La soluzione SaaS sanitaria basata su cloud di TrendShift con HIPAA

Trendshift Case Study

Executive Summary

Solo pochi anni fa le aziende hanno iniziato a spostare le loro applicazioni da soluzioni self-hosted on-site a piattaforme SaaS basate su cloud. La flessibilità, la sicurezza, l’affidabilità e i costi operativi ridotti erano difficili da superare e sono il motivo per cui molte aziende stanno ancora migrando all’archiviazione dei dati basata su cloud oggi.

Ora, alcune aziende che hanno fatto la transizione iniziale al cloud hanno bisogno di nuove soluzioni. Forse il loro fornitore di servizi iniziale non è stato accuratamente controllato, o il servizio ha finito per costare più di quanto si aspettassero. Qualunque sia la ragione, ClearScale ha eseguito più migrazioni cloud-to-cloud che mai. Ecco uno dei nostri esempi di maggior successo:

La sfida

La nostra sfida era multiforme: uno dei nostri clienti nel settore sanitario, TrendShift, aveva bisogno di migliorare ed espandere la propria applicazione basata sul web. Stavano già utilizzando un data center per applicazioni basate su cloud, ma le prestazioni, l’affidabilità e la scalabilità della piattaforma semplicemente non erano abbastanza buone. Avevano anche bisogno di una soluzione che si integrasse facilmente con le piattaforme open-source pur offrendo sicurezza sufficiente per proteggere le informazioni sensibili.

C’era anche una seconda sfida significativa: la conformità HIPAA. HIPAA, o l’Health Insurance Portability and Accountability Act, è legge degli Stati Uniti dal 1996. La sezione più importante di questa legge è il Titolo II, che stabilisce gli standard per l’accesso e il trasferimento dei dati sanitari digitali pur rimanendo in conformità con le normative sulla privacy stabilite dal Dipartimento della Salute e dei servizi umani degli Stati Uniti. Non un qualsiasi data center può contenere, elaborare e trasferire dati specifici per l’assistenza sanitaria — solo i servizi cloud pienamente conformi possono essere utilizzati per questo tipo di migrazione.

La terza sfida significativa è stata la riduzione dei costi. TrendShift aveva bisogno di maggiore affidabilità e scalabilità, pur affrontando le normative legali del settore sanitario. Per mantenere il costo di questo progetto accessibile, la giusta piattaforma web e servizi dovrebbero essere selezionati e implementati correttamente.

La soluzione ClearScale

Per garantire il raggiungimento di tutti gli obiettivi dichiarati, ClearScale ha organizzato un piano di dieci livelli che abbiamo implementato nel corso di 13 settimane. Abbiamo iniziato con la creazione dei livelli di sicurezza e archiviazione delle applicazioni. Da lì, il nostro team si è concentrato sulla connettività e sulla sicurezza con i livelli DNS e di monitoraggio. Per concludere lo sviluppo e la distribuzione e garantire il successo futuro, abbiamo aggiunto gli ultimi tre livelli focalizzati su automazione, storage e analisi. Questa soluzione ha fatto sì che TrendShift percepisse l’impatto immediato di questa migrazione sul business, nonché un payoff a più lungo termine, pur rimanendo conforme alla normativa HIPAA.

Elastic Beanstalk e HIPAA Compliance

Il primo e più importante passo è stata la migrazione a una piattaforma applicativa affidabile, scalabile, conveniente e compatibile con HIPAA che ha permesso al client di sviluppare codice senza dover gestire l’overhead delle operazioni di sviluppo. Amazon Elastic Beanstalk combinato con l’uso di Amazon EC2 Container Service (Amazon ECS) è stata la nostra scelta immediata per questo scenario. Questa soluzione di distribuzione, che viene utilizzato dalla società farmaceutica Novartis, che si fida che i loro trasferimenti cloud-che contengono dati altamente sensibili – sarà HIPAA compatibile. È anche considerato affidabile dal gigante dell’intrattenimento Netflix e dal Jet Propulsion Laboratory della NASA, che lo ha utilizzato per la missione Mars Curiosity. Perché? Perché l’ECS di Amazon non è solo sicuro; vanta anche un’affidabilità impressionante (99,95% per ogni regione ECS) e capacità di auto-scaling formidabili, oltre al basso costo di funzionamento necessario a TrendShift. Amazon Elastic Beanstalk con Amazon ECS è stato il punto di partenza perfetto.

Amazon Elastic Beanstalk con Amazon ECS

Inoltre, al fine di soddisfare gli standard di conformità HIPAA, dovevamo assicurarci che tutti i dati fossero crittografati in transito e a riposo insieme a un sistema di rilevamento delle intrusioni (IDS) preferito. Amazon EBS (Elastic Block Storage) con crittografia abilitata era la soluzione perfetta per soddisfare la crittografia a riposo. Forzare la crittografia SSL per tutte le comunicazioni interne ed esterne tra le applicazioni e il database soddisferebbe il requisito di crittografia in transito. Infine, OSSEC essendo un leader come un-source Intrusion Detection System (IDS), soddisferebbe questo requisito finale.

Sistema di rilevamento delle intrusioni

CI/CD con le distribuzioni Docker, Jenkins e Blue/Green

Per eseguire e distribuire correttamente l’applicazione basata sul Web di questo client, abbiamo impostato Jenkins insieme a Docker. Jenkins fornisce test continui per script e servizi, creando immagini Docker e assicurando che nessun codice difettoso raggiunga mai l’applicazione del cliente. Una volta che il codice è ritenuto pronto per la distribuzione, Jenkins crea una nuova immagine Docker che viene inviata ad AWS e la build viene distribuita. Ciò consente a Beanstalk, un’altra applicazione AWS, di aggiornare la build dell’applicazione con l’immagine Docker; le modifiche vengono quindi inviate al cliente. Sorprendentemente, tutto questo accade in una questione di ore, se non minuti!

Jenkins in combinazione con Docker

Poiché Elastic Beanstalk esegue un aggiornamento sul posto quando si aggiornano le versioni dell’applicazione, l’applicazione potrebbe non essere disponibile per gli utenti per un breve periodo di tempo. È possibile evitare questo downtime eseguendo una distribuzione Blu/verde, in cui si distribuisce la nuova versione in un ambiente separato e quindi si scambiano i CNAME dei due ambienti per reindirizzare istantaneamente il traffico alla nuova versione.

Con Jenkins CI è possibile distribuire una nuova revisione del codice nell’ambiente applicativo Elastic Beanstalk denominato “blue”, quindi dopo una distribuzione riuscita nell’ambiente “blue” scambiare i CNAMEs dei due ambienti denominati “blue” e “green.”

AWS WAF, CloudWatch e CloudTrail

Per monitorare i tempi di attività e i requisiti di sicurezza e prevenire attacchi e intrusioni, abbiamo configurato una combinazione di Amazon WAF, CloudWatch e CloudTrail. CloudWatch garantisce che tutte le funzioni di un’applicazione vengano eseguite rapidamente e senza intoppi. Le regole di sicurezza WAF sono state messe in atto per fornire il controllo su quale traffico di applicazioni Web consentire. Se c’è mai bisogno di scalare, CloudWatch registra gli eventi e invia avvisi in modo che risorse aggiuntive possano essere dedicate all’applicazione. CloudTrail, d’altra parte, monitora il back-end dell’applicazione, garantendo governance, conformità e servizi operativi e di controllo dei rischi vengono tutti eseguiti. Mentre CloudWatch esamina le richieste delle applicazioni, CloudTrail rileva l’attività dell’account AWS, incluse le modifiche alla console di gestione, agli SDK e agli strumenti della riga di comando. Insieme, questi servizi assicurano che questo client abbia sempre occhi automatizzati sulla sicurezza e sulle prestazioni delle applicazioni.

AWS Migration

Una volta distribuiti e testati tutti gli ambienti, abbiamo proceduto alla sincronizzazione del database tramite un tunnel VPN IPSEC per prevenire tempi di inattività e perdite di dati. Una volta che i dati sono stati trasferiti abbiamo eseguito un test di simulazione del traffico del cliente per assicurare la stabilità dell’ambiente e l’integrità dei dati.

Dopo la migrazione simulata, abbiamo eseguito un semplice switch DNS alla nuova distribuzione CloudFront per instradare tutti gli utenti al nuovo ambiente AWS.

Risultato finale e vantaggi

Con l’aiuto di ClearScale, TrendShift è stato in grado di ottenere i miglioramenti aziendali necessari. Dal lancio, hanno visto tutti i risparmi sui costi che si aspettavano e il futuro che speravano. Grazie al nostro team DevOps dedicato e alla flessibilità della piattaforma AWS, ClearScale è stata in grado di creare una soluzione sicura, conforme a HIPAA e altamente affidabile, con prestazioni migliori rispetto alla distribuzione precedente del cliente.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.