1996 年健康保險(xiǎn)流通和責(zé)任法案 (HIPAA) 是美國(guó)頒布的一項(xiàng)法律,旨在保護(hù)患者的醫(yī)療記錄和由/提供給患者的健康相關(guān)信息的隱私,也稱為 PHI(個(gè)人健康信息)。HIPAA 合規(guī)性旨在通過(guò)定義電子記錄傳輸?shù)臉?biāo)準(zhǔn)來(lái)降低醫(yī)療保健的管理成本。HIPAA 旨在幫助打擊保險(xiǎn)和醫(yī)療保健服務(wù)中的濫用、浪費(fèi)和欺詐行為。在云中管理 HIPAA 合規(guī)性更具挑戰(zhàn)性,但 AWS 提供服務(wù)來(lái)設(shè)計(jì)和實(shí)施高負(fù)載系統(tǒng),以使用 HIPAA 處理大量 ePHI。
簽署 AWS 業(yè)務(wù)伙伴協(xié)議 (BAA)
根據(jù) HIPAA 合規(guī)性指南,每個(gè)涵蓋的實(shí)體都必須遵守 HIPAA 安全規(guī)則。AWS 服務(wù)經(jīng)過(guò)認(rèn)證以確保 HIPAA 合規(guī)性。AWS 與客戶簽署 BAA 協(xié)議,包括法律責(zé)任,在物理基礎(chǔ)設(shè)施出現(xiàn)任何違規(guī)行為時(shí)通知他們。
HIPAA 合規(guī)責(zé)任在“涵蓋實(shí)體”上,而不是在 AWS 上
AWS 對(duì)物理基礎(chǔ)設(shè)施的破壞負(fù)責(zé),這意味著應(yīng)用程序級(jí)別的安全性是開(kāi)發(fā)應(yīng)用程序的涵蓋實(shí)體的責(zé)任。AWS 以共同的責(zé)任運(yùn)作。AWS 負(fù)責(zé)保護(hù) AWS 上的基礎(chǔ)設(shè)施(如計(jì)算、存儲(chǔ)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、區(qū)域和可用區(qū)以及邊緣位置)的某些安全性和合規(guī)性。
AWS 客戶負(fù)責(zé)他們用來(lái)創(chuàng)建解決方案的服務(wù),例如平臺(tái)、操作系統(tǒng)、應(yīng)用程序、客戶端-服務(wù)器端加密、IAM、網(wǎng)絡(luò)流量保護(hù)、客戶數(shù)據(jù)。
ePHI 的加密和保護(hù)
HIPAA 安全規(guī)則解決了 PHI 在云中傳輸(傳輸中)和存儲(chǔ)(靜態(tài))中的數(shù)據(jù)保護(hù)和加密。AWS 提供了一組功能和服務(wù),可提供 PHI 的密鑰管理和加密。
審計(jì)、備份和災(zāi)難恢復(fù)
審計(jì)和監(jiān)控是云架構(gòu)中必須解決的技術(shù)保障。這意味著任何 ePHI 信息的存儲(chǔ)、處理或傳輸都應(yīng)記錄在系統(tǒng)中,以跟蹤數(shù)據(jù)的使用情況。架構(gòu)應(yīng)該有關(guān)于 ePHI 上任何未經(jīng)授權(quán)的訪問(wèn)和威脅的通知。
解決方案必須有應(yīng)急預(yù)案,在發(fā)生災(zāi)難時(shí)保護(hù) ePHI 信息,避免患者信息丟失。它應(yīng)該計(jì)劃使用恢復(fù)過(guò)程對(duì)收集、存儲(chǔ)和使用的 ePHI 信息進(jìn)行備份,以便在任何信息丟失時(shí)能夠恢復(fù)信息。
身份驗(yàn)證和授權(quán)
符合 HIPAA 要求的系統(tǒng)必須在系統(tǒng)安全計(jì)劃中記錄身份驗(yàn)證和授權(quán)機(jī)制以及所有角色和職責(zé),以及所有變更請(qǐng)求的配置控制流程、批準(zhǔn)和流程。
以下是使用 AWS 進(jìn)行架構(gòu)時(shí)需要考慮的幾點(diǎn)
IAM 服務(wù)提供對(duì)特定服務(wù)的訪問(wèn)
啟用 MFA 以訪問(wèn) AWS 賬戶
授予最小權(quán)限
定期輪換憑證
架構(gòu)策略
不應(yīng)假定所有符合 HIPAA 要求的 AWS 服務(wù)默認(rèn)都是安全的,但它需要多項(xiàng)設(shè)置才能使解決方案符合 HIPAA 要求。以下是一些應(yīng)與 HIPAA 應(yīng)用程序一起應(yīng)用的策略
將訪問(wèn)/處理受保護(hù)的 PHI 數(shù)據(jù)的基礎(chǔ)架構(gòu)、數(shù)據(jù)庫(kù)和應(yīng)用程序解耦,可以通過(guò)以下方式實(shí)現(xiàn):
關(guān)閉所有公共訪問(wèn),避免使用訪問(wèn)密鑰,將 IAM 與自定義角色和策略一起使用,并附加身份以訪問(wèn)服務(wù)
為存儲(chǔ)服務(wù)啟用加密
跟蹤數(shù)據(jù)流并設(shè)置自動(dòng)監(jiān)控和警報(bào)
保持受保護(hù)工作流程和一般工作流程之間的界限。隔離網(wǎng)絡(luò),創(chuàng)建具有多可用區(qū)架構(gòu)的外部 VPC,為不同的應(yīng)用程序?qū)臃指糇泳W(wǎng),為后端應(yīng)用程序和數(shù)據(jù)庫(kù)層分隔私有子網(wǎng)
HIPAA 的示例架構(gòu)
圖: HIPAA 架構(gòu)
上圖適用于符合 HIPAA 要求的 3 層醫(yī)療保健應(yīng)用:
Route53 通過(guò)內(nèi)部負(fù)載均衡器連接到 WAF(Web 應(yīng)用程序防火墻),避免了公共網(wǎng)絡(luò),使用 ACM(私有安全機(jī)構(gòu))使用 HTTPS 加密 REST 中的數(shù)據(jù)
VPC(虛擬私有云)由位于 Web、后端和數(shù)據(jù)庫(kù)層的不同可用區(qū)中的六個(gè)私有子網(wǎng)創(chuàng)建
2 個(gè)內(nèi)部 ELB(Elastic Load Balancing - 1 個(gè)用于 Web 和 1 個(gè)用于后端),帶有 Auto Scaling 組,用于在多個(gè)實(shí)例之間處理和分配流量,并在負(fù)載高時(shí)指示啟動(dòng)新實(shí)例
MySQL 和 ElasticCache 使用 HSM(硬件安全模塊)在多個(gè)可用區(qū)啟動(dòng)以加密數(shù)據(jù)
Cloudwatch 配置用于監(jiān)控、設(shè)置警報(bào)和應(yīng)用程序日志
CloudTrail、Config 和 Trusted Advisor 用于審計(jì) AWS 資源。IAM 用于限制對(duì) AWS 資源和管理控制臺(tái)的訪問(wèn)
Inventory 用于獲取 EC2 實(shí)例的可見(jiàn)性
使用 AWS 平臺(tái),任何組織都可以設(shè)計(jì)安全、穩(wěn)健、可靠和高效的符合 HIPAA 標(biāo)準(zhǔn)的解決方案。它可以幫助驗(yàn)證現(xiàn)有解決方案,以識(shí)別系統(tǒng)中的風(fēng)險(xiǎn)、安全措施和漏洞,以滿足任何醫(yī)療保健解決方案的 HIPAA 合規(guī)性要求。
審核編輯:郭婷
-
Web
+關(guān)注
關(guān)注
2文章
1253瀏覽量
69057 -
AWS
+關(guān)注
關(guān)注
0文章
418瀏覽量
24182
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論