriedade da conta poderia ser transferida diretamente da Rackspace para a AWS, para que eles não precisassem realmente migrar nada entre contas ou plataformas. A Rackspace é capaz de fazer isso, portanto, para qualquer startup em estágio inicial, isso pode ajudar a agilizar as migrações e aliviar o trabalho do cliente.

Citus e AWS juntas

Durante toda a jornada da Citus Health, a empresa aprendeu a utilizar uma variedade de ferramentas e serviços para melhor proteger os clientes e as empresas atendidas; a segurança deve estar sempre em primeiro lugar. Internamente, a Citus Health utiliza uma VPC separada com um host bastion, que examina e bloqueia conexões indesejadas enquanto permite as conexões autorizadas ao bastion host. No bastion host, a equipe de DevOps e seus desenvolvedores podem acessar os principais recursos da VPC por meio do emparelhamento de VPC. A separação de seus recursos com duas VPCs separadas ajuda a isolar os recursos e adiciona uma camada extra de proteção e separação. Grupos de segurança são posicionados para atuar como firewalls virtuais para cada VPC. As aplicações podem se comunicar com os microsserviços da Citus Health por meio de chamadas de API autorizadas, bloqueando conexões indesejadas. Os NACLs funcionam em conjunto com grupos de segurança que adicionam uma camada extra de segurança. Os grupos de segurança trabalham no nível da instância, impedindo que as conexões alcancem os recursos em uma VPC, enquanto as NACLs filtram as conexões à medida que elas entram nas sub-redes nas quais esses recursos são colocados. As NACLs também permitem que você recuse explicitamente as conexões, enquanto os grupos de segurança só permitem que você implemente regras de permissão. Os NACLs também são sem estado, o que significa que o tráfego será recusado, a menos que uma permissão seja definida explicitamente. Ferramentas de monitoramento, como o CloudTrail e o IAM Analyzer, também ajudam a acompanhar quem está acessando quais recursos e permitem que a Citus Health monitore os recursos e funções que são compartilhados com entidades externas. Tudo isso foi implementado para proteger os pacientes e suas informações e, ao mesmo tempo, garantir que outras empresas de saúde que utilizam os serviços da Citus Health também estejam protegidas.

À medida que a Citus Health continua crescendo, ela precisa escalar seus recursos para poder atender às demandas de seus clientes. Após a transferência inicial do gerenciamento da Rackspace para a AWS, a Citus Health havia configurado apenas instâncias do Amazon EC2 junto com um Elastic Load Balancer (ELB) para distribuir o tráfego. A capacidade que eles criaram foi suficiente para suportar o tráfego e a demanda atuais. Inicialmente, a Citus Health foi implantada apenas nos Estados Unidos e, à medida que começou a crescer em tamanho, acabou se expandindo para a região do Canadá. Com esse crescimento, surgiu a necessidade de implementar medidas de escalabilidade automática como forma de aumentar a capacidade extra para garantir que seus clientes continuassem tendo uma experiência tranquila e perfeita. A Citus Health também começou a usar o Amazon ECS na região do Canadá e dividiu sua aplicação em microsserviços como uma forma de dissociá-la e utilizar a orquestração de contêineres.

Eles também têm uma configuração Multi-AZ para suas instâncias do Amazon Relational Database Service (Amazon RDS) visando a recuperação de desastres. Os dados são replicados de forma síncrona entre as instâncias primárias e, se a instância primária do RDS falhar, o Amazon RDS iniciará um failover automático para uma instância em espera sem qualquer intervenção administrativa. Quando se trata de fornecer aos pacientes um método de comunicação com os profissionais de saúde, a elasticidade garante uma experiência tranquila e contínua, enquanto a disponibilidade garante que os pacientes permaneçam conectados e tenham uma linha aberta de comunicação com os recursos de que precisam.

Conclusão

As startups avançam em um ritmo muito rápido e detalhes como segurança, elasticidade e disponibilidade podem acabar negligenciados devido ao desejo de lançar um produto ou serviço o mais rápido possível. Ao utilizar a AWS, a Citus Health conseguiu aproveitar ferramentas e serviços integrados para proteger seu ambiente e garantir que seus serviços permanecessem disponíveis e resilientes. Garantir que itens como grupos de segurança, NACLs, balanceadores de carga, escalonamento automático e configurações Multi-AZ estejam configurados corretamente ajudará a manter a aplicação disponível e segura para que você possa oferecer aos seus clientes a melhor experiência possível a longo prazo.