1996年健康保險流通與責(zé)任法案(HIPAA)是美國頒布的一項法律,旨在保護患者醫(yī)療記錄和患者提供的健康相關(guān)信息(也稱為PHI(個人健康信息))的隱私。HIPAA 合規(guī)性旨在通過定義電子記錄傳輸中的標準來降低醫(yī)療保健的管理成本。HIPAA旨在幫助打擊保險和醫(yī)療保健服務(wù)中的濫用,浪費和欺詐行為。在云中管理 HIPAA 合規(guī)性更具挑戰(zhàn)性,但 AWS 提供了設(shè)計和實施高負載系統(tǒng)的服務(wù),以使用 HIPAA 處理大量 ePHI。
簽署 AWS 業(yè)務(wù)伙伴協(xié)議 (BAA)
根據(jù) HIPAA 合規(guī)性指南,每個涵蓋的實體都必須遵守 HIPAA 安全規(guī)則。AWS 服務(wù)經(jīng)過認證,可確保符合 HIPAA 標準。AWS 與客戶簽署 BAA 協(xié)議,包括法律責(zé)任,并在物理基礎(chǔ)設(shè)施發(fā)生任何違規(guī)行為時通知他們。
HIPAA 合規(guī)性責(zé)任在于“涵蓋的實體”,而不是針對 AWS
AWS 負責(zé)破壞物理基礎(chǔ)設(shè)施,這意味著應(yīng)用程序級安全性是開發(fā)應(yīng)用程序的涵蓋實體的責(zé)任。AWS 在共同承擔(dān)責(zé)任的情況下運營。AWS 負責(zé)某些安全性和合規(guī)性,以保護 AWS 上的基礎(chǔ)設(shè)施,如計算、存儲、數(shù)據(jù)庫、網(wǎng)絡(luò)、區(qū)域和可用區(qū)以及邊緣站點。
AWS 客戶負責(zé)他們用于創(chuàng)建解決方案的服務(wù),例如平臺、操作系統(tǒng)、應(yīng)用程序、客戶端-服務(wù)器端加密、IAM、網(wǎng)絡(luò)流量保護、客戶數(shù)據(jù)。
加密和保護電子應(yīng)用
HIPAA 安全規(guī)則解決了 PHI 在云中的傳輸(傳輸中)和存儲(靜態(tài))中的數(shù)據(jù)保護和加密問題。AWS 提供了一組功能和服務(wù),可提供 PHI 的密鑰管理和加密。
審核、備份和災(zāi)難恢復(fù)
審計和監(jiān)控是必須在云架構(gòu)中解決的技術(shù)保障措施。這意味著ePHI信息的任何存儲,處理或傳輸都應(yīng)記錄在系統(tǒng)中,以跟蹤數(shù)據(jù)的使用情況。該架構(gòu)應(yīng)包含有關(guān) ePHI 上任何未經(jīng)授權(quán)的訪問和威脅的通知。
該解決方案必須具有應(yīng)急計劃,以便在發(fā)生災(zāi)難時保護 ePHI 信息,以避免丟失患者信息。它應(yīng)該通過恢復(fù)過程計劃收集,存儲和使用的ePHI信息的備份,以便在丟失任何信息時恢復(fù)信息。
身份驗證和授權(quán)
符合 HIPAA 標準的系統(tǒng)必須記錄系統(tǒng)安全計劃中的身份驗證和授權(quán)機制,以及所有角色和職責(zé),以及所有更改請求的配置控制過程、批準和過程。
以下是使用 AWS 進行架構(gòu)時需要考慮的幾點
IAM 服務(wù),用于提供對特定服務(wù)的訪問
啟用 MFA 以訪問 AWS 賬戶
授予最小權(quán)限
定期輪換憑據(jù)
架構(gòu)策略
不應(yīng)假定默認情況下所有符合 HIPAA 條件的 AWS 服務(wù)都受到保護,但它需要多個設(shè)置才能使解決方案 HIPAA 符合條件。以下是一些應(yīng)用于 HIPAA 應(yīng)用程序的策略
分離訪問/處理受保護的PHI數(shù)據(jù)的基礎(chǔ)設(shè)施,數(shù)據(jù)庫和應(yīng)用程序,這可以通過以下方式實現(xiàn):
關(guān)閉所有公有訪問,避免使用訪問私有密鑰,并將 IAM 與自定義角色和策略結(jié)合使用,并附加身份以訪問服務(wù)
為存儲服務(wù)啟用加密
跟蹤數(shù)據(jù)流并設(shè)置自動監(jiān)控和警報
保持受保護工作流和常規(guī)工作流之間的界限。隔離網(wǎng)絡(luò),使用多可用區(qū)架構(gòu)創(chuàng)建外部 VPC,該架構(gòu)將子網(wǎng)分隔為不同的應(yīng)用程序?qū)?,將私有子網(wǎng)與后端應(yīng)用程序和數(shù)據(jù)庫層分開
海帕設(shè)計示例
圖: 2 希帕架構(gòu)
上圖是針對符合 HIPAA 條件的解決方案的 3 層醫(yī)療保健應(yīng)用程序:
Route53使用內(nèi)部負載均衡器連接到WAF(Web應(yīng)用程序防火墻),通過避免使用此公共網(wǎng)絡(luò),使用ACM(私有安全機構(gòu))使用HTTPS加密REST中的數(shù)據(jù)
VPC(虛擬私有云)是在 Web、后端和數(shù)據(jù)庫層的不同可用區(qū)中使用六個私有子網(wǎng)創(chuàng)建的
2 個內(nèi)部 ELB(彈性負載均衡 - 1 個用于 Web,1 個用于后端),具有自動擴展組,用于處理和分配多個實例之間的流量,并指示在負載較高時啟動新實例
MySQL 和彈性緩存在多個可用區(qū)中啟動,具有 HSM(硬件安全模塊)來加密數(shù)據(jù)
云監(jiān)控配置為監(jiān)控、設(shè)置警報和應(yīng)用程序日志
云跟蹤、配置和可信顧問用于審核 AWS 資源。IAM 用于限制對 AWS 資源和管理控制臺的訪問
清單用于獲取 EC2 實例的可見性
使用 AWS 平臺,任何組織都可以設(shè)計安全、強大、可靠且高效的 HIPAA 標準解決方案。它可以幫助驗證現(xiàn)有解決方案,以識別系統(tǒng)中的風(fēng)險、安全措施和漏洞,從而滿足任何醫(yī)療保健解決方案的 HIPAA 合規(guī)性要求,
審核編輯:郭婷
-
操作系統(tǒng)
+關(guān)注
關(guān)注
37文章
6545瀏覽量
122747 -
AWS
+關(guān)注
關(guān)注
0文章
418瀏覽量
24182
發(fā)布評論請先 登錄
相關(guān)推薦
評論