Solution SaaS de santé basée sur le Cloud de TrendShift avec HIPAA

 Étude de cas de Trendshift

Résumé

Il y a quelques années à peine, les entreprises ont commencé à déplacer leurs applications de solutions auto-hébergées sur site vers des plates-formes SaaS basées sur le cloud. La flexibilité, la sécurité, la fiabilité et la réduction des coûts d’exploitation étaient difficiles à ignorer — et c’est la raison pour laquelle de nombreuses entreprises migrent encore aujourd’hui vers le stockage de données basé sur le cloud.

Maintenant, certaines entreprises qui ont effectué la transition initiale vers le cloud ont besoin de nouvelles solutions. Peut-être que leur fournisseur de services initial n’a pas été soigneusement contrôlé, ou que le service a fini par coûter plus cher que prévu. Quelle qu’en soit la raison, ClearScale a effectué plus de migrations cloud vers cloud que jamais auparavant. Voici l’un de nos exemples les plus réussis :

Le défi

Notre défi était multiple : l’un de nos clients du secteur de la santé, TrendShift, devait améliorer et développer son application Web. Ils utilisaient déjà un centre de données pour des applications basées sur le cloud, mais les performances, la fiabilité et l’évolutivité de la plate-forme n’étaient tout simplement pas suffisantes. Ils avaient également besoin d’une solution qui s’intégrerait facilement aux plates-formes open source tout en offrant suffisamment de sécurité pour protéger les informations sensibles.

Il y avait aussi un deuxième défi important: la conformité HIPAA. HIPAA, ou Health Insurance Portability and Accountability Act, est une loi américaine depuis 1996. L’article le plus important de cette loi est le titre II, qui établit les normes pour l’accès et les transferts de données numériques sur les soins de santé tout en restant en conformité avec les réglementations de confidentialité établies par le département américain de la Santé et des Services sociaux. Tous les centres de données ne peuvent pas contenir, traiter et transférer des données spécifiques aux soins de santé — seuls des services cloud entièrement conformes peuvent être utilisés pour ce type de migration.

Le troisième défi important était la réduction des coûts. TrendShift avait besoin d’une fiabilité et d’une évolutivité supplémentaires tout en respectant les réglementations légales du secteur de la santé. Pour que le coût de ce projet reste abordable, la plate-forme Web et les services appropriés devraient être sélectionnés et mis en œuvre correctement.

La solution ClearScale

Pour nous assurer d’atteindre tous les objectifs énoncés, ClearScale a organisé un plan en dix niveaux que nous avons mis en œuvre pendant 13 semaines. Nous avons commencé par créer les niveaux de sécurité des applications et de stockage. À partir de là, notre équipe s’est concentrée sur la connectivité et la sécurité avec les niveaux DNS et de surveillance. Pour conclure le développement et le déploiement et assurer le succès futur, nous avons ajouté les trois derniers niveaux axés sur l’automatisation, le stockage et l’analyse. Cette solution a permis à TrendShift de ressentir l’impact commercial immédiat de cette migration et de bénéficier d’un gain à plus long terme, tout en restant conforme à la norme HIPAA.

Elastic Beanstalk et conformité HIPAA

La première et la plus importante étape a été la migration vers une plate-forme applicative fiable, évolutive, rentable et conforme à la norme HIPAA qui a permis au client de développer du code sans avoir à gérer les frais généraux des opérations de développement. Amazon Elastic Beanstalk combiné à son utilisation du service de conteneurs Amazon EC2 (Amazon ECS) a été notre choix immédiat pour ce scénario. Cette solution de déploiement, qui est utilisée par la société pharmaceutique Novartis, qui espère que ses transferts dans le cloud – qui contiennent des données hautement sensibles – seront conformes à la norme HIPAA. Il est également approuvé par le géant du divertissement Netflix ainsi que par le Jet Propulsion Laboratory de la NASA, qui l’a utilisé pour la mission Mars Curiosity. Pourquoi? Parce que l’ECS d’Amazon n’est pas seulement sécurisé ; il bénéficie également d’une fiabilité impressionnante (99,95% pour chaque région ECS) et de formidables capacités de mise à l’échelle automatique, en plus du faible coût d’exploitation nécessaire au changement de tendance. Amazon Elastic Beanstalk avec Amazon ECS était l’endroit idéal pour commencer.

 Amazon Elastic Beanstalk avec Amazon ECS

De plus, afin de répondre aux normes de conformité HIPAA, nous devions nous assurer que toutes les données étaient cryptées en transit et au repos avec un système de détection d’intrusion préféré (IDS). Amazon EBS (Elastic Block Storage) avec cryptage activé était la solution idéale pour répondre au cryptage au repos. Forcer le cryptage SSL pour toutes les communications internes et externes entre les applications et la base de données répondrait à l’exigence de cryptage en transit. Enfin, OSSEC étant un leader en tant que Système de Détection d’Intrusion source (IDS), répondrait à cette dernière exigence.

 Système de détection d'intrusion

CI/CD avec les déploiements Docker, Jenkins et Blue/Green

Pour exécuter et déployer correctement l’application Web de ce client, nous configurons Jenkins en conjonction avec Docker. Jenkins fournit des tests continus pour les scripts et les services, en créant des images Docker et en s’assurant qu’aucun code défectueux n’atteint jamais l’application du client. Une fois que le code est jugé prêt pour le déploiement, Jenkins crée une nouvelle image Docker qui est envoyée à AWS et la version est déployée. Cela permet à Beanstalk, une autre application AWS, de mettre à jour la version de l’application avec l’image Docker ; les modifications sont ensuite transmises au client. Remarquablement, tout cela se produit en quelques heures, voire quelques minutes!

 Jenkins en conjonction avec Docker

Comme Elastic Beanstalk effectue une mise à jour sur place lorsque vous mettez à jour les versions de votre application, votre application peut devenir indisponible pour les utilisateurs pendant une courte période. Il est possible d’éviter ce temps d’arrêt en effectuant un déploiement Bleu/vert, dans lequel vous déployez la nouvelle version dans un environnement séparé, puis échangez les noms CN des deux environnements pour rediriger instantanément le trafic vers la nouvelle version.

Avec Jenkins CI, il est possible de déployer une nouvelle révision de code dans l’environnement d’application Elastic Beanstalk nommé « bleu « , puis après un déploiement réussi dans l’environnement « bleu », échangez les noms CN des deux environnements nommés « bleu » et « vert. »

AWS WAF, CloudWatch et CloudTrail

Pour surveiller les exigences de disponibilité et de sécurité et prévenir les attaques et les intrusions, nous avons configuré une combinaison d’Amazon WAF, CloudWatch et CloudTrail. CloudWatch garantit que toutes les fonctions d’une application s’exécutent rapidement et en douceur. Des règles de sécurité WAF ont été mises en place pour contrôler le trafic des applications Web à autoriser. Si jamais il est nécessaire de passer à l’échelle, CloudWatch enregistre les événements et envoie des alertes afin que des ressources supplémentaires puissent être dédiées à l’application. CloudTrail, quant à lui, surveille le back-end de l’application, garantissant la gouvernance, la conformité et les services d’audit opérationnel et des risques. Alors que CloudWatch examine les demandes des applications, CloudTrail note l’activité du compte AWS, y compris les modifications apportées à la console de gestion, aux kits SDK et aux outils de ligne de commande. Ensemble, ces services garantissent que ce client a toujours un œil automatisé sur la sécurité et les performances de ses applications.

Migration AWS

Une fois que tous les environnements ont été déployés et testés, nous avons procédé à la synchronisation de leur base de données via un tunnel VPN IPSEC pour éviter les temps d’arrêt et les pertes de données. Une fois les données transférées, nous avons effectué un test simulé du trafic client pour assurer la stabilité de l’environnement et l’intégrité des données.

Après la migration simulée réussie, nous avons effectué un simple basculement DNS vers la nouvelle distribution CloudFront pour acheminer tous les utilisateurs vers le nouvel environnement AWS.

Résultat final et avantages

Avec l’aide de ClearScale, TrendShift a pu obtenir les améliorations commerciales dont ils avaient besoin. Depuis le lancement, ils ont constaté toutes les économies de coûts qu’ils attendaient ainsi que les économies d’avenir qu’ils espéraient. Grâce à notre équipe DevOps dédiée et à la flexibilité de la plate-forme AWS, ClearScale a pu créer une solution sûre, conforme à la norme HIPAA et hautement fiable qui fonctionne mieux que le déploiement précédent du client.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.